Trustico: SSL Pulse analizza lo stato della crittografia mondiale

redazione

Lo stato della sicurezza informatica è soggetto a repentini cambiamenti, frutto del naturale alternarsi di situazioni critiche (es. attacchi hacker) aventi come oggetto sistemi aziendali insufficientemente tutelati. Trustworthy Internet Movement, organizzazione no-profit impegnata nell’analisi di questa tipologia di problematiche, ha lanciato nello scorso mese di Aprile il progetto chiamato SSL Pulse, atto ad analizzare senza soluzione di continuità il livello di sicurezza della Rete prendendo in esame 12 aree diverse ma interconnesse.SSL Pulse viene aggiornato mensilmente da Trustworthy Internet Movement, permettendo ai grafici generati attraverso i dati raccolti di raccontare con chiarezza l’evolversi della crittografia a livello mondiale.Prendiamo in considerazione le 6 principali aree di interesse:a) presenza di un certificato SSL http://www.trustico.it/easyinfo/quale-certificato-ssl-scegliere.php   sui siti analizzati;b) completezza della certificate chain per ogni certificato SSL individuato;c) certificati SSL criptanti a meno di 128 bits;d) livello di crittografia garantito;e) diffusione dei certificati SSL EV http://www.trustico.it/green-bar/cosa-sono-ssl-extended-validation.php con “barra verde”.Ecco quanto traspare dai dati presentati da SSL Pulse e aggiornati a metà Settembre, relativi a circa 185 mila tra i siti più conosciuti e importanti al mondo.a) il numero delle pagine web dotate di certificato SSL valido è salito dal 9,8% di Aprile al 14,2% dell’ultima rilevazione. Questo dato spiega con buona certezza quanto il problema della sicurezza online sia preso sempre più in seria considerazione dai responsabili aziendali in questo ambito;b) nel corso del medesimo periodo il numero di certificati SSL aventi l’intera radice gestita dall’Autorità di Certificazione che emette il prodotto è rimasto praticamente invariato, salendo leggermente dal 92,5% al 92,7%. Questo dato è molto importante in quanto i certificati aventi radice di certificazione “completa” http://www.trustico.it/chained/ssl-vincolati.php , gestita da una CA riconosciuta dai browser di navigazione (es. Symantec, GeoTrust, RapidSSL, ecc.), sono generalmente più sicuri da eventuali attacchi al protocollo di criptazione;c) il numero dei siti internet aventi certificazioni digitali con meccanismo di criptazione superiore a 128 bit è avanzato dallo scorso Aprile da un valore pari al 60% a quello attuale del 62,9%. Al giorno d’oggi i certificati che garantiscono un valore di crittografia inferiore a 128 bit sono considerati “in pericolo”, situazione che ne sconsiglia apertamente l’utilizzo;d) come ampiamente preannunciato dagli esperti del settore, il supporto al protocollo SSL in modalità 2.0, giudicato largamente problematico, è stato progressivamente soppiantato dalle case produttrici di certificazioni, che nel corso degli ultimi 6 mesi hanno dismesso l’appoggio facendo calare il relativo valore dal 33% al 30,5%. Se SSL 3.0 e TLS 1.0 restano praticamente stabili, attestandosi approssimativamente al 100%, è indubbiamente interessante registrare il progressivo aumento del supporto garantito alle più recenti versioni di TLS 1.1 e 1.2, in aumento rispettivamente del 2,6% (dallo 0,8 al 3,4% di settembre) e del 3,5% (dall’1,5 al 5,0%). Si testimonia ulteriormente, pertanto, quanto l’aggiornamento del meccanismo di crittazione da SSL al più affidabile TLS sia davvero prossimo;e) resta decisamente stabile, invece, il dato relativo all’adozione dei certificati SSL più completi sul mercato, gli EV (Extended Validation) con “barra verde”. L’incremento c’è, seppur leggero, passando dall’8 all’8,2%. Nonostante questa tipologia di certificati rappresenti la soluzione più valida sul mercato in quanto permette la visualizzazione dei dettagli sulla società che detiene il dominio (indicati all’interno della barra personalizzata mostrata all’interno dei browsers di navigazione), il costo non irrisorio di queste soluzioni e al contempo la procedura d’emissione richiesta porta i richiedenti ad optare per prodotti di categoria inferiore.SSL Pulse rappresenta, in definitiva, una fonte di informazioni indubbiamente interessante a disposizione di chi voglia farsi un’idea più chiara dell’evoluzione della criptazione a livello mondiale. La sicurezza informatica è chiamata ad evolversi andando di pari passo con quanto richiesto, per forza di cose, dagli attacchi informatici in atto; per questo motivo l’opera di Trustworthy Internet Movement è sicuramente interessante per gli addetti ai lavori così come per semplici utenti ed appassionati all’argomento.