Home News Sistema SSL, perchè non funziona?
Sistema SSL, perchè non funziona? PDF Stampa E-mail
Mercoledì 15 Aprile 2015 11:05

Sistema SSL, perchè non funziona?

Problemi di sicurezza di tutte le tipologie. Protocollo SSL non affidabile, algoritmo RC4 TLS poco sicuro e via discorrendo. Ma se tutti questi protocolli sono stati davero progettati per la sicurezza, come mai ci sono tutte queste problematiche?

Ci si ritrova di fronte a quello che potrebbe essere definito il teatrino della sicurezza Web: si vedono solo le scene sul palco e non si sa nulla di cosa accade dietro le quinte. E il peggio è che dietro le quinte sembra non accadere proprio nulla, perché ciò che dovrebbe essere sicuro, in realtà non lo è e ciò che dovrebbe funzionare in modo impeccabile, in realtà non funziona!

I protocolli SSL, TLS e HTTPS si dicono sicuri ma sono imperfetti. E nonostante tutto, sembra si voglia continuare su questa strada, pur esistendo alternative facilmente implementabili e sicuramente efficaci.

Si potrebbe parlare, ad esempio, del tester rilasciato nel 2013 da Steve Gibson, che permette di digitare un nome a dominio, ottenerne il fingerprint del certificato di sicurezza dal server e confrontarlo con quello mostrato nel proprio browser, per verificarne la corrispondenza ed escludere eventuali attacchi di tipo Man-In-The-Middle.

Si potrebbe citare, ancora, il progetto Google Certificate Trasparency, pensato per correggere i difetti strutturali del sistema su cui si basano i certificati SSL, ponendo in evidenza i certificati che sono stati erroneamente emessi da un’autorità di certificazione o che sono stati acquisiti in modo sospetto.

Senza poi scomodare l’avvenieristico progetto di un Osservatorio SSL, presentato nel 2010 e mai decollato realmente. Doveva essere capace di disporre di tutti i dataset dei certificati SSL per aiutare la ricerca delle vulnerabilità e dei certificati fasulli.

Infine, Jonathan Zdziarski, ha anche suggerito di prendere a prestito dal sistema email il concetto di Sender Policy Framework (SPF), creando un Certificate Validation Framework (CVF).

Insomma, i sistemi per migliorare i certificati di sicurezza e i protocolli SSL, TLS e HTTPS esistono, ma sembra quasi che ci sia un motivo oscuro per cui il grande pubblico di Internet debba essere mantenuto ignorante e poco informato.

Perchè nessuno è informato sulla sicurezza dei certificati SSL?

Forse è arroganza da parte delle aziende IT, forse è la mancanza di fondi da investire nel debugging e nella ricerca delle vulnerabilità, forse è la modalità con cui sono pensate le autorità certificatrici o forse è la volontà di non esporre troppo la problematica perchè, altrimenti, si capirebbe che un problema di sicurezza esiste ed è serio. O forse le agenzie di spionaggio  vogliono che tutto rimanga così com’è, per consentire un’attività di raccolta dati indisturbata.

Quale sia o quale non sia il motivo, una cosa è certa: il sistema SSL non è sicuro. Lo diceva nel 2011 Dan Goodin, in un articolo intitolato “How is SSL hopelessly broken? Let us count the ways“, dove si legge: “… i ripetuti fallimenti suggeriscono che il sistema nel suo stato attuale è irrimediabilmente non funzionante.” , a cui si aggiunge la citazione di Moxie Marlinspike, secondo cui ” c’è solo un’illusione di sicurezza” .

Infine, un più recente articolo del The Economist sostiene: “Il sistema dei certificati digitali che sarebbe destinato a bloccare le intercettazioni sulle trasmissioni Internet sembra essere a brandelli.” .

Non è dunque pessimismo cosmico, è solo una constatazione dei fatti: la tecnologia per mettere il Web in sicurezza c’è, ma sembra che non la si voglia usare. O almeno non nel modo corretto.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.