Tag: https
-
La chiave di volta della sicurezza HTTPS
Molti siti popolari stanno passando per default alle comunicazioni via HTTPS. Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice. Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste…
-
HTTPS: come funziona?
Abbastanza bene, ma non è una bacchetta magica. Prima di spiegare HTTPS è necessario spiegare cosa sia la Public Key Infrastructure (PKI) e prima ancora la crittografia asimmetrica, il vero mattone con cui è costruito tutto quanto: se qualcuno scoprisse come crackare velocemente una cifratura asimmetrica verrebbe giù tutto o peggio. I sistemi di crittografia…
-
Wikipedia passa in HTTPS
A partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito. Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno…
-
Certificato SSL: perché no?
I certificati SSL sono oramai disponibili anche a prezzi assai abbordabili. Da NameCheap (uso quel fornitore come esempio, ma si trovano anche altrove) si possono prendere i Comodo a 7,95 dollari/anno o i GeoTrust a 9,49 dollari/anno. Con questi prezzi la domanda da porsi è se abbia ancora senso usare dei certificati auto emessi. Ci…
-
Certificato SSL per un mail server Linux
Avendo trasferito i miei domini presso NameCheap a causa dell’affaire GoDaddy e SOPA ho acquistato per l’astronomica cifra di due dollari un certificato SSL. Qui di seguito la procedura che ho utilizzato per usare il certificato con Apache (rpm), Dovecot (compilato) e Postfix (compilato) su una CentOS 5.x. Questa procedura non sostituisce il manuale, ma…
-
Un https migliore
Tutti sappiamo che il protocollo https permette ad Alice e Bob di scambiarsi messaggi senza che Charlie, costantemente in ascolto sulla linea, li legga. Ogni browser utilizza degli espedienti grafici per indicare che la connessione in corso non è facilmente intercettabile e leggibile. Ma c’è un tipo di https che offre una sicurezza maggiore rispetto ad…
-
Crackato il protocollo di Siri
A nemmeno un mese dal lancio, la società tedesca fracese Applidium ha crackato il protocollo di Siri. La metodologia descritta è molto interessante e può essere applicata a casi analoghi. Siri invia tutti i dati a guzzoni.apple.com utilizzando il trasporto (trasporto, non protocollo, vedremo poi) HTTPS. Il client che risiede su iOS verifica la validità del certificato SSL di guzzoni.apple.com per impedire che…
-
LittleBlackBox
Alcuni dispositivi di rete (switch, router e assimilati) hanno un’interfaccia HTTPS con un certificato autofirmato. LittleBlackBox è un progetto che raccoglie migliaia di certificati SSL di altrettanti dispositivi di rete con alcune utility di gestione e di analisi. La maggior parte di questi dispositivi, infatti, ha a bordo lo stesso certificato, alcune volte il certificato…
-
Sicuro… sicuro?
La struttura attuale delle transazioni sicure via web tramite il protocollo https si basa su un’infrastruttura a chiave pubblica con tre gambe: l’utente, il fornitore del servizio e un’autorità di certificazione (CA) riconosciuta dai due. Quando vediamo un messaggio simile a quello a fianco (i vecchi lupi del web dicevano «quando si chiude il lucchetto…