Tag: https
-
Sotto stretta sicurezza
In questo blog si è parlato in abbondanza di HTTPS e a piena ragione: la sicurezza dei nostri dati è una cosa importante che non va presa alla leggera. Non ci stancheremo di ripetere che la privacy è un diritto di tutti e, di conseguenza, è un dovere della comunità IT fare tutto il possibile per…
-
Fatevi un favore e #SupportLetsEncrypt
Non è la prima volta che se ne parla, vale la pena ripeterlo. La privacy è una cosa importante ed è un diritto inalienabile: HTTPS aiuta a mantenerla nella nostra vita online, un luogo in cui passiamo sempre più tempo e svolgiamo sempre più attività. Let’s Encrypt è una Certification Authority gratuita, automatica e aperta. Non è di proprietà…
-
Ci risiamo: ecco #DROWNAttack
Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile. Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un…
-
TLS logjam
Un gruppo di ricercatori ha pubblicato l’articolo Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice [PDF] spiegato in termini non accademici in un sito apposito. La pubblicazione illustra una vulnerabilità del protocollo TLS, utilizzato anche da HTTPS. Il metodo è molto simile a quello utilizzato per FREAK: un attacco di tipo MitM forza la connessione tra client e…
-
Siamo in https
Era ora! Finalmente quel fannullone di Luigi si è deciso a fare i cambiamenti strutturali del caso che hanno permesso al sito di passare in https senza problemi (forse). È attivo un redirect da http a https per non rompere i link, se ci sono problemi scrivete nei commenti di questo articolo, sulla pagina Facebook…
-
Risolvere gli errori delle CA intermedie
Sempre più siti adottano certificati validati dalla PKI, grazie anche a fornitori molto convenienti. Alcuni certificati acquistati necessitano di una serie di CA oppure di certificati intermedi affinché il client li possa verificare correttamente. Esistono tool online come quello di SSL Hopper che permettono di verificare se il server dichiara correttamente la catena di certificati…
-
SNI su Apache 2.4
L’adozione di https sta diventando sempre più importante per la tutela della privacy degli utenti e per la sicurezza delle comunicazioni. Uno dei fattori che più hanno limitato la diffusione di questo protocollo risiede nella caratteristica della sessione TLS che, fino a poco tempo fa obbligava ad avere un solo certificato PKI per una coppia…
-
Microsoft Secure Channel
Con l’aggiornamento del patch tuesday di questo mese Microsoft corregge un problema di sicurezza molto serio di Secure Channel (Schannel), la sua libreria per la connessione sicura. Schannel è per Microsoft quello che per l’open source si chiama OpenSSL e per Apple si chiama Secure Transport. In sostanza è quella serie di routine (libreria) che permette…
-
POODLE
POODLE (Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account. L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996 poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da…
-
Revoca dei certificati
Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo. Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei…
-
Heartbleed
Heartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse. OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.…
-
Perfect Forward Secrecy
Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro. Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche…