Revoca dei certificati

Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.

Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.

La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. Leggi tutto “Revoca dei certificati”

Aggiornamento fuori banda per Windows

Oggi Microsoft ha rilasciato un aggiornamento fuori banda per revocare alcuni certificati utilizzati da Flame.

Gli aggiornamenti fuori banda sono quelli rilasciati generalmente per ragioni di emergenza al di fuori dell’appuntamento mensile del patch tuesday.

Uno degli attacchi che tenta il malware è un man in the middle su Microsoft Update; se l’attacco riesce, viene copiato sul PC della vittima un file WUSETUPV.EXE, che sembra essere firmato da Microsoft, ma non lo è realmente.

I creatori di Flame hanno scoperto un sistema per sfruttare un baco del sistema che viene usato per creare i certificati per attivare le licenze di Terminal Services; le chiavi utilizzate per questo scopo possono essere utilizzate anche per firmare i programmi eseguibili.

Questa patch rimuove due certificati “Microsoft Enforced Licensing Intermediate PCA” e un certificato “Microsoft Enforced Licensing Registration Authority CA (SHA1)”.

Leggi tutto “Aggiornamento fuori banda per Windows”