7010 Letture

Un certificato "fasullo" ed il sito web diventa legittimo

Jacob Appelbaum, famoso esperto di sicurezza oltre che stimato hacker - attivo, tra l'altro, anche sul progetto "Tor" -, ha reso pubblico un certificato SSL, con la corrispondente chiave privata che può consentire, di fatto, a qualunque server web di evitare la comparsa di un messaggio di allerta sui browser "vulnerabili". Coloro che mettono in atto truffe informatiche ("phishers") potrebbero riutilizzare il certificato per far credere ai browser web meno aggiornati di essersi collegati con server legittimi come, ad esempio, quelli degli istituti di credito.

Fortunatamente la pubblicazione delle informazioni relative all'utilizzo del certificato SSL "fasullo" non creerà problemi agli utenti che hanno provveduto ad aggiornare il browser utilizzato. Da alcune settimane, infatti, tutti i principali produttori di browser hanno provveduto a sanare la vulnerabilità.

Ad ogni modo è sempre bene non dare per scontato che le applicazioni utilizzate per "navigare" sul web non contengano più la falla di sicurezza. Alcune segnalazioni, ad esempio, fanno notare come RIM abbia ad esempio rilasciato un aggiornamento per i suoi smartphone BlackBerry solamente nella giornata di ieri.

  1. Avatar
    Lettore anonimo
    10/05/2012 19:02:18
    Solitamente questa tipologia di inconvenienti capita quando vengono emessi certificati SSL Domain Validation, che prevedono il controllo pre-emissione solo del dominio e non della società che lo detiene. Per questo motivo sono consigliabili sempre e comunque certificati OV http://www.trustico.it/glossary/glossario-ssl.php#OV e EV http://www.trustico.it/glossary/glossario-ssl.php#EV (tra l'altro quest'ultima tipologia permette la visualizzazione della "barra verde", che proprio nulla non è...")
Un certificato