Dean Coclin, Senior Director of Business Development, Presidente del CA/Browser Forum e Jeff Barto, Certified Social Media Intelligence Expert (CSMIE), in occasione di un webinar organizzato da DigiCert, hanno presentato le ultime tendenze e sviluppi nel mondo dei certificati SSL, TLS e S/MIME. Oltre a sottolineare la necessità di processi automatizzati per l’emissione di certificati, Coclin ha anche introdotto il nuovo gruppo di lavoro S/MIME al CA/Browser Forum e il programma pilota per i certificati a marchio verificato. Si è anche discusso del motivo per cui il Certificate Pinning è una pratica che andrebbe evitata.
Il numero di siti crittografati aumenta
Stando ai dati forniti da DigiCert, negli ultimi 3 anni il numero di siti web crittografati è aumentato notevolmente. Ad oggi sono stati emessi oltre 86,6 milioni di certificati a livello mondiale. Oggi circa il 90% di tutti i siti web è crittografato e DigiCert prevede un’ulteriore crescita anche nel 2021. Solo tra il 2019 e il 2020 sono stati emessi oltre 30 milioni di certificati, compresi i rinnovi e i domini parcheggiati. Dall’inizio dell’anno, DigiCert ha emesso 3,2 milioni di nuovi certificati, mentre in un confronto anno su anno (da agosto 2019 ad agosto 2020), DigiCert mostra con un aumento di 9 milioni di nuovi certificati.
La riduzione di validità richiede processi automatizzati
I browser più utilizzati, come Apple Safari, Google Chrome e Mozilla Firefox, hanno optato per periodi di validità dei certificati ridotti. Già quest’anno il periodo di validità è stato ridotto da due anni a un anno. Sono ancora in corso le discussioni su un’ulteriore riduzione dei periodi di validità a sei e tre mesi. Per questo motivo saranno necessari processi automatizzati per gestire l’elaborazione, l’autenticazione e l’emissione di questi certificati a breve scadenza. Secondo Coclin e Barto, bisognerà procedere nella creazione di un processo uniforme alle normative per fornire questo servizio in modo efficiente. L’implementazione automatizzata dei certificati acquisirà particolare importanza da parte dell’operatore del sito web: verranno così ridotti i tempi e le risorse necessarie per gestire i rinnovi più frequenti dei certificati a causa di periodi di validità più brevi.
Gruppo di lavoro S/MIME al CA/B Forum (SMCWG)
Al CA/Browser Forum è stato istituito un gruppo di lavoro dedito ai certificati S/MIME, il quale lavorerà sui requisiti applicabili alle autorità di certificazione che emettono certificati digitali S/MIME utilizzati per firmare, verificare, crittografare e decrittografare le e-mail. Tra i compiti si segnala la verifica del controllo degli indirizzi di posta elettronica, la gestione delle chiavi e del ciclo di vita dei certificati, pratiche operative della CA, compiti di sicurezza fisica e logica. Il gruppo, composto da 25 autorità di certificazione, fornitore di applicazioni, parti interessate e membri associati come WebTrust, ETSI, Federal PKI e ICANN e si è posto come obiettivo quello di creare un profilo standardizzato di certificato S/MIME. A tal fine, il gruppo di lavoro sta ricercando gli attuali profili S/MIME in tutto il mondo, conducendo ricerche sui casi d’uso e raccogliendo feedback. Chiunque sia interessato a partecipare può farlo senza alcun costo scrivendo all’indirizzo e-mail segnalato nella pagina dedicata per il SMCWG.
Attenzione al Certificate Pinning
Nel corso del webinar DigiCert ha nuovamente evidenziato i pericoli correlati al Certificate Pinning. Questa pratica blocca certificati che potrebbero essere considerati validi. Invece di permette qualsiasi certificato affidabile, gli operatori scelgono solo alcune autorità di certificazione (CA), alcune chiave pubbliche o persino alcuni certificati end-entity a loro scelta. I client che si connettono a quel server tratteranno tutti gli altri certificati come non validi e rifiuteranno una connessione HTTPS. Una tale situazione comporta diversi rischi se implementata in modo errato. Il Pinning permette di evitare il rischio di errata emissione, compromissione della CA o attacchi man-in-the-middle o comunque riduce alcuni rischi legati alla sicurezza. Tuttavia, l’uso del Certificate Pinning ha aperto la strada a falle di sicurezza e potenziali pericoli.
Certificati per marchio verificato
Coclin ha inoltre introdotto il programma pilota per i certificati a marchio verificato (VMC) in cooperazione con Brand Indicators for Message Identification (BIMI): una nuova entusiasmante forma di e-mail con logo. È attualmente in fase di test da diversi popolari provider di posta elettronica. I VMC consentono alle aziende con loghi registrati di visualizzare il logo del proprio marchio accanto al campo “mittente” nei client di posta, trasmettendo immediatamente un messaggio di affidabilità. Il logo verificato viene visualizzato prima dell’apertura del messaggio: le aziende con loghi registrati possono così creare un’esperienza di posta elettronica più uniforme, autenticata e visivamente attraente.
Hai domande su TSL e SSL? Scrivila nei commenti, le risposte verranno fornite dal team esperto di InterNetX.
