mercoledì 5 novembre 2014

SHA-1 Sunsetting - perchè è necessario aggiornare urgentemente i propri certificati SSL

Se il vostro sito o il vostro server utilizza certificati SSL, può essere necessario aggiornarli urgentemente, a causa del cosiddetto "SHA-1 Sunsetting".

Cos'è il SHA-1 Sunsetting ?

SHA-1 è stato fino ad oggi l'algoritmo di firma digitale più diffuso, un vero e proprio standard industriale "de facto", utilizzato da tutte le aziende di certificazione SSL.
Da alcuni anni vi sono progetti di sostituirlo con il nuovo algoritmo SHA-2, più sofisticato e sicuro.
Microsoft aveva esercitato forti pressioni per rinviare l'introduzione di SHA-2 al 2017, anno in cui si verificherà l'"end of life" per Windows XP.
Tuttavia Google, a questo proposito in netto contrasto con Microsoft, ha recentemente deciso di accelerare i tempi, introducendo una propria scaletta di progressiva dismissione di SHA-1 in favore di SHA-2; questo processo di "abbandono" di SHA-1 in favore di SHA-2 è detto "SHA-1 Sunsetting"


Perchè?

Google reputa - e probabilmente a ragione - che oggi l'algoritmo SHA-1 è relativamente facile da aggirare, compromettendo quindi il livello di sicurezza che un utente si aspetterebbe da questa tecnologia.
Inoltre Google ritiene che in passato le procedure di aggiornamento alle nuove tecnologie in questo settore siano state troppo lente e tardive (riferendosi, per esempio, al passaggio dei certificati SSL da 1024 a 2048 bit).
Ed ha deciso quindi di forzare i tempi di questa transizione, che reputa particolarmente importante e che potrebbe diventare critica ben prima del 2017, data attualmente prevista.
Per approfondire questo aspetto, consigliamo il seguente post: https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1

Quando accadrà?

Google ha annunciato tre successive scadenze:
26 settembre 2014, 7 novembre 2014, marzo 2015.

Precisamente:

  • dal 26 settembre 2014, i certificati SSL con codifica SHA-1 e di scadenza successiva al 1 gennaio 2017 verranno classificati come "secure, but with minor errors" e verranno caratterizzati con il triangolo giallo:



  • dal 7 novembre 2014:
    i certificati SSL con codifica SHA-1 e con scadenza compresa tra 1 giugno 2016 e 31 dicembre 2016 verranno classificati come "secure, but with minor errors" e verranno caratterizzati con il triangolo giallo come sopra descritto.
    I certificati con codifica SHA-1 e con scadenza successiva al 1 gennaio 2017 verranno classificati come  "neutral, lacking security", e NON verrà esposta la caratteristica icona del lucchetto: 


  • a marzo 2015:
    i certificati SSL con codifica SHA-1 e con scadenza compresa tra 1 gennaio 2016 e 31 dicembre 2016 verranno classificati come "secure, but with minor errors" e verranno caratterizzati con il triangolo giallo come sopra descritto.
    I certificati con codifica SHA-1 e con scadenza successiva al 1 gennaio 2017 verranno classificati come "affirmatively insecure" e caratterizzati dalla "X" rossa:
     


Quali certificati SSL sono affetti da questo problema?


Il problema coinvolge tutti i certificati di tutti i produttori: Symantec, GeoTrust, Thawte, RapidSSL, Comodo.

Come risolvere il problema?

Se il vostro certificato SSL utilizza l'algoritmo SHA-1, per risolvere il problema è sufficiente richiedere una ri-emissione del proprio certificato SSL, che utilizzi il nuovo algoritmo SHA-2 conforme alle nuove policy di Google.
Se il certificato è stato acquistato attraverso DomainRegister.it, la procedura di riemissione è gratuita.
Aprite un ticket di assistenza sul nostro pannello di controllo, e chiedete la riemissione del certificato SSL conforme alla specifiche SHA-2. Riceverete istruzioni dettagliate sulle operazioni da svolgere.
(NOTA: in questi giorni stiamo contattando singolarmente tutti i nostri utenti con certificati SSL affetti da questo problema).
Se invece il vostro certificato SSL non è stato acquistato per tramite di DomainRegister.it, contattateci: vi forniremo istruzioni dettagliate sulle operazioni da svolgere e sui relativi costi.

Come faccio a verificare se il mio certificato SSL è affetto da questo problema?

Se il certificato è stato acquistato attraverso DomainRegister.it, saremo noi a contattarvi singolarmente nei prossimi giorni per avvisarvi del problema.
Se invece il vostro certificato SSL non è stato acquistato per tramite di DomainRegister.it, oppure se per scrupolo volete effettuare questa verifica, vi segnaliamo l'apposito tool di controllo: https://shachecker.com 



Riferimenti:

Annuncio ufficiale Google: http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html