17 nuove CA root per Windows

Nei giorni scorsi Microsoft ha aggiornato l’elenco delle Certificate Authority (CA) root riconosciute da Windows.

Questa operazione di solito non riceve molta pubblicità da Redmond, ma influenza moltissimo la sicurezza dei computer. Leggi tutto “17 nuove CA root per Windows”

La chiave di volta della sicurezza HTTPS

LachaniaMolti siti popolari stanno passando per default alle comunicazioni via HTTPS.

Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice.

Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste comunque un single point of failure.

La chiave privata.

Una sequenza di 2048 bit (256 byte) che può essere trafugata in mille modi. Negli anni aziende come RSA, Sony e Intel hanno provato sulle loro corna cosa vuol dire la compromissione di una chiave privata.

Se la chiave privata di siti come Google, Facebook, Wikipedia o Twitter finisse nelle mani sbagliate, la S in fondo ad HTTP sarebbe solo un sovraccarico di calcolo per server e client perché la sessione iniziale di sicurezza di HTTP non sarebbe più così sicura.

Immaginiamo quanti server esposti a Internet possano avere i grossi fornitori di servizi; ciascuno di questi server deve per forza avere accesso a quei 256 byte della chiave privata per poter cifrare le comunicazioni. Basta che uno solo di questi server sia compromesso e quella chiave diventerebbe tutt’altro che privata. Leggi tutto “La chiave di volta della sicurezza HTTPS”

Sicuro… sicuro?

La struttura attuale delle transazioni sicure via web tramite il protocollo https si basa su un’infrastruttura a chiave pubblica con tre gambe: l’utente, il fornitore del servizio e un’autorità di certificazione (CA) riconosciuta dai due.

Quando vediamo un messaggio simile a quello a fianco (i vecchi lupi del web dicevano «quando si chiude il lucchetto aperto di Netscape») sappiamo che i dati viaggiano crittografati da un sistema a chiave pubblica che dovrebbe godere della nostra fiducia.

Ma, come dicevano i nostri antenati, quis custodiet ipsos custodes?

Leggi tutto “Sicuro… sicuro?”