Certificati SSL/TLS: l’importanza di aggiornare i protocolli di crittografia

Oggigiorno, è sempre maggiore la consapevole dell’importanza dei certificati SSL/TLS per la protezione delle attività online. Molti proprietari di siti internet, infatti, hanno una conoscenza dei diversi tipi di certificati SSL/TLS disponibili e dei livelli di protezione che questi offrono. 

Molte meno persone, invece, sono a conoscenza del funzionamento dei protocolli crittografici alla base di un certificato e del fatto che questi vengono continuamente aggiornati. A volte, l’aggiornamento serve per consentire al sistema SSL di affrontare nuove sfide e ottenere funzionalità avanzate, come nel caso della ricerca sulla protezione dei dispositivi IoT. A volte, invece, i protocolli devono essere aggiornati perché, in alcuni casi, possono risultare poco sicuri.

Questo aspetto è spesso trascurato da chi gestisce un sito web. In questo articolo, affronteremo  proprio tale problematica, esamineremo i recenti attacchi informatici verificatisi contro i certificati SSL/TLS e vedremo come rimanere protetti.

Il primo tipo di attacco che tratteremo non è poi così recente, ma che vale la pena esaminare a causa delle sue somiglianze con gli attacchi SSL successivi. POODLE, acronimo di Padding Oracle on Downgraded Legacy Encryption, è stato uno dei primi attacchi che hanno avuto successo contro i siti protetti da SSL.

Anche se TLS ha per lo più sostituito SSL 3.0, poiché quest’ultimo è uno standard di crittografia più vecchio, l’attacco POODLE sfrutta il fatto che quando un tentativo di connessione sicura con TLS fallisce, la maggior parte dei server tornerà a SSL 3.0. Se un hacker è in grado di generare un errore di connessione, può quindi forzare l’uso di SSL 3.0 per mettere a segno un attacco Man-In-The-Middle.

Sebbene questo attacco sia stato facilmente sconfitto dagli amministratori di siti Web che aggiornano i loro protocolli SSL, è rimasto una pericolosa vulnerabilità. Questo perché molto spesso tanti amministratori di siti Web non sanno quale versione del protocollo SSL stanno realmente utilizzando.

La consapevolezza che l’utilizzo di un certificato SSL aiuti a migliorare il ranking del tuo sito su Google ha, infatti, incoraggiato molte aziende ad acquistare un certificato digitale semplicemente senza considerare quanto sia sicuro il servizio che viene offerto. Ciò ha portato in molti casi a una crittografia SSL obsoleta che è diventata uno dei problemi di sicurezza più comune di molti siti in WordPress.

Se hai bisogno di una conferma di quanto detto finora, basta osservare una serie di recenti attacchi ai protocolli di crittografia SSL. Quest’ultimi, infatti, hanno sfruttato tutti le vulnerabilità in protocolli già deprecati.

Prendiamo come primo esempio DROWN. Questo attacco ha interessato un gran numero di siti Web HTTPS e sta per “Decrypting RSA with Obsolete and Weakened Encryption”. Il vettore di attacco utilizzato era tramite SSLv2, che anche al momento in cui è emerso l’attacco era un protocollo obsoleto. Purtroppo, molti server ancora supportano e utilizzano SSLv2. Se il tuo server HTTPS supporta sia TLS che SSLv2, questo attacco può decrittografare le connessioni intercettate dai client.

Un secondo esempio è HEARTBLEED. Questa vulnerabilità è venuta alla luce nel 2014 e ha sfruttato un difetto nell’implementazione di OpenSSL. OpenSSL è così ampiamente utilizzato che ha creato una sorta di crisi quando è stato scoperto il bug. Alcune stime indicano che il numero di sistemi interessati è pari a circa il 17% di tutti i server SSL e la vulnerabilità è persistita per anni a causa di patch e aggiornamenti implementati lentamente.

Durante questo periodo, HEARTBLEED era veramente pericoloso ed era in grado di cagionare gravi danni. Un attacco ai dati dei pazienti presso la Community Health Systems è stato attribuito a questo bug, così come l’hackeraggio alla Canadian Revenue Agency che ha portato al furto di centinaia di migliaia di numeri di identificazione sociale di ignari cittadini canadesi.

Cosa possiamo imparare da tutti questi casi di attacchi ai certificati SSL/TLS? La risposta è  semplice: è di fondamentale importanza scaricare tutte le patch di sicurezza rese disponibili per SSL/TLS e assicurarti di utilizzare la versione più recente del protocollo di crittografia SSL disponibile. Ad esempio se utilizzi OpenSSL puoi trovare i codici più recenti sul sito ufficiale di OpenSSL.

Per molti proprietari di siti, specialmente quelli che non utilizzano certificati SSL/TLS a pagamento di una CA affidabile, questa operazione può essere più complessa di quanto sembri. Molti siti, infatti, oggi fanno uso di certificati SSL / TLS gratuiti resi disponibili, ad esempio, dai provider di hosting.  

In tali circostanze, è di vitale importanza che i proprietari del sito contattino il proprio provider per capire quale protocollo SSL/TLS è in uso sul loro sito e verificare che non sia utilizzato un sistema obsoleto.

I tre tipi più comuni di certificati SSL offerti da molti provider come parte integrante dei loro piani di hosting sono:

1. certificati SSL DV (Domain Validation)
2. certificati SSL OV (Organization Validation)
3. certificati SSL EV (Extended Validation)

Di questi, i certificati SSL EV sono attualmente i più avanzati e sicuri, ma è importante assicurarsi che ci sia un modo affidabile per ottenere e implementare patch e aggiornamenti ai protocolli SSL, sia sui server degli host web utilizzati, se è lì che i certificati vengono archiviati o su i server locali.

Ovviamente, mantenere aggiornati i tuoi certificati SSL/TLS non ti proteggerà da ogni attacco. Recentemente, ad esempio, è stato riscontrato un malware crittografato in grado di eludere il rilevamento SSL, per cui avremo bisogno di nuovi strumenti per combattere queste tipo di nuove minacce.

Stiamo tutti iniziando a renderci conto dell’importanza della sicurezza informatica e di come queste basi devono essere messe in atto prima di esplorare nuove opzioni. Quindi per prima cosa assicurarti che il tuo sistema SSL/TLS sia aggiornato, per non entrare a far parte delle statistiche dei siti violati.

Top SSL offre un’ampia gamma di strumenti per la gestione dei certificati per soddisfare ogni varietà di esigenze aziendali. Se vuoi sapere come migliorare la gestione dei certificati SSL  ed evitare interruzioni potenzialmente costose per la tua azienda, contattaci subito!