Archivi tag: Root Certificate Chain

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

Annunci

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni

SSL Pulse, Riflettori Puntati Sulle Certificate Chain

Il team di Sicurezza Digitale prosegue la sua attività di indagine sul mondo delle certificazioni SSL analizzando una nuova sezione dello studio SSL Pulse, promosso di recente dal comitato TrustWorthy Internet Movement.

In questo post desideriamo concentrarci sui dati relativi alle “Certificate Chain”, uno dei requisiti più importanti nel poter definire se un certificato SSL e l’Autorità di Certificazione emittente sono credibili o meno.

Tutti i siti web che si occupano di offrire certificati SSL utilizzano lo stesso strumento per dimostrare la propria identità digitale; in questo modo, adoperando un certificato digitale avente il medesimo profilo di massima di quello disposto per la propria clientela, il venditore di certificati SSL mostra il valore di fondo dei prodotti che rende disponibile.

Al fine di generare un legame valido tra un singolo “certificato utente”, emesso come unico per ogni acquirente e relativo dominio da proteggere, e una radice riconosciuta (trust anchor), anche detta Autorità Certificante Radice (Root Certificate Authority, CA), è fondamentale la presenza di una catena di certificati completamente affidabile dal punto di inizio a quello di fine.

La “Gerarchia Di Certificazione” è una struttura di certificati che permette a singoli individui di verificare la credibilità di coloro i quali emettono un certificato SSL. Ogni singola certificazione viene emessa e “firmata” da altri certificati che si posizionano più in alto come classe gerarchica; la validità e l’affidabilità di un certo certificato digitale dipende, quindi, da quelle del certificato che a sua volta le ha firmate.

CA del certificato SSL installato su www.google.it

L’immagine in alto descrive come verificare la Certificate Chainrelativa al certificato SSL installato sul sito italiano di Google. 

In alcuni casi il legame che costituisce una certificazione SSL può risultare interrotto in una o più dei passaggi che la compone; quanto ciò si verifica il sito web che si decide di visitare in modalità protetta (https://) risulterà privo di un certificato SSL attendibile, anche nel caso in cui sullo stesso risultasse correttamente installato un certificato di protezione.

SSL Pulse, all’interno della sua ricerca che ha coinvolto quasi 200 mila siti web tra i più conosciuti al mondo, ha ravvisato quanto l’8% del campione controllato risulta non possedere un certificato SSL con Certificate Chain completa in ogni sua parte (poco meno di 15.000 domini sui circa 200.000 di cui sopra).

Siti web con certificati SSL aventi "Certificate Chain" interrotta (fonte: SSL Pulse, 2012)

Siti web con certificati SSL aventi “Certificate Chain” interrotta (fonte: SSL Pulse, 2012)

Il risultato consiglia, una volta in più, di accertarsi che l’autorità emittente un certificato SSL possegga, a sua volta, un certificato sicuro e riconosciuto, onde evitare di vedere la propria pagina internet con la schermata rossa (su Google Chrome) tanto temuta…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Informazioni Generali, SSL Pulse