giovedì 30 marzo 2017

Il Protocollo HTTPS e I Certificati Digitali Dei Siti Web

Con il vecchio protocollo HTTP le informazioni viaggiavano tra client e server web (e viceversa) in chiaro, come si può facilmente capire possono essere monitorate ed intercettate da parte di un malintenzionato che si ponesse lungo il tragitto (attacco "man in the middle").
Proprio per questi motivi, da qualche anno, i siti web che gestiscono informazioni personali e dati sensibili utilizzano il protocollo HTTPS che prevede a sua volta l'impiego di un meccanismo crittografico (protocolli SSL/TLS) e di un certificato digitale.
I protocolli crittografici che vengono utilizzati con HTTPS sono oggetto di continui studi per metterne a nudo eventuali bug.
Poi l'attacco POODLE ha sostanzialmente messo al tappeto SSL 3.0, versione del protocollo crittografico che fino a poco tempo fa era utilizzata da migliaia di server Web per proteggere le connessioni HTTPS.


CERTIFICATI DI PROTEZIONE
Quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP (senza l'impiego di un protocollo di crittografia asimmetrica), è molto semplice carpire informazioni personali esaminando i dati in transito (attività di "sniffing").
I vari browser web segnalano quando si sta utilizzando una connessione HTTPS evidenziando la cosa direttamente nella barra degli indirizzi, con diversi colori e differenti soluzioni grafiche (lucchetto di Chrome ad esempio).
I browser quindi visualizzano nella barra degli indirizzi un'icona raffigurante un lucchetto.
Cliccandovi sopra, si può accedere ai dettagli tecnici sulla connessione con il server.
Se i protocolli SSL/TLS sono utilizzati per cifrare i dati e renderne impossibile la lettura da parte di persone non autorizzate, il certificato digitale dei siti web consente di attestare l'identità del sito stesso (impedendo l'attacco Pharming, ovvero quel tipo di attacco che mira a colpire il server DNS dirottando il navigatore su siti diversi rispetto all'indirizzo digitato).
Il certificato digitale permette insomma al browser di verificare che il sito web visitato sia effettivamente quello che dichiara di essere.
Quando ci si connette ad un sito web via HTTPS, quindi, il browser controlla che il certificato digitale sia valido, non scaduto ed emesso da un'autorità di certificazione riconosciuta.


INFORMAZIONI DEI CERTIFICATI
Un certificato di sicurezza di un sito web contiene diverse informazioni: numero seriale (identifica univocamente il certificato), soggetto (cioè il proprietario del certificato), emittente (l'Autorità emittente che ha rilasciato il certificato), estensione nome alternativo soggetto (indirizzi dei siti web che il certificato può essere utilizzato per identificare), firma (dell'emittente), algoritmo della firma (algoritmo utilizzato per creare la firma).
Riguardo le scadenze troviamo "inizia il" e "termina il".
Utilizzo della chiave e utilizzo esteso della chiave specifica come potrebbe essere utilizzato il certificato (autenticazione sito web), chiave pubblica del soggetto (i dati pubblici del certificato, contenenti la chiave pubblica e la chiave privata), algoritmo chiave pubblica soggetto (algoritmo usato per creare la chiave pubblica), impronta digitale SHA1 (una forma abbreviata di chiave pubblica) ed algoritmo impronta digitale (algoritmo utilizzato per creare l'impronta digitale).


ERRORI
Errori relativi al certificato di protezione del sito web esposti dal browser possono essere chiari campanelli d'allarme che qualcosa non va.

1) Certificati digitali scaduti
I certificati digitali che attestano l'identità dei siti web vengono emessi da autorità di certificazione (CA) riconosciute a livello internazionale ed inserite nei database contenuti nei vari browser.
Ogni certificato ha una sua validità, oltre la quale diventa non sicuro o comunque non più valido.
I certificati debbono essere rinnovati dagli amministratori dei sistemi informatici ed in particolare da chi gestisce il server web HTTPS.
Il messaggio che informa circa l'impossibilità di accedere al sito web HTTPS a causa del certificato scaduto può mettere in evidenza una "svista" da parte dell'amministrazione del sito oppure suggerire un problema relativo all'orologio del personal computer.
Se l'orologio del personal computer non è aggiornato, sarà impossibile accedere ai siti HTTPS o scaricare la posta elettronica da server che utilizzano la cifratura dei dati.

2) Certificati digitali sconosciuti
In altri casi, la connessione al sito web d'interesse potrebbe non risultare possibile in quanto il certificato digitale viene indicato come sconosciuto.
Microsoft, infatti, provvede periodicamente ad aggiornare il database delle autorità di certificazione (sfruttato anche da parte di altri browser, non solo da Internet Explorer) rilasciando apposite patch attraverso il servizio Windows Update.

3) Certificati digitali non attendibili o revocati
Gli errori visualizzati dal browser che fanno riferimento a certificati non attendibili o revocati suggeriscono che il sito web richiesto non è attendibile.
I siti web attraverso i quali vengono poste in essere attività SCAM sfruttano spesso certificati digitali non validi, non emessi da autorità di certificazione attendibili.
Nel caso in cui, per usi personali, si fosse allestito un sito web che utilizza un certificato digitale emesso senza passare per un'autorità di certificazione, il browser visualizzerà comunque il messaggio d'allerta.

4) Connessione sicura non riuscita o Errore connessione SSL
Gli errori "Connessione sicura non riuscita" ed "Errore connessione SSL", esposti da Firefox e Chrome, non riguardano i certificati digitali ma il protocollo utilizzato per crittografare i dati.

Nessun commento:

Posta un commento