Pubblicato il: 30-08-2019

Un nuovo studio condotto dal laboratorio Cyber ​​Forensics Innovation (CyFI) della Georgia Institute of Technology, per conto della principale autorità di certificazione Sectigo, ha rilevato che il certificato SSL di base, non è sufficiente per garantire la legittimità di un sito Web.

I tre tipi di certificati SSL

I certificati SSL (Secure Sockets Layer) forniscono un canale sicuro tra due apparecchi connessi ad Internet. Viene comunemente utilizzato per consentire comunicazioni sicure tra un Server Web e un browser Web.  Le URL, protette con i certificati SSL, saranno riconoscibili dal protocollo HTTPS e da un lucchetto nell'angolo del browser.

I siti Web non certificati visualizzeranno un avviso "non sicuro" che indica un sito Web vulnerabile e inaffidabile.

Le aziende possono scegliere, per proteggere i loro domini, tra tre tipi di certificati SSL. Fondamentalmente, tutti e tre fanno la stessa cosa. Tuttavia, offrono diversi livelli di sicurezza.


Domain Validation (DV)

Questi domini vengono confrontati con le informazioni fornite al momento della registrazione del dominio, generalmente inviando un'e-mail all'indirizzo fornito o aggiungendo un file al server di hosting del dominio.

Questo tipo di certificato, convalida solo che la persona che richiede il certificato sia in qualche modo collegata al dominio da certificare e offre scarse indicazioni sul fatto che il dominio venga utilizzato per scopi legittimi o controllato da un'organizzazione legittima.


Organization Validation (OV)

Questi domini vengono controllati più accuratamente dalla Certification Authority, perché utilizza i database del registro delle imprese per verificare l'identità dell'organizzazione o della persona che ha richiesto il certificato. La parte richiedente può essere contattata per fornire informazioni al fine del controllo del sito.

Questo tipo di certificato è ora lo standard utilizzato dai siti Web pubblici e, per la maggior parte, è considerato attendibile.


Extended Validation (EV)

Queste richieste sono rigorosamente controllate dalla Certification Authority, in quanto deve seguire standard rigorosi per garantire che la società che richiede il certificato abbia il diritto di farlo.

I domini protetti con validazione estesa (EV) visualizzeranno spesso il nome dell'azienda che gestisce il dominio accanto all'URL nel browser, fornendo una chiara indicazione che l'URL è legittimo e sotto il controllo dell'azienda autenticata.


Le aziende devono utilizzare la convalida estesa per dimostrare di essere legittime


Mentre molti utenti di Internet ora associano il lucchetto del proprio browser alla sicurezza, un recente studio condotto dalla società di cybersecurity PhishLabs, ha scoperto che oltre la metà di tutti i siti di phishing ora utilizzano certificati SSL.

Allo stesso modo, la ricerca passata, ha anche scoperto fiorenti mercati per certificati SSL validi nel deep web, dove i criminali informatici possono acquistarli per poche centinaia di dollari. Alcuni di questi certificati sono stati rilasciati da autorità rispettabili e consentirebbero ai criminali informatici di costituire un'attività legittima con sede negli Stati Uniti o nel Regno Unito.

Tuttavia, mentre i certificati SSL DV e OV sono abbastanza facili da mettere in pratica per gli attori malintenzionati, lo studio CyFI ha trovato poche prove riguardo al fatto che i certificati EV fossero sfruttati dai criminali informatici.

CyFI Lab ha correlato in modo incrociato un deposito globale di domini con certificati EV a un elenco di domini che erano stati segnalati per attività sospette, come la distribuzione di malware per vedere quanti di quei domini nella lista nera utilizzavano la certificazione EV.

"Attraverso i milioni di domini con certificati EV che abbiamo studiato, abbiamo trovato prove schiaccianti che i certificati EV sono altamente indicativi di un dominio legittimo registrato da un'azienda legittima", così riporta Brendan Saltaformaggio, direttore del CyFI Lab e coautore dello studio.

Lo studio ha concluso che esiste una probabilità del 99,99% che un dominio che utilizza un certificato EV sia sicuro e non associato a nessuna forma comune di criminalità informatica.

"Le nostre ricerche, rafforzano il concetto secondo cui i consumatori, vedono i certificati EV come un segnale di sicurezza nel browser durante la navigazione", ha affermato Saltaformaggio.

| Articolo Originale |