Tag: certificato
-
Fine dell’Extended Validation?
L’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare. Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.
-
Obsolescenza di SHA-1
I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1. I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili.
-
Certificato di XBOXLIVE.COM compromesso
Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com È, quindi, necessario prestare particolare attenzione…
-
Let’s Encrypt
Ieri è partita la beta pubblica di Let’s Encrypt. Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP. In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere…
-
eDellRoot CA preinstallata da Dell
Alcuni modelli di computer Dell tra cui XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647, e Precision M4800 venduti di recente hanno preinstallato una CA completa di chiave privata che può firmare certificati utilizzabili per verificare l’attendibilità di un sito o di un programma. Un attaccante potrebbe utilizzare quella CA per truffare gli utenti…
-
17 nuove CA root per Windows
Nei giorni scorsi Microsoft ha aggiornato l’elenco delle Certificate Authority (CA) root riconosciute da Windows. Questa operazione di solito non riceve molta pubblicità da Redmond, ma influenza moltissimo la sicurezza dei computer.
-
SHA-1
La crescita della potenza di calcolo crea problemi ai vecchi algoritmi di sicurezza o di hash. L’algoritmo MD5 era stato reso obsoleto a fine 2008, ora è il turno di SHA-1. Il protocollo https fa un ampio uso degli algoritmi di hash, ma se è relativamente facile calcolare delle collisioni che permettono di calcolare il dato originale…
-
Risolvere gli errori delle CA intermedie
Sempre più siti adottano certificati validati dalla PKI, grazie anche a fornitori molto convenienti. Alcuni certificati acquistati necessitano di una serie di CA oppure di certificati intermedi affinché il client li possa verificare correttamente. Esistono tool online come quello di SSL Hopper che permettono di verificare se il server dichiara correttamente la catena di certificati…
-
Revoca dei certificati
Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo. Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei…
-
Certificato SSL: perché no?
I certificati SSL sono oramai disponibili anche a prezzi assai abbordabili. Da NameCheap (uso quel fornitore come esempio, ma si trovano anche altrove) si possono prendere i Comodo a 7,95 dollari/anno o i GeoTrust a 9,49 dollari/anno. Con questi prezzi la domanda da porsi è se abbia ancora senso usare dei certificati auto emessi. Ci…
-
Verifica dei certificati SSL
Uno studio ha dimostrato che non è una bella idea verificare i certificati con chiamate alle librerie, ma è meglio delegare il compito a chi lo sa far bene, come il browser. Il problema risiede nel modo in cui vengono utilizzate le API delle librerie, non si tratta, quindi, di una vulnerabilità intrinseca delle librerie…
-
Compromesso un certificato di Adobe
Adobe ha annunciato che uno dei suo certificati utilizzati per firmare i programmi per Windows è stato compromesso. Il problema riguarda tutti i programmi Adobe per la piattaforma Windows e tre applicazioni Adobe Air che girano sia su Windows sia su Macintosh: Adobe Muse, Adobe Story AIR e Acrobat.com desktop services. Secondo il rapporto preliminare pubblicato…