Certificati SSL SGC, Un’Analisi Critica

SGC è l’acronimo utilizzato in tutto il mondo per Server Gated Cryptography, tecnologia tradizionalmente associata alla crittografia dei dati in entrata ed uscita da un server, meglio conosciuta come SSL (Secure Socket Layer).

Nata sulla scia della legge statunitense sull’esportazione di sistemi di criptazione ad alto valore, attuata negli anni ’90 sulla scia della Guerra Fredda, permette a browser di navigazione più datati di connettersi ad un sito web protetto da un certificato SSL di godere di un valore di crittografia a 128 bit invece di quello a 40 bit.

La Server Gated Cryptography ebbe la luce, dapprincipio, come estensione SSL per istituzioni finanziarie, venendo poi garantita anche a Società di altro tipo. La situazione che portò la creazione della SGC cambia nel 2000, quando la legge USA sulle esportazioni venne cambiata aprendo le frontiere all’esportazione di valori a 128 bit (e oltre).

Nello stesso periodo Microsoft realizzò le versioni 5.5 e 5.0.1 SP1 di Internet Explorer che di fatto, attivando connessioni sicure a 128 bit, resero la tipologia di certificazioni SSL con SGC, a detta di molti, inutili. Sul sito del colosso di Redmond sono ancora adesso presenti le istruzioni necessarie per aggiornare Internet Explorer alla crittografia a 128 bit.

Per molti esperti di sicurezza informatica l’utilizzo di certificati SSL con SGC non è, nel 2012 più giustificabile; elenchiamo le principali obiezioni che si fanno strada sulla Rete:

• il numero di coloro che ad oggi navigano utilizzando una versione di IE 5.x (o inferiore) è estremamente ridotto (si veda la tabella qui sotto, relativa all’adozione di questa versione del browser nel 2008, ultimo anno che ha permesso di quantificare il numero di soggetti adoperanti questo tipo di sistema);

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

• acquistare un certificato SSL con SGC potrebbe, paradossalmente, favorire la “pigrizia” (o il disinteresse) di coloro i quali nel corso degli anni hanno sottovalutato l’importanza di aggiornare periodicamente gli strumenti a disposizione sul proprio terminale lavorativo o personale. In definitiva pare che questi browsers non aggiornati potrebbero causare all’intero sistema informatico problemi che vanno ben oltre la semplice criptazione dei dati. Usando uno slogan caro a molti utenti del web “i certificati SSL SGC sponsorizzano un utilizzo irresponsabile della Rete, e per questo il loro acquisto andrebbe evitato da chi ha il potere di cambiare le cose”.

• il costo delle versioni di certificati SSL con SGC. Nonostante le richieste del mondo virtuale, la scelta di “regalare” questa tecnologia all’interno di un certificato SSL è stata presa solo da poche Autorità di Certificazione. Per quanto riguarda il resto del mercato si tratta di una particolarità che ha ancora un costo, e si tratta di qualcosa di non indifferente.

Attualmente l’Autorità Certificante più importante al mondo che fornisce certificati SSL SGC è Symantec, che sul proprio sito e su quello dei suoi rivenditori e partner permette la scelta di questo tipo di tecnologia per certificati SSL SGC Secure Site, con e senza “barra verde” (Green Bar). Per la cronaca è doveroso sottolineare quanto Symantec non abbia, ad oggi, ancora deciso di donare la Server Gated Cryptography all’emissione di uno qualsiasi dei suoi certificati SSL.

Sicurezza Digitale le posizioni dei critici dei certificati SSL SGC abbastanza condivisibili, anche se crede sia necessario fare un distinguo. I dati sopra riportati, relativi all’uso di browsers di navigazione con capacità di crittazione a 40 bit, sono del tutto chiari ed esaustivi, ma il dubbio è relativo a quanto gli stessi siano riferiti solo a quella parte del mondo, e dell’economia, che defininiamo “sviluppata”, o se prendano in considerazione anche quello che accade in Paesi attualmente sottosviluppati o in piena crescita economica, all’interno dei quali non è ancora sviluppata adeguatamente una cultura della sicurezza digitale.

Visti e considerati i repentini cambiamenti che il versante socio-economico registra giorno dopo giorno c’è da comprendere, usando un eufemismo, “da dove verranno i soldi in futuro”, quindi se a fare la “voce grossa” saranno popoli ed imprese dell’attuale parte ricca del nostro Pianeta o se gli sconvolgimenti in atto daranno maggior potere di acquisto a coloro i quali usano ancora versioni di browsers a 40 bit.

Tentare di individuare il trend economico futuro è indubbiamente qualcosa di fondamentale per coloro i quali gestiscono o gestiranno un’attività di commercio elettronico, e per questo motivo la decisione di dotarsi o meno di un certificato SSL con SGC rappresenta qualcosa da non sottovalutare.

Certificati SSL GeoTrust, Uno Sguardo A Qualità Ed Affidabilità

GeoTrust, nel settore della certificazione digitale dei dati e delle comunicazioni online, viene universalmente considerato il marchio ideale per coloro i quale desiderino rispondere ai bisogni di sicurezza informatica, ma che allo stesso tempo non possano permettersi di  spendere somme esorbitanti.

Il noto marchio californiano, difatti, offre al mercato digitale certificazioni SSL di alto livello (a volte, come nel caso di True BusinessID + EV, con la ben nota e ricercata barra verde di sicurezza) diverse alternative per porre il proprio sito web o server  di posta elettronica sicuro da eventuali attacchi informatici, giorno dopo giorno sempre più delicati e particolari.

Certificati SSL GeoTrust, Crittazione Sicura E A Buon Mercato

Diamo uno sguardo, brevemente, alla tipologia di certificati Secure Socket Layer più diffusi in Rete e contraddistinti dal marchio GeoTrust:

• QuickSSL Basic: certificato SSL che permette crittazioni a 256 bit, estremamente sicuro ed emesso in maniera istantanea attraverso un controllo via posta elettronica (Domain Validation, DV). Questa tipologia di prodotto non consente l’accesso sicuro da smartphone, telefoni cellulari, tablets, ecc.
• QuickSSL Premium: certificato SSL a 256 bit, anch’esso prodotto ed inviato dopo una breve e semplice verifica via posta elettronica (Domain Validation, DV). Adatto per proteggere connessioni che nascono da dispositivi mobili, il certificato digitale in questione consente di aggiungere in maniera gratuita sino a 3 server aggiuntivi (SANs), sottodomini di primo livello facenti riferimento al nome dominio per il quale viene emessa la soluzione.

• True BusinessID: certificato SSL che consente di criptare i dati fino a 256 bit, adatto a connessioni effettuate attraverso dispositivi mobili (cellulari, ecc.). L’emissione del certificato, in questo caso, prevede una verifica da parte dell’Autorità di Certificazione (GeoTrust stessa) in merito alla Società titolare del dominio per il quale il prodotto è stato richiesto.

• True BusinessID Wildcard: certificato SSL opportuno per tutti quei gestori di siti internet che desiderino proteggere il sito internet e tutti i sottodomini di primo livello che ad esso fanno riferimento. Un certificato SSL Wildcard, se emesso per *.domino.it, consente di proteggere tutti i sottodomini di dominio.it, quali ad esempio server1.domino.it, server2.dominio.it e via dicendo. La soluzione è particolarmente indicata, inoltre, per coloro i quali intendono proteggere server di posta elettronica (webmail) e per chi prevede il sito internet venga visitato attraverso connessioni con dispositivi mobili. Infine, il prodotto prevede un’ampia verifica per tutto ciò che concerne il dominio e la Società che lo possiede.

• True BusinessID + EV: certificato SSL di categoria Extended Validation (EV), per l’emissione del quale si prevede un processo di verifica ancora più lungo e particolare di quello previsto per gli altri certificati True  BusinessID sopra citati. La particolarità di questa certificazione è data dalla presenza della cosiddetta barra verde (“green bar”), che permette alla barra d’indirizzo di assumere una particolare colorazione verde (o blu, dipendentemente dal browser che si utilizza per navigare). Il certificato SSL True BusinessID + EV consente di proteggere le connessioni anche allorquando avvengano da parte di dispositivi mobili.

In definitiva GeoTrust rappresenta una valida alternativa a “buon mercato” per praticamente l’intero spettro di bisogni di tutela che un gestore di un sito internet e/o che una società di e-commerce possa avere. Sicurezza Digitale consiglia, comunque, di verificare con il proprio rivenditore di certificati SSL la tempistica di emissione prevista in maniera tale da evitare di trovarsi di fronte a situazioni spiacevoli ed attese tendenti a protrarsi nel tempo.

Come E Perché Richiedere Certificati SSL Gratis

Il team di Sicurezza Digitale dedica, dalla propria nascita, gran parte della propria produzione al tema della sicurezza della connessioni e della transazioni che avvengono online.

Alcuni di noi, come consulenti nel campo, hanno una discreta esperienza in tutto ciò che riguarda l’implementazione di un certificato SSL sulle piattaforme server, e molto spesso coloro i quali decidono di affidarsi ai nostri servizi per proteggere il proprio sito web temono, per esperienza indiretta (solitamente qualcosa capitato a propri concorrenti, clienti, partners), sono riluttanti ad acquistare un certificato SSL per via di dubbi sulla compatibilità con il proprio sistema e sulla difficoltà di installazione da parte del proprio team tecnico.

L’installazione dei codici che attivano la criptazione SSL è, effettivamente, qualcosa di abbastanza complicato, soprattutto se non si sa perfettamente come operare. I server in commercio sono dei più diversi, ciascuno richiedente una modalità d’interazione diversa, a partire dal semplice inserimento delle stringhe di caratteri che determinano la sicurezza in Secure Socket Layer (Chiave Privata/Private Key, CSR/Certificate Signing Request, Certificato SSL Intermedio/CA Root Certificate, Certificato SSL).

Come E Perché Richiedere Certificati SSL Gratis

Come in molte situazioni della vita di tutti i giorni l’esperienza aiuta a muoversi meglio e con più sicurezza. La risposta che ci sentiamo di dare, a tutti coloro che entrino in contatto per la prima volta con questa tematica, è quella di provare un certificato SSL gratuito.

I certificati SSL gratis, anche detti “di prova”, hanno solitamente le medesime caratteristiche tecniche  di quelli “di produzione” (o “definitivi”), tranne per la durata limitata che garantiscono, sufficiente comunque a effettuare tutti i test del caso.

Richiedere un certificato SSL “di prova” permette di testare, solitamente per 30 giorni, non solo la procedura d’installazione valida per il  server che si adopera, ma anche ovviamente i benefici tecnici e commerciali determinati dalla presenza di un codice di criptazione attivo sulle pagine in Rete.

Certificati SSL Come Diamanti, Sicurezza A 5 Facce

Nel post di oggi ci dedichiamo attenzione, ancora una volta, alla ricerca SSL Pulse, in particolare alle diverse versioni di certificazioni digitali SSL tutt’ora in commercio.

SSL Pulse è il progetto di Trustworthy Internet Movement, organizzazione no-profit dedicata al monitoraggio del livello di sicurezza della Rete.

Parlare di certificati SSL è spesso piuttosto semplice, o almeno questo è il sentimento della maggior parte di coloro i quali si affacciano a questo mondo per acquistare un prodotto in grado di mettere in sicurezza le informazioni e/o le transazioni che si svolgono sul proprio dominio (vendite, acquisti, e-mail, ecc. ecc.).

In commercio, e in generale sul web, è tutt’ora possibile incontrare 5 diverse versioni di protocolli SSL, divise tra SSL (Secure Socket Layer) e TLS (Transport Layer Security):

• SSL v2.0
• SSL v3.0
• TLS v1.0
• TLS v1.1
• TLS v1.2

Il livello di sicurezza tra queste 5 tipologie di certificato SSL sono estremamente diverse. TLS v1.0 è reputata, universalmente, la migliore scelta possibile nella configurazione del server di riferimento, mentre SSL v2.0 è individuato come il livello di protocollo meno sicuro presente su Internet tra le pagine web protette da questo genere di certificazioni. Optando per un certificato TLS v1.0 si consiglia vivamente di controllare l’effettiva riduzione, nella configurazione sul server, dell’attacco BEAST.

Una scelta ancora migliore sarebbe quella di optare per le versioni di TLS 1.1 e 1.2, controllando l’effettivo supporto garantito ad entrambi da parte del server di riferimento; in questo caso i clients con supporto attivo per i protocolli di criptazione più recenti sceglieranno una di queste due gradazioni di sicurezza, mentre gli altri verranno indirizzati al comunque estremamente affidabile TLS 1.0.

SSL Pulse ha riscontrato, nel corso del proprio studio, quanto la quasi totalità (oltre il 99%) dei circa 200.000 siti internet oggetto della ricerca supporti i protocolli di criptazione SSL 3.0 e TLS 1.0. Persiste, tuttavia, un preoccupante 33% che permette l’utilizzo solo della versione SSL 2.0 non sicura.

Come Scoprire La Versione SSL E TLS Sui Siti Web In HTTPS

Sei interessato a scoprire qual’è la versione di SSL e/o di TLS presente sul sito online protetto che stai visitando? Questo tipo di informazione è visibile in tutti i web-browser; per quanto riguarda Google Chrome accedi al sito protetto in modalità HTTPS, all’interno della pagina (in uno spazio bianco della stessa) clicca con il tasto destro del mouse e chiedi di visionare le informazioni sulla pagina. All’interno del box che apparirà potrai consultare comodamente il livello di criptazione SSL o TLS attualmente attivo.

Sicurezza SSL Anche Con Problemi Del Protocollo HTTPS, Le Rilevazioni Di SSL Pulse

Il team di Sicurezza Digitale prosegue nell’analisi dei risultati ottenuti dallo studio condotto all’interno del progetto SSL Pulse: oggi è la volta di HTTP Strict Transport Security (HSTS).

La rete di sicurezza HSTS può essere descritta come una tecnologia progettata per garantire connessioni sicure anche in caso di errori e/o problemi di configurazione e implementazione del protocollo “Secure Socket Layer”.

Tecnicamente parlando un server web dichiara, attraverso il campo di risposta HTTP “Sicurezza Di Trasporto Ristretto” (Strict-Transport-Security), di interagire col browser in questione solo in condizioni di sicurezza (HTTPS); questa dichiarazione è valida solo per un periodo limitato di tempo.

Per poter attivare l’HSTS è necessario impostare, all’interno del sito internet in oggetto, una singola intestazione di risposta. Al momento i browser che supportano questa tipologia di servizio sono Google Chrome e Mozilla Firefox.

All’interno del browser Chrome l’HSTS può essere attivato accedendo alla seguente pagina: chrome://net-internals/#hsts

La schermata di HSTS visualizzata su Google Chrome

L’obiettivo di HSTS è principalmente quello di non consentire, dopo l’attivazione, lo svolgimento di alcuna comunicazione non sicura nei confronti del sito web in questione.

All’interno dell’indagine condotta dal movimento indipendente Trustworthy Internet è risultato che meno dell’1% dei 200.000 siti web analizzati (1697, per la precisione) supporta l’HTTP Strict Transport Security.