Sostituire un certificato SSL (Secure Socket Layer) soggetto a diffida da parte dei browser
Di recente i noti browser Google Chrome e Mozilla Firefox hanno annunciato il loro piano di diffida nei confronti di qualsiasi certificato SSL rilasciato dall’azienda Symantec prima del 1° dicembre 2017. Il certificato SSL rappresenta un aspetto importante di ogni sito web e tratta dati sensibili. La web security di Symantec e altre soluzioni PKI sono state acquisite dall’azienda DigiCert, un evento che ha portato DigiCert ad aggiornare e modernizzare numerosi aspetti del modello Symantec. Tuttavia, nel frattempo, Chrome e Mozilla hanno scelto di revocare la convalida ai certificati SSL di Symantec finché gli aggiornamenti di cui sopra non saranno completati.
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.
Perché sono stati presi di mira i certificati SSL di Symantec?
La decisione di Chrome e Mozilla di diffidare i certificati SSL di Symantec è risultata da alcune discrepanze rilevate in alcuni di quelli rilasciati tra il 2015 e oggi. Il punto di maggiore critica riguardava l’abilità di Symantec di assicurare un corretto processo di autenticazione ai certificati SSL. I dibattiti tra Symantec e la community dei browser si sono dilungati per diversi mesi, per poi concludersi in due risoluzioni fissate da Google Chrome e successivamente confermate da Mozilla Firefox:
- Symantec deve collaborare con un’altra Certificate Authority per eseguire l’autenticazione SSL e i processi di rilascio partendo da una nuova infrastruttura.
- Tutti i certificati SSL emessi dalla precedente infrastruttura Symantec saranno diffidati e devono essere sostituiti senza costi aggiuntivi secondo un programma graduale.
Poco dopo questa decisione Symantec ha venduto il suo business di SSL a Digicert e a partire dal 1° dicembre 2017 ha quindi iniziato a rilasciare certificati SSL pienamente conformi dalla nuova infrastruttura CA.
Mentre Chrome e Mozilla potrebbero stare agendo negli interessi della sicurezza dei propri clienti, rimangono ancora diversi browser quali Internet Explorer, Safari e Opera che decidono di non mostrare messaggi di avvertimento agli utenti poiché non credono che la minaccia sia così grave come sostenuto invece da Chrome e Mozilla. Ignari della gravità del rischio alla sicurezza, numerosi gestori di siti web potrebbero essere colpiti dalla campagna di diffida.
Quando saranno coinvolti dalla diffida i certificati SSL?
Chrome ha iniziato a emettere messaggi di avvertimento il 16 aprile 2018 agli utenti di Chrome 66 (e successivi) quando tentano di accedere a siti web criptati con un certificato SSL Symantec. Questo avviso compare su tutti i certificati SSL di Symantec emessi prima del 1° giugno 2016. A partire da ottobre 2018, gli utenti di Chrome 70 (e versioni successive) riceveranno inoltre il messaggio su tutti i siti web che contengono certificati SSL Symantec rilasciati prima del 1° dicembre 2017.
Il messaggio di avvertimento semplicemente afferma che lo scambio di dati potrebbe non essere sicuro. I visitatori hanno la possibilità di accettare il monito e continuare a navigare sulla pagina senza ostacoli: la funzionalità del sito web rimarrà quindi inalterata. I dati presenti sul vostro sito web non corrono dunque alcun rischio di essere compromessi.
Come capire se il vostro certificato è stato diffidato
Per scoprire se il vostro sito web sia colpito o meno da questo cambiamento, è necessario verificare la validità del certificato. Esistono diversi tool online che possono venirvi in aiuto per stabilire la validità del vostro certificato SSL: vi basta semplicemente ricercare, selezionare e scaricare il programma a vostra scelta ed effettuare la verifica. In alternativa è anche abbastanza semplice farlo tramite il vostro browser. In questa sede vi illustreremo come controllare se i vostri certificati SSL siano scaduti o meno con Google Chrome e Mozilla Firefox.
Google Chrome
Per verificare lo stato del vostro certificato SSL con Chrome, selezionate l’icona a fianco all’URL. Potrebbe trattarsi di un lucchetto verde (“connessione sicura”), un punto esclamativo giallo (“nessun certificato disponibile”), un’icona di una pagina vuota (“questo sito web non necessita di una autenticazione preventiva”), un lucchetto con un triangolo giallo (“certificato disponibile ma lo standard di sicurezza è basso”) oppure di un lucchetto rosso (“il sito web ha problemi di certificazione”). Cliccate sull’icona presente e comparirà una finestra con l’opzione di visualizzare il certificato:
Aprite la tab “Details” (“dettagli”) nella seconda finestra e troverete i periodi di validità dei certificati del sito web.
Mozilla Firefox
Il processo di verifica della validità di un certificato SSL con Mozilla Firefox non è tanto diverso da quello di Chrome. Accanto all’URL dovrebbe esserci un’icona di sicurezza: un lucchetto verde (“sicuro”), un lucchetto grigio con un punto esclamativo giallo (“la connessione potrebbe non essere sicura”) oppure un lucchetto grigio barrato da una linea rossa (“la connessione non è sicura”). Cliccando sull’icona di sicurezza si aprirà una piccola finestra:
Vi basterà cliccare sulla freccia accanto alle informazioni di connessione del sito web e si aprirà un’altra finestra. In basso alla tab “General” (“opzioni generali”) della finestra pop up troverete il periodo di validità del certificato.
Calendario di sostituzione e azioni necessarie
Il calendario consiste di due fasi che riguardano le versioni di Google Chrome 66 e 70:
Fase I – I certificati emessi prima del 1° giugno 2016 saranno diffidati da Chrome 66. Siete tenuti a rinnovare i certificati SSL rilasciati precedentemente a questa data prima del 15 marzo 2018.
Fase II – Se il vostro certificato SSL è stato emesso dopo il 1° dicembre 2017, allora non è necessario rinnovarlo. I certificati rilasciati prima del 1° dicembre 2017 saranno diffidati da Chrome 70. Qualsiasi certificato SSL emesso prima di questa data dovrà essere sostituito entro il 13 settembre 2018. Se utilizzate Chrome 66 potreste avere già ricevuto il seguente avviso su Chrome Developer Tools:
Se il certificato SSL non viene sostituito prima del rilascio di Chrome 70, allora i vostri clienti non saranno più in grado di accedere al vostro sito web:
Passare all’azione
Tutti i certificati SSL interessati devono essere sostituiti attraverso un’operazione di cosiddetta “riemissione”. In questo modo viene fornito un certificato per lo stesso dominio, con la stessa data di scadenza di quello sostituito.
Se il vostro certificato scade prima del 13 settembre 2018 (Chrome 70 beta), non è necessario fare nulla.
Symantec/DigiCert offre ai clienti interessati un nuovo certificato SSL gratuito. Dovrete creare un CSR (Certificate Signing Request) per ogni certificato che desiderate sostituire o riemettere; si tratta di una procedura standard per l’invio a DigiCert della vostra chiave pubblica e di informazioni riguardo alla vostra azienda e al vostro nome di dominio. Inviate la vostra richiesta e una volta che DigiCert avrà convalidato nuovamente i vostri domini e le vostre organizzazioni, riceverete il nuovo certificato pronto da installare.