Più di un milione di certificati SSL configurati male: Google ed altri corrono ai ripari

Più di un milione di certificati SSL configurati male: Google ed altri corrono ai ripari

Un errore di configurazione da parte di aziende come Apple, Google e Godaddy ha messo a rischio milioni di certificati SSL distribuiti su vari siti e servizi web mondiali. Sono infatti stati messi online vari certificati che non soddisfano una serie di requisiti di sicurezza basilari, e sarebbero ben 1.8 milioni solo quelli di GoDaddy. L’obiettivo sembra essere quello di rigenerarli tutti nei prossimi 30 giorni; il requisito generale (teorico) per cui l’entropia (il grado di prevedibilità di una chiave privata, per dirla in maniera molto semplice) dovrebbe essere di almeno 64 bit non sarebbe infatti rispettata. Le applicazioni basate su crittografia richiedono in generale un valore alto di entropia – se una chiave privata a 128 bit fosse generata a soli 64 bit, ad esempio, significa che potrebbe essere indovinata in solo 264 tentativi anzichè 2128 (numero a 64 zeri vs. uno a 128 zeri: una bella differenza). Trattandosi di potenze del due, nello specifico, anche passare da 264 a 263 per via di un bug sulla rappresentazione degli interi (come successo) è una bella differenza, e va tenuta in conto nel modo più corretto.

Il problema è legato alla cattiva generazione della dimensione delle chiavi private, che non soddisferebbero il requisito di essere a 64 bit minimo quando invece sono stati utilizzati solo a 63 bit; una differenza sostanziale anche se apparentemente di poco conto, legata alla cattiva configurazione del software open source EJBCA (una certification authority PKI), che genera al momento della creazione del certificato un numero casuale a 64 bit. Questo è vero solo sulla carta, perchè si sono accorti di un bug che produceva un numero negativo a 63 bit di entropia, invalidando dal punto di vista della sicurezza il processo su larga scala.

Pubblicità:

Di fatto, i certificati a 63 bit saranno presto revocati in massa e gli utenti dovranno rigenerarli daccapo, facendo così rientrare il problema. Il rischio, comunque, sembra essere sfruttabile solo in parte da malintenzionati (per fortuna), cosa confermata da più esperti che invitano a non farsi prendere dal panico, e a seguire le indicazioni dei provider di hosting a riguardo (fonte, fonte).


Informazioni sull'autore

Salvatore Capolupo

Ingegnere informatico, consulente SEO, copywriter ed ideatore di trovalost.it. Di solito, passo inosservato: e non ne approfitto neanche un po'.
Ti piace questo articolo?

2 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Più di un milione di certificati SSL configurati male: Google ed altri corrono ai ripari

Votato 10 / 10, da 2 utenti