SIAMO GEEK

Tag: ssl

  • Verifica dei certificati SSL

    Uno studio ha dimostrato che non è una bella idea verificare i certificati con chiamate alle librerie, ma è meglio delegare il compito a chi lo sa far bene, come il browser.

    Il problema risiede nel modo in cui vengono utilizzate le API delle librerie, non si tratta, quindi, di una vulnerabilità intrinseca delle librerie medesime.

    Secondo lo studio citato, le diverse API SSL espongono funzioni di basso livello e non offrono la possibilità di chiamare una serie di funzioni cappello con pochi e chiari parametri che permettono di effettuare la verifica di un certificato in maniera affidabile. Spesso i programmatori, vuoi per leggerezza, vuoi per poca informazione, interpretano male la documentazione delle funzioni e finiscono per commettere errori che espongono gli applicativi a vulnerabilità serie.

    Un’ipotesi formulata dalla pubblicazione è che in almeno un caso, quello dell’applicazione Android di Chase Bank, la vulnerabilità introdotta a livello applicativo sia il retaggio di un codice di test che bypassa la verifica del certificato rimasto per errore anche nel codice finale. (via Bruce Schneier)

  • Certificato SSL per un mail server Linux

    Avendo trasferito i miei domini presso NameCheap a causa dell’affaire GoDaddy e SOPA ho acquistato per l’astronomica cifra di due dollari un certificato SSL.

    Qui di seguito la procedura che ho utilizzato per usare il certificato con Apache (rpm), Dovecot (compilato) e Postfix (compilato) su una CentOS 5.x.

    Questa procedura non sostituisce il manuale, ma serve solamente come guida di massima. Familiarizzare con le opzioni relative a SSL dei vari programmi prima di procedere. In alcune situazioni potrebbe essere necessario utilizzare ulteriori parametri oltre a quelli indicati.

    (altro…)

  • Un https migliore

    Tutti sappiamo che il protocollo https permette ad Alice e Bob di scambiarsi messaggi senza che Charlie, costantemente in ascolto sulla linea, li legga.

    Ogni browser utilizza degli espedienti grafici per indicare che la connessione in corso non è facilmente intercettabile e leggibile.

    Ma c’è un tipo di https che offre una sicurezza maggiore rispetto ad un altro e, per ora, i browser non hanno sistemi di avviso immediatamente riconoscibili per informare l’utente in merito.

    Innanzi tutto, una carrellata su come funziona il protocollo https. I due attori in gioco (Alice e Bob) sono il client (browser dell’utente) e il server. Lo scopo è fare in modo che Charlie non legga i dati che passano in ciascuna delle due direzioni.

    (altro…)