Gestione dei certificati digitali: 5 importanti lezioni dopo Heartbleed

Nel 2014, una vulnerabilità in OpenSSL fu scoperta nel peggiore dei modi possibili, ovvero attraverso un bug chiamato Heartbleed. Un nome decisamente azzeccato, considerando che si trattava di una vulnerabilità “buffer over-read” che esisteva specificamente nell’implementazione TLS di heartbeat. 

Per fortuna non ci fu alcuna violazione significativa, ma le aziende di tutto il mondo dovettero correre ai ripari per risolvere questa insidiosa vulnerabilità. In moltissimi casi le aziende dovettero analizzare un foglio di calcolo dei loro certificati SSL/ TLS per trovare i server interessati. 

Nonostante siano passati sette anni ancora molte aziende nel mondo ancora si rifiutano di passare a un sistema di gestione dei certificati digitali automatizzato. Quindi, la domanda che sorge spontanea è: quali lezioni possiamo imparare dal caso Heartbleed sulla gestione dei certificati digitali?

In questo nuovo articolo proveremo a rispondere a questa interessante domanda. Iniziamo! 

Potrebbe sembrare intuitivo, ma il primo passo per automatizzare la gestione dei certificati digitali è automatizzare il processo. Ciò significa abbandonare l’approccio tradizionale di mantenere licenze e certificati digitali all’interno di un semplice foglio di calcolo Excel. Questa cattiva pratica, infatti, ha contribuito in modo determinante al propagarsi di Heartbleed, poiché richiede una quantità di tempo notevole per trovare i certificati digitali compromessi e aggiornarli sui server e negli altri device. 

Purtroppo, secondo i risultati del recente sondaggio GlobalSign 2021 PKI, il 36% dei professionisti IT ancora si affida ai fogli di calcolo Excel per gestire i certificati digitali, anche se sono disponibili efficaci strumenti di automazione per la loro gestione. Esistono, infatti, diverse soluzioni per automatizzare la gestione del ciclo di vita dei certificati, inclusa l’automazione del provisioning dei certificati e del processo di registrazione. 

Il supporto TLS è di vitale importanza per poter evitare problemi simili a quelli causati da Heartbleed. È necessario essere allineati con le migliori pratiche, il tuo server dovrebbe accettare solo TLS 1.2 e 1.3. Non esiste alcuna motivazione per mantenere una delle versioni precedenti, molto spesso questo può causare lamentele da parte degli utenti sempre più sensibili e consapevoli dell’importanza della loro sicurezza online. 

Ciò è stato reso più evidente dal fatto che gli attacchi ai certificati TLS/SSL spesso vanno e vengono e che c’è sempre un rischio con la versione precedente dei protocolli. Quindi non rischiare, aggiorna a TLS 1.3 il prima possibile.

Poiché Heartbleed si basava su una vulnerabilità OpenSSL, è importante che le organizzazioni conducano revisioni interne periodiche dei software open source che utilizzano. Questa attività può essere condotta in vari modi, sia attraverso analisi dinamiche che statiche. Tuttavia, dovrebbe includere un’approfondita ricerca online per le vulnerabilità poco note. Rimanendo al passo, le aziende, infatti, possono assicurarsi di non cadere vittime delle vulnerabilità meno note.  

Naturalmente, non tutte le aziende hanno i propri team di sicurezza interni, quindi potresti prendere in considerazione di affidarti ad un professionista o ad un’agenzia di consulenza per eseguire l’audit, così da rendere sicuro il tuo sito Web e il tuo sistema di backend. Anche l’apertura di una divisione interna è un’opzione percorribile, anche se decisamente costosa.

Questo aspetto non deve essere sottovalutato, soprattutto a causa del modo in cui sono costruite la maggior parte delle librerie open source e del fatto che non sono firmate crittograficamente. C’è un motivo per cui il mercato globale della sicurezza informatica è pronto a raggiungere i 420 miliardi di dollari entro i prossimi sette anni, ed in parte è dovuto a questo tipo di vulnerabilità.

La segretezza perfetta a posteriori, o PFS, è un concetto crittografico che ruota attorno alla sicurezza delle chiavi a lungo termine. In altri termini, permette alle chiavi di sessione di essere protette anche se determinate sessioni di scambio di chiavi sono compromesse. Pensalo come un serbatoio del carburante autosigillante: anche se c’è una violazione, non viene compromessa l’integrità generale.

In realtà esiste una ampia varietà di protocolli che utilizzano Perfect Forward Secrecy, ad esempio IPsec e SSH, entrambi molto diffusi quando si tratta di messaggistica. Sarai anche felice di sapere che TLS 1.3 non supporta i cifrari senza PFS, motivo per cui è così importante distribuirlo il prima possibile. 

Uno dei principali problemi quando si tratta di sviluppare un prodotto o un servizio è il dover coniugare in maniera efficace velocità e sicurezza. Per questo motivo è di fondamentale importanza avere una cultura che si concentri sulla sicurezza come elemento fondante di progettazione. 

Le aziende dovrebbero disporre di un processo semplificato per DevSecOps , nonché di una buona formazione e opportunità di crescita delle competenze in questo specifico settore. Inoltre, una fase di firma del codice dovrebbe essere integrata nella metodologia di Continuous Integration e Continuous Deployment aziendale, così da aiutare gli sviluppatori a costruire i loro prodotti con interferenze minime o ripensamenti. 

Heartbleed ha cambiato in profondità il nostro approccio alla gestione dei certificati digitali e alla sicurezza informatica in generale. Tuttavia, molte organizzazioni devono ancora adeguarsi ad un modo più moderno e affrontare lo sviluppo con un focus maggiore sulla sicurezza. Adottando la gestione automatizzata dei certificati digitali, le organizzazioni possono rispondere molto più rapidamente a questo tipo di vulnerabilità e proteggere i propri sistemi e i dati dei loro clienti.

Top SSL, rivenditore ufficiale GlobalSign, può aiutarti, offrendo un’ampia gamma di strumenti e i prodotti SSL innovativi per le imprese e i privati che vogliono garantire la cybersecurity, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL / TLS. Non aspettare ulteriormente contattaci!