Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

I nuovi requisiti di sicurezza degli SSL Labs

Link copiato negli appunti

L'application security researcher Ivan Ristic ha recentemente reso noti i nuovi requisiti previsti dagli SSL Labs per la valutazione del livello di sicurezza di un progetto Web based e dell'ambiente in cui opera; si tratta di criteri specificati all'interno della "SSL Server Rating Guide" che permettono di utilizzare un sistema di classificazione dove "A+" corrisponde al massimo grado di sicurezza ed "F" ad una condizione di insicurezza che necessiterebbe di immediato rimedio.

A tal proposito è bene chiarire che il nuovo sistema di rating prevede due nuovi voti rispetto alle edizioni passate, "A+", di cui si è già parlato, e "A-", questo per rendere le valutazioni espresse ancora più accurate; conseguiranno una "A-" quelle configurazioni che, pur non meritando una "B" perché non definibili insicure, presenteranno delle differenze da quella che dovrebbe essere considerata un'impostazione ottimale.

E' quindi da segnalare che d'ora in poi il supporto per TLS 1.2 sarà un requisito necessario per il conseguimento di una "A", nel caso in cui tale supporto sia invece assente, la valutazione non potrà essere superiore ad una "B"; attualmente però tale release del protocollo sarebbe supportata soltanto da un quinto del parco server esistente.

Proseguendo, i nuovi criteri prevedono che le chiavi al di sotto dei 2048 bits siano considerate deboli ("weak"), per cui la loro valutazione non potrà superare la "B". Più grave il discorso per le chiavi al di sotto dei 1024 bits ora considerate insicure e quindi associate al massimo ad una "F"; nello stesso modo le firme MD5 per i certificati, prima classificate soltando come deboli, saranno ritenute insicure e quindi meritevoli di una "F".

I server che non supportano la Forward Secrecy o la rinegoziazione sicura produrranno una notifica warning; un segnale di allarme verrà generato anche per i server che utilizzano l'algoritmo RC4 in associazione ai protocolli TLS 1.1 o TLS 1.2, tale segnalazione non dovrebbe essere invece prevista per RC4 con TLS 1.0 o release precedenti supportate da client datati.

La migliore valutazione possibile, cioè "A+", verrà concessa soltanto ai server che, una volta sottoposti a giudizio, presentino una configurazione ottimale, non producano notifiche e che possano fornire un buon supporto per l'HTTP Strict Transport Security.

Via Ivan Ristic

Ti consigliamo anche