Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Più di un milione di certificati SSL configurati male: Google ed altri corrono ai ripari

Un errore di configurazione da parte di aziende come Apple, Google e Godaddy ha messo a rischio milioni di certificati SSL distribuiti su vari siti e servizi web mondiali. Sono infatti stati messi online vari certificati che non soddisfano una serie di requisiti di sicurezza basilari, e sarebbero ben 1.8 milioni solo quelli di GoDaddy. L’obiettivo sembra essere quello di rigenerarli tutti nei prossimi 30 giorni; il requisito generale (teorico) per cui l’entropia (il grado di prevedibilità  di una chiave privata, per dirla in maniera molto semplice) dovrebbe essere di almeno 64 bit non sarebbe infatti rispettata. Le applicazioni basate su crittografia richiedono in generale un valore alto di entropia – se una chiave privata a 128 bit fosse generata a soli 64 bit, ad esempio, significa che potrebbe essere indovinata in solo 264 tentativi anzichè 2128 (numero a 64 zeri vs. uno a 128 zeri: una bella differenza). Trattandosi di potenze del due, nello specifico, anche passare da 264 a 263 per via di un bug sulla rappresentazione degli interi (come successo) è una bella differenza, e va tenuta in conto nel modo più corretto.

Il problema è legato alla cattiva generazione della dimensione delle chiavi private, che non soddisferebbero il requisito di essere a 64 bit minimo quando invece sono stati utilizzati solo a 63 bit; una differenza sostanziale anche se apparentemente di poco conto, legata alla cattiva configurazione del software open source EJBCA (una certification authority PKI), che genera al momento della creazione del certificato un numero casuale a 64 bit. Questo è vero solo sulla carta, perchè si sono accorti di un bug che produceva un numero negativo a 63 bit di entropia, invalidando dal punto di vista della sicurezza il processo su larga scala.

Di fatto, i certificati a 63 bit saranno presto revocati in massa e gli utenti dovranno rigenerarli daccapo, facendo cosଠrientrare il problema. Il rischio, comunque, sembra essere sfruttabile solo in parte da malintenzionati (per fortuna), cosa confermata da più esperti che invitano a non farsi prendere dal panico, e a seguire le indicazioni dei provider di hosting a riguardo (fonte, fonte).

Ti potrebbe interessare:  Red Star OS Linux affetto da una grave falla sui permessi

Da non perdere 👇👇👇



Trovalost.it esiste da 4435 giorni (12 anni), e contiene ad oggi 4019 articoli (circa 3.215.200 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.