Fornitore Ufficiale Di Certificati SSL E Trust Seals Convenienti

Oggi, in occasione del Chaos Communication Congress svoltosi a Berlino, tre ricercatori hanno presentato una dichiarazione nella quale hanno affermato di aver utilizzato un attacco alla collisione MD5 al fine di creare un falso Certificato SSL sfruttando il marcio di Certificazione RapidSSL.

Siamo felici di assicurare che l'attacco in questione è stato reso innocuo da tutte le Certificazioni SSL rese disponibili da VeriSign.

Ringraziamo i nostri addetti alla sicurezza e affermiamo orgogliosamente che questi white hats del calibro di "MD5 Collision Inc." ci hanno permesso, tramite il loro operato, di migliorare ulteriormente il livello di sicurezza online. Il gruppo in questione ha tentato di mantenere il più assoluto riserbo sulla propria scoperta, e ciò ha portato VeriSign a non ricevere alcuna informazione precedentemente alla riunione di cui sopra, rendendo per noi impossibile impegnarci al fine di mitigare il problema presentatosi questa mattina. VeriSign ha, comunque, già provveduto a rimuovere questa situazione di vulnerabilità. Ecco alcune domande e le relative risposte relativamente a quanto da noi scoperto questa mattina :

D : Gli avvertimenti dei ricercatori circa la vulnerabilità di MD5 sono seri ed accurati?

R : Considerato il fatto che i ricercatori abbiano omesso di informare VeriSign relativamente a quanto scoperto, siamo venuti a conoscenza dell'accaduto solo questa mattina. Non vi è nulla, relativamente alla ricerca, che ad un primo sguardo possa apparire inaccurato. Prevediamo di effettuare una verifica più approfondita relativamente a questa dichiarazione, e per questo riusciremo a fornire a breve risposte più calibrate e precise.

D : Come VeriSign E' Riuscita A Fronteggiare Questa Problematica?

R : VeriSign ha rimosso gli elementi di vulnerabilità. Alle 11:00 di oggi, l'attacco condotto non può dirsi concluso con successo contro alcuna Certificazione RapidSSL o ogni altro prodotto VeriSign.

D : Cosa posso fare per mettere in sicurezza il mio sito internet?

R : Non è richiesta alcuna attività da parte dell'utenza. Nessun certificato è risultato affetto da questo attacco e il rischo di vulnerabilità è stata resao inefficace da tutti i Certificati RapidSSL successivamente emessi.

D : VeriSign smetterà di utilizzare MD5 come conseguenza di quanto scoperto?

R : VeriSign ha, da due anni, smesso di utilizzre MD5; la data di dismissione è stata programmata per la fine di Gennaio 2009 (meno di un mese da ora). Alla luce della dichiarazione odierna, VeriSign accelererà l'abbandono di MD5 alla prima data possibile. Il completamento di questa operazione verrà reso noto alla clientela. Ad oggi, abbiamo interrotto l'uso di MD5 durante l'emissione di RapidSSL, ed abbiamo confermato che tutti gli altri Certificati SSL da noi venduti sono del tutto invulnerabili a questo tipo di attacco.

D : Perché ci è voluto così tanto per VeriSign per abbandonare MD5?

A : Una tecnologia al tramonto, posta all'interno di un ecosistema aziendale, richiede diverso tempo per essere rimpiazzata; ciò in quanto revocare le certificazioni rilasciate potrebbe insospettire la clientela e causarne l'arresto relativo alle transazioni di business online. Come detto sopra, VeriSign accelererà la fase di dismissione anticipandola alla prima data disponibile. Gli utenti verranno avvisati non appena il processo di abbandono di MD5 verrà terminato.

Q : Quanti sono i siti internet coinvolti?

R : Nessuno. L'attacco, nel corso del suo svolgimento, ha rappresentato un metodo illecito di creazione di un nuovo, falso certificato SSL. I ricercatori non hanno mostrato un attacco contro certificazioni ed entità esistenti. In altre parole, non è possibile sfruttare questo attacco per invalidare una certificazione già emessa per un determinato sito.

D : La vulnerabilità generata coinvolge solo siti internet che adoperano Certificazioni RapidSSL?

R : Questo tipo di vulnerabilità non ha effetti su alcuna Certificazione SSL esistente, incluse quelle emesse da RapidSSL.

D : Cosa accade ai clienti che possiedono certificati attivi basati sull'algoritmo MD5?

R : La ricerca svoltasi oggi ha rivelato la possibilità di un attacco ai danni dei certificati di nuova emissione. Le Certificazioni esistenti non sono in una situazione di rischio. Nonostante ciò, nel caso in cui ci fossero clienti che desiderino sostituire un Certificato MD5, essi possono farlo in maniera assolutamente gratuita. VeriSign, sino a nuovo ordine, sospende il pagamento di costi di sostituzione relativi a questo tipo di Certificati. Essendo la sostituzione non necessaria per garantire la sicurezza sui siti web non si richiede alcuna modifica, come invece avvenuto in passato per Debian.

D : I ricercatori hanno affermato che i Certificati SSL Extended Validation non sono vulnerabili a questo attacco in quanto non accettano MD5. E' vero?

R : Sì; le Certificazioni SSL EV utilizzano l'algoritmo più recente e non sono coinvolte nei più recenti casi di vulnerabilità MD5. Oggi i ricercatori di cui sopra hanno provveduto a specificare che le Certificazioni SSL EV sono completamente immuni da questo genere di attacco. Hanno inoltre deciso di comunicare ai consumatori che al fine di ottenere i maggiori benefici da EV è necessario adoperare browser compatibili con questa tipologia di Certificato.

D : La sicurezza di internet è compromessa?

R : Difficilmente lo potrebbe essere. I relatori intervenuti questa mattina hanno specificato che un attacco del tipo appena perpetrato potrebbe avere successo solo attraverso un ingente impegno di potenza informatica. VeriSign ha già provveduto ad eliminare l'attacco come remota possibilità.

Fonte : VeriSign, Inc.