L’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare.
Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.
Continua a leggereL’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare.
Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.
Continua a leggereGoogle ha annunciato che dal prossimo 16 giugno bloccherà le connessioni SMTP cifrate con SSLv3 e RC4.
Questo potrebbe avere qualche impatto di poco conto sugli utenti e qualche piccola ripercussione per chi invia la mail da altri fornitori. (altro…)
I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.
I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili. (altro…)
Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile.
Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un errore, ma di una scelta progettuale dovuta alle restrizioni esistenti negli anni ’90 sulla esportazione di tecnologie crittografiche dagli USA verso l’estero. La storia di come queste restrizioni siano state concepite e di quale danno abbiano provocato dovrebbe essere già noto a tutti, segnalo comunque al lettore interessato la esaustiva pagina su Wikipedia.
Il funzionamento di DROWN è spiegato in questo documento tecnico completo, tuttavia riassumeremo qui di seguito il suo modus operandi a grandi linee. (altro…)
Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com
Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com
È, quindi, necessario prestare particolare attenzione ai siti del dominio xboxlive.com che presentano un certificato apparentemente valido e firmato da Microsoft. (altro…)
Ieri è partita la beta pubblica di Let’s Encrypt.
Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP.
In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere un numero arbitrario. (altro…)
Alcuni modelli di computer Dell tra cui XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647, e Precision M4800 venduti di recente hanno preinstallato una CA completa di chiave privata che può firmare certificati utilizzabili per verificare l’attendibilità di un sito o di un programma.
Un attaccante potrebbe utilizzare quella CA per truffare gli utenti Dell attraverso siti civetta o programmi apparentemente legittimi. In entrambi i casi, chi ha installato la CA eDellRoot vedrebbe programmi e siti contraffatti come legittimi. (altro…)
SHA-1 è un algoritmo di hash, ovvero un algoritmo che trasforma una serie di dati di lunghezza arbitraria in una serie di dati di lunghezza fissa.
In crittografia una buona funzione di hash non deve permettere di dedurre i dati sorgente conoscendo solamente il risultato e non deve permettere facili collisioni, ovvero dato un risultato, trovare una sequenza di dati che fornisca quel preciso valore di hash.
Le funzioni di hash utilizzate in crittografia cambiano con l’evolversi della potenza computazionale a disposizione. MD5 è stato reso obsoleto da tempo, ora è il turno di SHA-1 perché la sua vulnerabilità è una cosa nota da qualche tempo.
Con un hardware attuale normalmente acquistabile si può calcolare una collisione SHA-1 in una settimana circa. (altro…)
8Spesso potrebbe tornare utile effettuare dei test delle connessioni SSL/TLS da linea di comando *NIX senza scomodare un browser o un client del protocollo che si vuole verificare.
Di seguito alcuni esempi di come effettuare queste verifiche. (altro…)
La crescita della potenza di calcolo crea problemi ai vecchi algoritmi di sicurezza o di hash.
L’algoritmo MD5 era stato reso obsoleto a fine 2008, ora è il turno di SHA-1.
Il protocollo https fa un ampio uso degli algoritmi di hash, ma se è relativamente facile calcolare delle collisioni che permettono di calcolare il dato originale partendo dall’hash, la sicurezza di https è compromessa. (altro…)
FREAK è l’acronimo di Factoring RSA Export Keys.
Si tratta del termine con cui si identifica un exploit di sicurezza, relativo alle chiavi pubbliche e private di una comunicazione crittografata, venuto alla ribalta solo ai primi di marzo del 2015, nonostante si basi su una vulnerabilità risalente a decenni fa. (altro…)
Il protocollo FTP è, a ragione, abbastanza disprezzato dai SysAdmin.
Siccome è un protocollo molto vecchio, presenta dei comportamenti che non sono più adatti alle configurazioni attuali. Uno di questi è la trasmissione in chiaro delle credenziali.
Come per altri protocolli, è stata aggiunta la possibilità di utilizzare TLS come trasporto ottenendo il protocollo FTPS (RFC4217), che non va confuso con il protocollo SFTP. (altro…)