Crittografia: l’importanza delle procedure d’autenticazione

La più grande sfida per gli esperti di sicurezza non è tanto l'applicare algoritmi di crittografia quanto gestire i processi di autenticazione

Let's Encrypt e crittografia sul web

Let’s Encrypt è una importante iniziativa sostenuta anche da Linux Foundation che ha come obiettivo quello di incrementare la sicurezza della Rete distribuendo certificati digitali ed incentivando l’utilizzo del protocollo HTTPS. Let’s Encrypt opera come CA (Certificate Authority) no-profit che fornisce gratuitamente certificati: la sua attività è promossa da numerosi sponsor quali Akamai, Mozilla, Cisco, Facebook – è anche in corso una campagna di crowdfunding su generosity.com.

Nel corso dell’ultima LinuxCon, svoltasi alcuni mesi fa in Nord America, si è parlato delle principali sfide da affrontare nella messa in sicurezza del Web. Perchè, nonostante la questione sia ritenuta cruciale dall’industria, ci troviamo ancora con meno della metà del traffico Internet (48,5%) protetto da crittografia? A questa domanda ha dato una risposta Josh Aas (fondatore di Internet Security Research Group, l’organizzazione no-profit dietro Let’s Encrypt).

Il tallone di Achille della crittografia, osserva Aas, non è tanto il processo di applicazione dell’algoritmo quanto quello di autenticazione, perchè richiede autorità di terze parti in grado di appoggiarsi a meccanismi sicuri e che tutelino la cosiddetta “trust chain”: “La parte rigurdante la crittografia è relativamente semplice. E’ un software stack presente di default nella maggior parte dei sisteemi operativi. Necessita solo di essere configurato. Numerosi web server [gestiscono poi automaticamente il resto]. La sfida più grande è [invece quella] di proteggere la tua chiave privata. La procedura di autenticazione è una specie di incubo, e lo è ormai da tempo, quindi se avete bisogno dell’autenticazione [dovete procurarvi un certificato da un’autority, ed è un iter complicato persino per il mio perspicace amico Colin di Cisco” aveva affermato Aas nel suo speech introduttivo.

Alla ricerca del giusto certificato

Un altro passaggio ostico è la scelta del certificato. “Devi prima di tutto capire quale sia il certificato più adatto, e naturalmente le CA utilizzano milioni di termini di marketing differenti per ogni tipologia di certificato. Il “super sucure” ed il “security plus” e bla bla bla. Buona fortuna. Bisogna quindi capire come richiedere il certificato, [installarlo nel web server in uso] […] e ovviamente rinnovarlo prima della scadenza”.

L’intero sistema è troppo complesso, afferma Aas: e senza soffermarsi su altre considerazioni tecniche dichiara che allo stato attuale serviranno almeno altri 10 prima che nuovi standard possano essere concordati ed adottati dall’industria. E’ da questa constatazione che nasce l’iniziativa Let’s Encrypt, prosegue, che tenta di smuovere la situazione poggiandosi su quattro parole chiave: automatico, gratuito, trasparente, globale. Dopo un anno di attività, fa sapere la Linux Foundation, Let’s Encrypt gestisce circa 16 milioni di certificati.

Facci sapere cosa ne pensi!

  1. says

    Sul discorso automatico bisogna ancora lavorare molto, Let’s Encrypt richiede, per esempio, un accesso http per la verifica del dominio e poi da una serie di errori spesso dovuti al semplice htaccess

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *