ARGOMENTI SULLA SICUREZZA

Pericoli dei certificati SSL/TLS convalidati dal dominio

I certificati SSL vanno oltre la crittografia dei dati per autenticare anche i siti Web. Questa è una funzione importante e fondamentale perché crea fiducia. I visitatori dei siti Web vedono il lucchetto SSL o l'indicazione HTTPS e ritengono che il sito sia autentico.

Cos'è la convalida del dominio?

Nella lotta contro siti fasulli, phishing e frodi, i certificati SSL affidabili sono fondamentali. Per questo motivo i certificati convalidati dal dominio possono essere pericolosi. Le autorità di certificazione (AC) emetteranno un certificato convalidato dal dominio a chiunque sia elencato come il contatto amministratore del dominio nel record WHOIS di un nome di dominio. Esse inviano semplicemente un'e-mail all'indirizzo di e-mail del contatto e questo è tutto.

 

È il più basso livello di autenticazione utilizzato per convalidare i certificati SSL. I livelli più alti comprendono i certificati convalidati dall'organizzazione (OV, Organization Validation) e con convalida estesa (EV, Extended Validation) che richiedono controlli più dettagliati.

 

Cos'è la convalida del dominio?

Autenticazione SSL/TLS

Perché possono essere pericolosi?

Il problema con la convalida di dominio è che i criminali in Internet possono ottenere facilmente certificati SSL per siti di phishing con un nome leggermente diverso da un nome di dominio legittimo. Ad esempio, se essi volessero colpire BankOne.com, potrebbero registrare bank1.com e, utilizzando un account webmail gratuito, ottenere un certificato SSL convalidato dal dominio per quel sito.

Quando un visitatore viene indotto a visitare il sito di phishing, vede la rassicurante indicazione https, il lucchetto SSL e non sempre si accorge che l'indirizzo non è corretto.

Come individuare un certificato convalidato dal dominio

Di fatto è molto difficile determinare se un certificato è convalidato dal dominio. Di conseguenza, è probabile che gli utenti considerino come tuo il sito di phishing clonato, e nel momento in cui scoprono che i loro dati sono stati rubati incolperanno te.

Ogni autorità di certificazione adotta procedure diverse per verificare esattamente i proprietari dei siti Web, ma i certificati Extended Validation sono certamente quelli con i livelli più alti di autenticazione, cosa che viene dimostrata ai visitatori attivando la barra degli indirizzi verde (vedere di seguito esempi dei siti Web più noti).

 

L'alternativa affidabile

Di fronte alla grande diffusione di siti fasulli che utilizzano certificati SSL ottenuti facilmente, i proprietari di siti Web non possono permettersi il rischio di usare certificati convalidati dal dominio. Specialmente se il sito chiede informazioni utente particolarmente sensibili o personali, è probabile che gli utenti cerchino un'ulteriore livello di rassicurazione.

La scelta di un certificato di un'autorità di certificazione conosciuta, come Symantec, e la scelta di un metodo di convalida molto rassicurante, come Extended Validation, fornisce un'alternativa più affidabile. Certamente questo può essere meglio per il tuo business rispetto all'alternativa.

Per ulteriori informazioni su SSL, dal suo funzionamento alla sua configurazione sui tuoi server, scarica subito la nostra risorsa interattiva, Descrizione di SSL.

3 principali miti sui siti Web da sfatare

Leggi i fatti


Di fronte alle numerose falsità e ai miti che circondano il tema della sicurezza dei siti Web, come puoi filtrare la verità in modo da scegliere la giusta protezione che garantisca la sicurezza del tuo business, del tuo sito Web e dei tuoi clienti?

LEGGI 3 MITI DA SFATARE
Symantec Private Certification Authority Service

Symantec Private Certification Authority Service (AC privata)

L'AC privata Symantec è una soluzione conveniente per migliorare la sicurezza e la gestione dei certificati intranet privati aderendo al contempo agli standard di conformità aziendali e di settore. Evita la scadenza dei certificati: emetti istantaneamente, gestisci e traccia i certificati della tua Intranet privata utilizzando la visibilità e gli avvisi della console di Symantec Managed PKI for SSL.

Continua la lettura

Cos'è SSL EV?

Cos'è SSL EV?

I certificati Symantec SSL/TLS con Extended Validation (EV) offrono soluzioni che consentono ad aziende e privati di intrattenere comunicazioni e affari online in tutta sicurezza.

Continua la lettura

Certificati client e certificati server

Certificati client e certificati server Qual è la differenza?

Per molte persone i termini  PKI  o "certificati client" possono evocare immagini di aziende indaffarate a proteggere e completare le transazioni online dei loro clienti, ma in realtà tali certificati si trovano ovunque nella nostra vita quotidiana e in molte forme: quando accediamo a una VPN oppure quando utilizziamo una carta di credito al bancomat, una scheda per ottenere l'accesso a un edificio o una tessera magnetica per i mezzi pubblici.

Continua la lettura

CASI DI UTILIZZO

Soluzioni Symantec Website Security nel mondo reale

Aderisci alla Community

Partecipa alle discussioni sulla sicurezza in Symantec Connect

SYMANTEC CONNECT

Segui l'intelligence sulle minacce su Twitter @Threatintel

SYMANTEC ON TWITTER

Guarda i video sul canale Symantec Website Security di YouTube

SYMANTEC ON YOUTUBE