Sistema SSL, perchè non funziona?

Diversi problemi inficiano il sistema di sicurezza SSL/TLS. Esisterebbero delle soluzioni, ma perché non sono prese in considerazione? Scopriamolo insieme

Sistema SSL, perchè non funziona?

Problemi di sicurezza di tutte le tipologie. Protocollo SSL non affidabile, algoritmo RC4 TLS poco sicuro e via discorrendo. Ma se tutti questi protocolli sono stati davero progettati per la sicurezza, come mai ci sono tutte queste problematiche?

Ci si ritrova di fronte a quello che potrebbe essere definito il teatrino della sicurezza Web: si vedono solo le scene sul palco e non si sa nulla di cosa accade dietro le quinte. E il peggio è che dietro le quinte sembra non accadere proprio nulla, perché ciò che dovrebbe essere sicuro, in realtà non lo è e ciò che dovrebbe funzionare in modo impeccabile, in realtà non funziona!

I protocolli SSL, TLS e HTTPS si dicono sicuri ma sono imperfetti. E nonostante tutto, sembra si voglia continuare su questa strada, pur esistendo alternative facilmente implementabili e sicuramente efficaci.

Si potrebbe parlare, ad esempio, del tester rilasciato nel 2013 da Steve Gibson, che permette di digitare un nome a dominio, ottenerne il fingerprint del certificato di sicurezza dal server e confrontarlo con quello mostrato nel proprio browser, per verificarne la corrispondenza ed escludere eventuali attacchi di tipo Man-In-The-Middle.

Si potrebbe citare, ancora, il progetto Google Certificate Trasparency, pensato per correggere i difetti strutturali del sistema su cui si basano i certificati SSL, ponendo in evidenza i certificati che sono stati erroneamente emessi da un’autorità di certificazione o che sono stati acquisiti in modo sospetto.

Senza poi scomodare l’avvenieristico progetto di un Osservatorio SSL, presentato nel 2010 e mai decollato realmente. Doveva essere capace di disporre di tutti i dataset dei certificati SSL per aiutare la ricerca delle vulnerabilità e dei certificati fasulli.

Infine, Jonathan Zdziarski, ha anche suggerito di prendere a prestito dal sistema email il concetto di Sender Policy Framework (SPF), creando un Certificate Validation Framework (CVF).

Insomma, i sistemi per migliorare i certificati di sicurezza e i protocolli SSL, TLS e HTTPS esistono, ma sembra quasi che ci sia un motivo oscuro per cui il grande pubblico di Internet debba essere mantenuto ignorante e poco informato.

Perchè nessuno è informato sulla sicurezza dei certificati SSL?

Forse è arroganza da parte delle aziende IT, forse è la mancanza di fondi da investire nel debugging e nella ricerca delle vulnerabilità, forse è la modalità con cui sono pensate le autorità certificatrici o forse è la volontà di non esporre troppo la problematica perchè, altrimenti, si capirebbe che un problema di sicurezza esiste ed è serio. O forse le agenzie di spionaggio  vogliono che tutto rimanga così com’è, per consentire un’attività di raccolta dati indisturbata.

Quale sia o quale non sia il motivo, una cosa è certa: il sistema SSL non è sicuro. Lo diceva nel 2011 Dan Goodin, in un articolo intitolato “How is SSL hopelessly broken? Let us count the ways“, dove si legge: “… i ripetuti fallimenti suggeriscono che il sistema nel suo stato attuale è irrimediabilmente non funzionante.” , a cui si aggiunge la citazione di Moxie Marlinspike, secondo cui ” c’è solo un’illusione di sicurezza” .

Infine, un più recente articolo del The Economist sostiene: “Il sistema dei certificati digitali che sarebbe destinato a bloccare le intercettazioni sulle trasmissioni Internet sembra essere a brandelli.” .

Non è dunque pessimismo cosmico, è solo una constatazione dei fatti: la tecnologia per mettere il Web in sicurezza c’è, ma sembra che non la si voglia usare. O almeno non nel modo corretto.