[NEWS] Certificati SSL, un pasticcio DigiNotar?

[c.m.g]

mercoledì 31 agosto 2011

Spoiler:

Quote: L'autorità responsabile dell'emissione del certificato contraffatto dice di essere stata vittima di un hack a inizio luglio. Quello in questione, per Google, era sfuggito al repulisti. F-Secure semina zizzania sulla reputazione della società

Roma - La vicenda del certificato SSL trafugato dalla CA ("certificate authority) fiamminga DigiNotar si tinge di giallo: Vasco Data Security, la società USA proprietaria di DigiNotar, conferma che la società con base nei Paesi Bassi è stata vittima di un hack e che "almeno" un certificato SSL è finito online, ma assicura che ora è tutto sistemato.

Vasco sostiene che DigiNotar ha individuato l'hack lo scorso 19 luglio, riuscendo a bloccare l'emissione di quasi tutti i certificati SSL compromessi. Purtroppo quello "fuoriuscito" faceva riferimento ai servizi offerti da Google, anche se ora è esso stesso revocato e non più sfruttabile per condurre attacchi alle comunicazione protette degli ignari utenti di Internet.

Che il certificato "malevolo" sia stato revocato meno, a ogni modo, l'allerta in rete continua a essere alta: Google mette in guarda da possibili attacchi di tipo "man-in-the-middle", in cui malintenzionati potrebbero sfruttare il certificato per camuffare operazioni di ingegneria sociale dietro l'apparente sicurezza delle connessioni protette sui suoi domini.Anche i browser web vengono aggiornati per revocare in maniera permanente i certificati SSL di DigiNotar: Mozilla ha distribuito nuove versioni per Firefox (3.6.21 e 6.0.1) e Thunderbird (6.0.1), mentre Google stessa ha rilasciato il nuovo Chrome 13.0.782.218.

Vasco ha assicurato la revocazione completa dei certificati fedifraghi da parte di DigiNotar, ma stando a quanto sostiene F-Secure sulle rassicurazioni di Vasco c'è ben poco da stare tranquilli: la società di sicurezza finlandese dice che DigiNotar era stata attaccata e compromessa già un paio di anni fa, un curriculum non proprio all'altezza di una società che dovrebbe garantire la sicurezza delle comunicazioni cifrate fra client e server sul web.

Alfonso Maruccia




Fonte: Punto Informatico

[c.m.g]

Lampi di Cassandra/ I falsi certificati di Tor su punto informatico

DIGINOTAR: Certificati SSL, il buco si allarga su punto informatico

DigiNotar, sono oltre 500 i certificati fasulli su webnews

DigiNotar: si salvi chi può su punto informatico

[c.m.g]

Contrappunti/ Miele, briciole e tesoretti su punto informatico

DigiNotar verso la bancarotta su webnews

DigiNotar, bancarotta per insicurezza su punto informatico

[c.m.g]

correlata:
SSL, problemi bestiali su punto informatico

[Paracetamolo38]

Quote:

Originariamente inviato da c.m.g

mercoledì 31 agosto 2011




Roma - La vicenda del certificato SSL trafugato dalla CA ("certificate authority) fiamminga DigiNotar si tinge di giallo: Vasco Data Security, la società USA proprietaria di DigiNotar, conferma che la società con base nei Paesi Bassi è stata vittima di un hack e che "almeno" un certificato SSL è finito online, ma assicura che ora è tutto sistemato.

Vasco sostiene che DigiNotar ha individuato l'hack lo scorso 19 luglio, riuscendo a bloccare l'emissione di quasi tutti i certificati SSL compromessi. Purtroppo quello "fuoriuscito" faceva riferimento ai servizi offerti da Google, anche se ora è esso stesso revocato e non più sfruttabile per condurre attacchi alle comunicazione protette degli ignari utenti di Internet.

Che il certificato "malevolo" sia stato revocato meno, a ogni modo, l'allerta in rete continua a essere alta: Google mette in guarda da possibili attacchi di tipo "man-in-the-middle", in cui malintenzionati potrebbero sfruttare il certificato per camuffare operazioni di ingegneria sociale dietro l'apparente sicurezza delle connessioni protette sui suoi domini.Anche i browser web vengono aggiornati per revocare in maniera permanente i certificati SSL di DigiNotar: Mozilla ha distribuito nuove versioni per Firefox (3.6.21 e 6.0.1) e Thunderbird (6.0.1), mentre Google stessa ha rilasciato il nuovo Chrome 13.0.782.218.

Vasco ha assicurato la revocazione completa dei certificati fedifraghi da parte di DigiNotar, ma stando a quanto sostiene F-Secure sulle rassicurazioni di Vasco c'è ben poco da stare tranquilli: la società di sicurezza finlandese dice che DigiNotar era stata attaccata e compromessa già un paio di anni fa, un curriculum non proprio all'altezza di una società che dovrebbe garantire la sicurezza delle comunicazioni cifrate fra client e server sul web.

Alfonso Maruccia




Fonte: Punto Informatico

Il caso di Diginotar insegna che prima di acquistare un certificato SSL da installare sul server è necessario verificare chi sia l'autorità che si occupa dell'emissione! i certificati geotrust e verisign sono come al solito i più bistrattati per via del costo troppo elevato, ma se si andasse a verificare chi sono le autorità che emettono i loro certificati si scopre perché sono considerati i più sicuri!