Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

VULNERABILITÀ DI CRITTOGRAFIE DIFFUSE SU PROTOCOLLO HTTPS. LANCIO DI “LET’S ENCRYPT”

di Armando Gabrielli e Luigi Mauro

Nel 2015 l’osservatorio Electronic Frontier Foundation (EFF), a conclusione di un lungo lavoro di ricerca, ha finalmente annunciato la disponibilità di “Let’s Encrypt”: una nuova Certification Authority (CA) open source realizzata in collaborazione con alcuni enti quali Mozilla, Cisco, Akamai, IdenTrust e con ricercatori dell’Università del Michigan, al fine di garantire la transizione da HTTP a HTTPS e permettere la cifratura dei dati a livello dell’intero web.


 

L’analisi delle problematiche inerenti la sicurezza delle trasmissioni di dati in Internet non è recente; infatti negli ultimi periodi si è osservato sempre più, in eventi pubblici d’information security e/o in diversi forum WEB, che il numero di attacchi a siti WEB che utilizzano il protocollo HTTPS sono in notevole aumento e che svariate Certification Authority (CA) sono oggetto d’attacchi. A riguardo, infatti, viene evidenziato in diversi articoli di merito, passati o recenti, che molti e noti siti WEB che utilizzano il protocollo Secure Socket Layer (SSL) risultano particolarmente vulnerabili ad attacchi di tipo Man in The Middle (MITM) e che, inoltre, i certificati installati risultano spesso non validi. In tale situazione, l’osservatorio Electronic Frontier Foundation (EFF) è stato sicuramente precursore circa le analisi su diffusione, limiti e criticità nell’utilizzo del protocollo SSL: infatti una delle missioni ambiziose di EFF, già nel lontano 2009, era quella di valutare come i siti WEB che non usavano protocolli di crittografia (es. HTTP) potevano evolvere utilizzando strumenti crittografici, entro il 2012-2013 e mediante l’adozione del protocollo HTTPS, con particolare riferimento ai più importanti siti web.

A riguardo, l’ulteriore obiettivo di EFF è stata anche la ricerca ed analisi delle informazioni presenti sui certificati dei siti WEB. La ricerca ha rilevato che soltanto il 10% dei circa 16 milioni di IP pubblici, che rispondevano in HTTPS (sulla porta standard 443), disponeva di precise autorizzazioni e validi certificati. È stata redatta una mappa, articolata su circa 650 organizzazioni che rappresentavano le Certification Authority note nel 2010. Tale mappa globale fornisce ancora oggi uno strumento, anche se non aggiornato, che può essere utilizzato per avere alcune indicazioni sulle “relazioni di subordinazione” esistenti tra le diverse CA.

Da diversi anni in Italia si lavora nella direzione di garantire sia la non ripudiabilità dei certificati forniti da una CA “standard” sia l’identità del soggetto tramite il suo stesso certificato: le CA possono risultare “autorizzate”, oppure essere designate tali, a seguito di un processo di accreditamento presso la DigitPA, che inserisce e pubblica la CA in un apposito elenco di pubblico dominio denominato “Elenco Pubblico dei Certificatori”. Poter disporre di una mappa, anche se aggiornata al 2012, è sicuramente molto utile e funzionale anche all’utente finale italiano, al fine di poter individuare siti con certificati rilasciati da CA “attendibili” e legalmente riconosciute.

Il protocollo HTTP è stato un enorme successo mondiale anche se intrinsecamente insicuro, poiché vulnerabile a problemi come “account hijacking” o il furto di identità. Il protocollo HTTPS, anche se non è ancora perfetto, rappresenta sicuramente un grande miglioramento sul fronte della sicurezza. Quando utilizziamo il protocollo HTTPS si realizza una mutua autenticazione delle parti (SSL Handshake Protocol), nella quale il server con il quale il client richiede l’autenticazione invia un messaggio che contiene un certificato secondo lo standard X.509 (Standard IETF del 1988): elemento fondamentale in tale meccanismo di autenticazione è il certificato a chiave pubblica degli utenti. Il certificato, chiaramente, deve essere emesso da una CA “Autorizzata” ed attendibile e deve essere inserito nel directory server (LDAP Server) nel quale solitamente sono definite le identità degli utenti: il Directory Server può, a sua volta, svolgere il ruolo di archivio dei certificati a chiave pubblica; configurazione che può essere eseguita direttamente dalla CA oppure dall’utente. L’EFF ha espresso delle criticità con riferimento sia alle vulnerabilità d’implementazione sia all’estrema flessibilità e generalità di tale standard X.509, a conclusione di tale fase di autenticazione, che risulta comunque alquanto datato.

 

…continua su EDICOLeA e sull’APP gratuita (iOSAndroid)

 


Altri articoli di Armando Gabrielli

 


Altri articoli di Luigi Mauro

Translate »