Un errore di configurazione da parte di aziende come Apple, Google e Godaddy ha messo a rischio milioni di certificati SSL distribuiti su vari siti e servizi web mondiali. Sono infatti stati messi online vari certificati che non soddisfano una serie di requisiti di sicurezza basilari, e sarebbero ben 1.8 milioni solo quelli di GoDaddy. L’obiettivo sembra essere quello di rigenerarli tutti nei prossimi 30 giorni; il requisito generale (teorico) per cui l’entropia (il grado di prevedibilità di una chiave privata, per dirla in maniera molto semplice) dovrebbe essere di almeno 64 bit non sarebbe infatti rispettata. Le applicazioni basate su crittografia richiedono in generale un valore alto di entropia – se una chiave privata a 128 bit fosse generata a soli 64 bit, ad esempio, significa che potrebbe essere indovinata in solo 264 tentativi anzichè 2128 (numero a 64 zeri vs. uno a 128 zeri: una bella differenza). Trattandosi di potenze del due, nello specifico, anche passare da 264 a 263 per via di un bug sulla rappresentazione degli interi (come successo) è una bella differenza, e va tenuta in conto nel modo più corretto.
Il problema è legato alla cattiva generazione della dimensione delle chiavi private, che non soddisferebbero il requisito di essere a 64 bit minimo quando invece sono stati utilizzati solo a 63 bit; una differenza sostanziale anche se apparentemente di poco conto, legata alla cattiva configurazione del software open source EJBCA (una certification authority PKI), che genera al momento della creazione del certificato un numero casuale a 64 bit. Questo è vero solo sulla carta, perchè si sono accorti di un bug che produceva un numero negativo a 63 bit di entropia, invalidando dal punto di vista della sicurezza il processo su larga scala.
Di fatto, i certificati a 63 bit saranno presto revocati in massa e gli utenti dovranno rigenerarli daccapo, facendo cosଠrientrare il problema. Il rischio, comunque, sembra essere sfruttabile solo in parte da malintenzionati (per fortuna), cosa confermata da più esperti che invitano a non farsi prendere dal panico, e a seguire le indicazioni dei provider di hosting a riguardo (fonte, fonte).
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Come fare backup di un sito in WordPress senza plugin esterni
- 🟡 Domini con i nomi degli stati: finland.guru o italia.it, c’è il database GAC
- 🟢 Come avviene la meiosi (spiegato facile)