Navigazione online sicura – cosa succede ai siti web con certificati SHA-1


Windows 10, come abbiamo avuto modo di approfondire in diverse occasioni, ha introdotto importanti novità in ambito di sicurezza. In particolare la sicurezza durante la navigazione online è una delle declinazioni di questo argomento.

Prima di approfondire l’argomento, un ringraziamento all’autore di questo articolo:

Nicola Ferrini 2015 500x619  

Nicola Ferrini è un Trainer con oltre 15 anni di esperienza e le sue qualifiche sono focalizzate sull’attività sistemistica, dalle reti ai sistemi integrati, dalla virtualizzazione dei server e dei desktop a quella delle applicazioni. E’ un esperto di Private e Public Cloud e collabora con le più importanti community italiane. E’ Microsoft MVP per la categoria Windows and Devices for IT e per la categoria Microsoft Azure, nonché Regional Director per tutti gli MVP italiani.

A partire da Windows 10 Anniversary update sia Microsoft Edge che Internet Explorer non considerano più attendibili i siti web protetti con un certificato SHA- 1. Quando ci si collega a questi siti si riceve un messaggio di errore e se si continua la navigazione (ignorando l’errore) la barra degli indirizzi verrà colorata di rosso, come già avviene con i siti web che utilizzano certificati self-signed, certificati scaduti o ritenuti non validi.
SHA-1 è un algoritmo di hash per la firma dei certificati che ormai non è più ritenuto sicuro e il suo utilizzo nei certificati digitali li rende vulnerabili ad attacchi di spoofing, di pishing o man-in-the-middle. Microsoft, in collaborazione coni più importanti vendor, sta iniziando ad avvisare i propri utenti del rischio di visitare siti web protetti con un certificato digitale che usa l’algoritmo SHA-1.
Da febbraio 2017 sia Microsoft Edge che Internet Explorer bloccheranno tutti i certificati TLS firmati con SHA-1 e non si potrà continuare la navigazione, rendendo di fatto i siti inaccessibili. L’aggiornamento che verrà rilasciato a Febbraio 2017 riguarderà Microsoft Edge su Windows 10 e Internet Explorer 11 su Windows 7, Windows 8.1 e Windows 10 e andrà ad impattare soltanto i certificati che finiscono con una Certification Authority che partecipa al Microsoft Trusted Root Certification Program.
Queste Root Certification Authority pubbliche sono già presenti nel sistema operativo e vengono continuamente aggiornate quando facciamo i Windows Update.
1

       Figura 1: Errore del browser dovuto all’utilizzo di un certificato che usa SHA-1

2

  Figura 2: Microsoft Edge non dà indicazioni sul motivo per cui non ritiene il certificato valido

3

                                                               Figura 3: Google Chrome specifica che si tratta di un certificato SHA-1

Per sapere quale sarà il piano adottato da Microsoft per aiutare i clienti ad abbandonare i certificati che utilizzano SHA-1 potete visitare il link . Il piano consiste in 3 fasi: le prime due riguardano le modifiche ai browser. Attualmente siamo nella prima fase. La seconda fase comincerà a Febbraio 2017 e la terza fase immediatamente dopo Febbraio 2017.

4

Figura 4: fasi del Microsoft SHA-1 Deprecation Plan

 

Per continuare a lavorare con i diversi browser (anche con Google Chrome e Mozilla Firefox, giusto per citare i più noti) su un sistema operativo Microsoft sarà quindi necessario sostituire tutti i certificati per i siti web rilasciati con SHA-1 con certificati che usano il più sicuro algoritmo SHA-256. Anche gli altri browser adotteranno soluzioni simili a quelle di Edge o di IE per avvertire gli utenti che stanno navigando su un sito web poco sicuro.
Nel momento in cui vi procurate i nuovi certificati da installare sui web server assicuratevi anche che tutti i certificati della catena di certificazione (Root e Intermediate Certification Authority) usino l’algoritmo di hash SHA-256.
Buon lavoro!
Nic

Comments (0)

Skip to main content