La chiave di volta della sicurezza HTTPS


Molti siti popolari stanno passando per default alle comunicazioni via HTTPS.

Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice.

Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste comunque un single point of failure.

La chiave privata.

Una sequenza di 2048 bit (256 byte) che può essere trafugata in mille modi. Negli anni aziende come RSA, Sony e Intel hanno provato sulle loro corna cosa vuol dire la compromissione di una chiave privata.

Se la chiave privata di siti come Google, Facebook, Wikipedia o Twitter finisse nelle mani sbagliate, la S in fondo ad HTTP sarebbe solo un sovraccarico di calcolo per server e client perché la sessione iniziale di sicurezza di HTTP non sarebbe più così sicura.

Immaginiamo quanti server esposti a Internet possano avere i grossi fornitori di servizi; ciascuno di questi server deve per forza avere accesso a quei 256 byte della chiave privata per poter cifrare le comunicazioni. Basta che uno solo di questi server sia compromesso e quella chiave diventerebbe tutt’altro che privata.

C’è un altro rischio, che fino a pochi mesi fa avrei bollato come “paranoico”, ma ora non più. Le autorità giudiziarie possono obbligare le Certification Authority a fornire una copia delle chiavi consegnate ai loro clienti. In questo modo l’autorità che ha in mano quei dati ha il completo accesso alle comunicazioni cifrate da/per un’azienda. Senza che l’azienda o i suoi clienti lo sappiano.

Alla luce di tutto questo, per tutelare la riservatezza dei dati un certificato auto-emesso (magari cambiato spesso, tanto non costa nulla…) non potrebbe essere un rischio così grave per la riservatezza, anche se non potrebbe certificare l’identità del sito che si sta visitando. (via EFF)

,

6 risposte a “La chiave di volta della sicurezza HTTPS”

  1. Il problema dei certificati auto-emessi e` che tutti i browser ti riempiono di avvisi…

    Comunque, scommetto che fra due anni vedremo il boom dei certificati scaduti…

    • Il problema non e’ l’avviso del browser in se’, ma, come detto nell’articolo, quello che il browser ti sta dicendo con quell’avviso, ovvero che non puo’ garantire l’identita’ del sito.

        • Tutto quello che viene spiegato agli utenti è che il “lucchettino” è “sicurezza” … per cui l’utente, quando riesce ad avere il lucchettino (anche forzando il browser ad acettare un certicato marcio) si sente al sicuro.

          Tutto il resto è al di fuori della portate dell’utente non tecnico. Fattene una ragione.

          Tanto, se pensiamo che le root CA che vengono distribuite le dicide, alla fine, chi sviluppa il browser …

          • Appunto; se hai un certificato autofirmato, l’utente non tecnico vede che invece della pagina che cerca c’e` un avviso complicato, al che chiude tutto e fa qualcos’altro.

            Le root CA le decide non solo chi sviluppa il browser, ma anche chi fa il deploy del browser sui pc nelle grandi organizzazioni dove cio` e` centralizzato. Il che significa che il tuo datore di lavoro tecnicamente puo` intercettare tutto quello che mandi via https…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *