Articoli

Security Tips from US-CERT
Conoscere i certificati dei siti web
Autori testo originale: Mindi McDowell

Sicuramente vi sarà capitato di accedere ad un sito web e di aver visto apparire una finestra di dialogo che segnalae un errore di utilizzo di un certificato. La conoscenza dei certificati vi  sarà di aiuto per proteggere la Vs. privacy!!

 

Cosa rappresenta un ceritificato?

Un certificato è l’elemento cardine della comunicazione crittografata. Esso contiene la chiave utilizzata dall’algoritmo di crittografia per la codifica/decodifica delle informazioni.

Un certificato, inoltre, può anche rappresentare un elemento di identificazione per una organizzazione. Se ricevo un certificato A assegnato ad una organizzazione B potrei assumere che io stia dialogando proprio con l’entità B.

 

 

Cosa sono i siti web certificati?

Un sito web è certificato quando utilizza certificati digitali per instaurare una canale sicuro di comunicazione. Ovvero, un canale attraverso il quale il dialogo avviene inviando e ricevendo informazioni crittografate.

La comunicazione attraverso un canale sicuro avviene "spostando" la comunicazione su di un protocollo differente identificato dall'acronimo https, che prende il posto del più noto http all’interno della barra di indirizzi del vostro web browser.

Tale acronimo all’interno della barra non vi garantisce completamente che le vs. informazioni non sono catturate da un hacker. Dovete accertarvi della validità del certificato. Un sito web utilizza un certificato valido se esiste una autorità di certificazione che garantisce che il certificato ricevuto appartiene realmente all'organizzazione con la quale state comunicando. Ossia, avete ricevuto un certificato A che identifica effettivamente l’organizzazione B. Per questo, quando accedi ad un sito web che utilizza la crittografia, il tuo browser controlla che il certificato abbia le seguenti caratteristiche:

1. l'indirizzo del sito web è identico a quello dichiarato all'interno del certificato

2. il certificato è firmato da una autorità di certificazione che lo stesso browser riconosce come una autorità di fiducia

 

Bisogna credere in un certificato?

Il livello di fiducia da porre in un certificato è direttamente proporzionale con il grado di autorevolezza dell'autorità di certificazione. Se l'indirizzo web è identico a quello contenuto nel certificato, inoltre il certificato è firmato da una autorità di fiducia ed infine la data del certificato risulta ancora valida è possibile riporre un alto grado di confidenza circa l’attendibilità della comunicazione. Il sito web che state visitando è proprio quello che intendete visitare!

Ad ogni modo, nelle comunicazioni caratterizzate da bassa criticità è sufficiente riporre la fiducia unicamente nell'autorità di certificazione che verifica l'organizzazione per te. A tal scopo il vostro browser già contiene una lista di più di cento autorità di certificazione di fiducia.

 

Come posso controllare un certificato?

Puoi controllare un certificato selezionando con un click del mouse il padlock all'interno della status bar contenuta nella finestra del web browser. Tuttavia questo metodo non garantisce massima sicurezza. Il browser potrebbe non visualizzare la status bar di default. Un attacker potrebbe creare pagine web che simulano l'icona del padlock. Icona, che se selezionata visualizzerà una finestra di dialogo falsa.

In modo maggiormente sicuro è possibile verificare le informazioni contenute in un certificato accedendo ai contenuti nel menu delle opzioni del web browser e quindi controllare:

- se chi ha rilasciato il certificato sia una autorità di certificazione legittimata e sicura (magari leggendo nomi di organizzazioni quali VeriSign, Thawte o Entrust)

- a quale organizzazione è stato rilasciato il certificato e se quest’ultima è l'organizzazione proprietaria del sito web.

- la data di scadenza del certificato (la gran parte dei certificati hanno che è di circa uno o due anni. Unica eccezione è rappresentata dal certificato assegnato ad una autorità di certificazione poiché la redistribuzione dello stesso a tutte le organizzazioni che già lo conosco potrebbe durare circa 10 anni)

 

In conclusione, quando visiti un sito web, potrebbe apparire una finestra di dialogo che segnala un errore inerente l’utilizzo di un certificato. Questo potrebbe accadere se il nome del sito non coincide con il contenuto del certificato o se il certificato è scaduto. In questi casi ti viene sottoposta la scelta di esaminare il certificato e quindi accettare il certificato per sempre, accettare solo per la visita che si sta compiendo o infine di non accettarlo. In caso di confusione e se non si ha certezza circa la validità del certificato o la sicurezza del sito allora non sottomettere informazioni personali… anche se esse sono criptate.