Il team di Sicurezza Digitale prosegue la sua attività di indagine sul mondo delle certificazioni SSL analizzando una nuova sezione dello studio SSL Pulse, promosso di recente dal comitato TrustWorthy Internet Movement.
In questo post desideriamo concentrarci sui dati relativi alle “Certificate Chain”, uno dei requisiti più importanti nel poter definire se un certificato SSL e l’Autorità di Certificazione emittente sono credibili o meno.
Tutti i siti web che si occupano di offrire certificati SSL utilizzano lo stesso strumento per dimostrare la propria identità digitale; in questo modo, adoperando un certificato digitale avente il medesimo profilo di massima di quello disposto per la propria clientela, il venditore di certificati SSL mostra il valore di fondo dei prodotti che rende disponibile.
Al fine di generare un legame valido tra un singolo “certificato utente”, emesso come unico per ogni acquirente e relativo dominio da proteggere, e una radice riconosciuta (trust anchor), anche detta Autorità Certificante Radice (Root Certificate Authority, CA), è fondamentale la presenza di una catena di certificati completamente affidabile dal punto di inizio a quello di fine.
La “Gerarchia Di Certificazione” è una struttura di certificati che permette a singoli individui di verificare la credibilità di coloro i quali emettono un certificato SSL. Ogni singola certificazione viene emessa e “firmata” da altri certificati che si posizionano più in alto come classe gerarchica; la validità e l’affidabilità di un certo certificato digitale dipende, quindi, da quelle del certificato che a sua volta le ha firmate.
L’immagine in alto descrive come verificare la Certificate Chainrelativa al certificato SSL installato sul sito italiano di Google.
In alcuni casi il legame che costituisce una certificazione SSL può risultare interrotto in una o più dei passaggi che la compone; quanto ciò si verifica il sito web che si decide di visitare in modalità protetta (https://) risulterà privo di un certificato SSL attendibile, anche nel caso in cui sullo stesso risultasse correttamente installato un certificato di protezione.
SSL Pulse, all’interno della sua ricerca che ha coinvolto quasi 200 mila siti web tra i più conosciuti al mondo, ha ravvisato quanto l’8% del campione controllato risulta non possedere un certificato SSL con Certificate Chain completa in ogni sua parte (poco meno di 15.000 domini sui circa 200.000 di cui sopra).
Siti web con certificati SSL aventi “Certificate Chain” interrotta (fonte: SSL Pulse, 2012)
Il risultato consiglia, una volta in più, di accertarsi che l’autorità emittente un certificato SSL possegga, a sua volta, un certificato sicuro e riconosciuto, onde evitare di vedere la propria pagina internet con la schermata rossa (su Google Chrome) tanto temuta…