protocolli di sicurezza
Oggi vorrei dare alcuni suggerimenti riguardo l’utilizzo, oramai uno standard de facto, dei protocolli di sicurezza. Innanzi tutto è necessario dire che i protocolli di sicurezza sono appunto dei protocolli di crittografazione comunemente usati in ambito informatico e in quello delle telecomunicazioni. Questi protocolli oltre a proteggere le comunicazioni tra i nodi di una rete, consentono anche di assicurare che il sistema che ci sta rispondendo sia realmente quello originale. Ovviamente questi certificati sono basati su algoritmi che utilizzano le chiavi pubbliche e private. Magari sarà un prossimo argomento da trattare. A proposito di questi protocolli di sicurezza, a seguire alcune pillole che potrebbero essere utili:
Certificati SSL e TLS
Un certificato SSL di fatto è un file che viene ospitato all’interno di un server in cui risiede uno o più siti Web.
All’interno del file è presente la chiave pubblica del sito e tutte le informazioni ad esso associate.
Tutti i dispositivi che necessitano di comunicare con il server faranno riferimento a questo file per ottenere la chiave pubblica, in modo da poter verificare la reale identità del server stesso.
La chiave privata verrà mantenuta sempre sul server in un posto sicuro.
Sistemi e chiave privata:
Server Windows:
Il sistema operativo gestisce il certificato in un file nascosto, ma che può essere esportato in un file con .PXF che contiene sia il certificato che la chiave privata.
- Apri Microsoft Management Console (MMC).
- Nella radice console, espandi Certificati (computer locale). Il certificato si trova nella cartella Personale o Server web.
- Fai clic con il pulsante destro del mouse sul certificato, seleziona Esporta e segui la procedura guidata.
Dopo aver esportato il file .pfx, si può tenere come backup della chiave oppure usarlo per installare il certificato su un altro server Windows. Se si sta utilizzando il certificato su un sistema operativo diverso il file .pfx dovrà essere suddiviso in due parti, nel certificato e nella chiave privata.
Server Apache:
Possiamo trovare la posizione della chiave privata nel file di configurazione Apache denominato .http.conf
oppure apache2.conf
. La riga SSLCertificateKeyFile indica il percorso del file per la chiave privata
Load Balancer F5 NGINX:
Il percorso per la chiave privata è elencato nel file host virtuale del tuo sito. Accedi al modulo server del tuo sito (per impostazione predefinita si trova nella directory /var/www). Apri il file di configurazione del sito e cerca ssl_certificate_key dove è indicato il percorso per la tua chiave privata.
Verifica se il nostro dispositivo è compatibile con il protocollo TLS 1.2
Verifica Browser: https://www.howsmyssl.com/
Si tratta di un servizio web che eseguirà un test automatico del browser in uso visualizzando, al termine, un sommario dei risultati ottenuti. Individua il numero di versione del protocollo TLS all’interno della sezione “Version“.
Come controllare la Versione del Protocollo TLS Usata da un Sito Web
- Avvia il browser internet del computer, dello smartphone o del tablet in uso. Puoi eseguire questa procedura di controllo usando qualsiasi browser internet, inclusi Chrome, Safari o Firefox.
- Visista il sito web https://www.ssllabs.com/ssltest. Si tratta di un servizio web gratuito che è in grado di risalire alla versione del protocollo TLS usata da qualsiasi sito web presente in internet.
- Inserisci il dominio o l’indirizzo IP del server da controllare. Digita l’informazione richiesta all’interno del campo di testo “Hostname” collocato nella parte superiore della pagina.
- Se non vuoi che il dominio o l’indirizzo IP testato appaia nella lista lista dei siti web controllati di recente, seleziona il pulsante di spunta “Do not show the results on the boards”.
- Premi o clicca sul pulsante Submit. Il sito web indicato verrà esaminato e, al termine del controllo, verrà visualizzato un riepilogo che mostrerà il livello complessivo della sicurezza del sito.
- Normalmente il completamento della procedura di controllo richiede circa 3 minuti.
- Scorri la pagina verso il basso fino alla sezione “Configuration”. È visualizzata dopo la sezione “Certificate”.
- Individua tutte le versioni del protocollo TLS che sono caratterizzate dall’indicazione “Yes” all’interno della sezione “Protocols”. Tutte le versioni del protocollo TLS (sia quelle supportate sia quelle non supportate) sono elencate nella parte superiore della sezione “Configuration”. Le versioni caratterizzate dalla dicitura “Yes” sono supportate dal sito web che hai testato.
Riferimenti:
Versioni SSL e TLS
Ecco una breve cronistoria completa delle versioni SSL e TLS:
- SSL 1.0 – mai rilasciato al pubblico per problemi di sicurezza.
- SSL 2.0 – rilasciato nel 1995. Obsoleto nel 2011. Ha riscontrato problemi di sicurezza.
- SSL 3.0 – rilasciato nel 1996. Obsoleto nel 2015. Ha riscontrato problemi di sicurezza.
- TLS 1.0 – rilasciato nel 1999 come aggiornamento a SSL 3.0. Deprecazione programmata nel 2020.
- TLS 1.1 – rilasciato nel 2006. Deprecazione programmata nel 2020.
- TLS 1.2 – rilasciato nel 2008.
- TLS 1.3 – rilasciato nel 2018.
Durata dei certificati:
Durata di un certificato SSL: 13 mesi
Tali standard impongono che i certificati SSL possono avere attualmente una durata massima di 13 mesi (397 giorni per essere precisi). Questo vuol dire che ogni sito internet deve rinnovare o sostituire il proprio certificato SSL / TLS almeno una volta ogni tredici mesi.
Ottenere un certificato SSL gratuitamente:
Puntare il browser all’indirizzo: https://www.sslforfree.com
Nella barra di testo inserire il nome del dominio del nostro sito Web, ad esempio “www.fabriziodeluca.net” cliccare sul pulsante “Create Free SSL Certificate”.