Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Certificati SSL fasulli mettono a rischio la sicurezza in Re
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 06 Set 2011 08:46    Oggetto: Certificati SSL fasulli mettono a rischio la sicurezza in Re Rispondi citando

Commenti all'articolo Certificati SSL fasulli mettono a rischio la sicurezza in Rete
La violazione di DigiNotar mette in pericolo le connessioni "sicure", comprese quelle a Gmail, Facebook ma anche ai siti di CIA e Mossad.


Foto via Fotolia
Top
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 11:13
Messaggi: 2290
Residenza: Dreamland

MessaggioInviato: 07 Set 2011 04:37    Oggetto: Rispondi citando

Per fortuna come dice l'articolo la maggior parte dei browser ha già fatto uscire un update per mettere nella blacklist quel certificato.

Se non ricordo male non è la prima volta (successe anche a comodo e da quel che mi ricordo in modo imbarazzante) credo che sia evidente a tutti di come il sistema delle firme delle Ca non sia il migliore del mondo,non me ne intendo molto ma è lampante.

Se è vero che almeno pubblicamente nessuno ha mai violato le chiavi dei certificati e quindi ssl è sicuro come crittografia, possiamo vedere che enorme casino succede quando viene rubato un certificato valido che possono usare dandogli il nome che gli serve e fare attacchi mirati man in the middle, anche se cambia il nome del certificante magari difficilmente ci si fa caso, ormai siamo abituati a vedere https e ci si "fida" dell'identità del sito.

Lessi che alcuni suggerivano in passato di usare certificati plurifirmati da più Ca indipendenti tra loro per aumentare la sicurezza anche se complicando le cose e i costi, non so sulla carta potrebbe sembrare una buona idea.

Alla fine di Ca c'è ne sono molte, devono essere tutte riconosciute dai browser se non sbaglio perchè se no cade il fondamento del sistema dei certificati ma chi è che le controlla e si occupa che mantengano la sicurezza che devono offrire? Io posso decidere a chi affidarmi per i certificati ma cmq basta un attacco o un errore anche ad una Ca diversa o più piccola o incurante (il caso comodo con istantssl dove una delle password sembrerebbe fosse banale ecc.) per creare tutti questi casini.

Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.

Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?

Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate?
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 07 Set 2011 21:44    Oggetto: Rispondi citando

MaXXX eternal tiare ha scritto:

Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.

Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?

Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate?


Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro.

Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.

Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare.

La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Grrr

Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo. Help

Ciao
Top
Profilo Invia messaggio privato HomePage AIM
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 11:13
Messaggi: 2290
Residenza: Dreamland

MessaggioInviato: 08 Set 2011 05:19    Oggetto: Rispondi citando

mda ha scritto:
MaXXX eternal tiare ha scritto:

Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.

Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?

Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate?


Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro.

Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.

Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare.

La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Grrr

Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo. Help

Ciao

Capito, in effetti è una vergogna che si comportino così penso che ormai giustamente la fiducia sia stata mangiata irrimediabilmente e diginotar spero sia finita visto che in un altro articolo si cita di come fosse incurante della sua rete Rolling Eyes se voglio sicurezza e spendo mi auguro che quantomeno la Ca che scelgo abbia delle protezioni minime.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 10 Set 2011 14:14    Oggetto: Rispondi citando

mda ha scritto:
Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.


Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. Anxious Pray]

mda ha scritto:
Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare.

Su questo avrei pochi dubbi...

mda ha scritto:
La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Grrr

Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo. Help

Ciao

In un mondo in cui le spese continuano a contrarsi per massimizzare i profitti con la politica del mordi e fuggi spendere nella sicurezza, per molti, diventa sempre più fantascienza. Incupito
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 10 Set 2011 15:06    Oggetto: Rispondi citando

Gladiator ha scritto:
mda ha scritto:
Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.


Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. Anxious Pray]
(...)


Bestemmio in filippino!!!
Laughing Laughing Laughing

Ciao
Top
Profilo Invia messaggio privato HomePage AIM
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 10 Set 2011 15:12    Oggetto: Rispondi

mda ha scritto:
Gladiator ha scritto:
mda ha scritto:
Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.


Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. Anxious Pray]
(...)



Bestemmio in filippino!!!
Laughing Laughing Laughing

Ciao

Folcloristico ma, purtroppo, inutile...

Laughing Laughing Laughing
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi