Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.
L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.
Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.
Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.
Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.
Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)
Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.
Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.
Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:
- verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.
- analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.
- combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.
Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.
In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).
In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.
Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!