Nelle scorse settimane i grandi vendor e produttori di browser (leggi Google, Microsoft, Firefox, Opera ) stanno affrontando il problema di dover smettere di accettare certificati ssl firmati con l’algoritmo SHA-1.
Questo algoritmo che dovrebbe infatti garantire l’autenticita’ della fonte a cui si e’ connessi non e’ piu’ ritenuto sicuro. Alcuni ricercatori sono riusciti a produrre delle “collisioni” e pertanto costruire la possibilita’ di falsificare l’autenticita’ di siti web apparentemente protetti dal “lucchetto verde” e dal sigillo “Connessione Sicura” (approfondire su argomento SHA1 collisioni, Boomerang Attack).
L’effetto e’ a catena e spinge a un nuovo ricambio generazionale di hardware e software: i vendor decidono di NON accettare piu’ i certificati firmati SHA-1 attraverso i loro browser aggiornati, i grandi utilizzatori (leggi in particolare le Banche) vengono contattati dai loro utenti che rilevano la connessione come “NON sicura”.
I fornitori di servizi “necessariamente sicuri” sono percio’ costretti a sostituire i certificati vecchi con certificati nuovi. I nuovi certificati NON funzionano con i vecchi sistemi operativi e browser (leggi Win XP e Internet Explorer). Gli utenti con vecchi sistemi sono costretti ad aggiornare i loro sistemi.
I gestori di server che usano certificati ssl per proteggere i dati in transito e garantire l’autenticità del proprio sito dovranno a breve aggiornare i certificati o installare la versione SHA256 dei certificati intermedi, pena la segnalazione agli utenti di connessioni “non protette”.
E’ evidente percio’ l’mportanza della corretta gestione ed installazione dei certificati ssl. Rivolgersi a personale qualificato per procedere alla installazione di certificati ssl per server web validita’.
Notizie Linux su server, sicurezza informatica, reti e web
Notizie su server Linux, sicurezza informatica, reti. News su Linux server Ubuntu, Debian, Red Hat, CentOS, Almalinux, Rocky Linux, Slackware.
Le notizie linux che potete leggere riguardano aggiornamenti dei pacchetti, distribuzioni utilizzate in ambito server, problemi di configurazione e di sicurezza dei server che sopravvengono ogni giorno.
La sezione non e’ esaustiva e gli argomenti trattati non sono sufficienti a garantire un adeguato livello di sicurezza dei server. Si consiglia pertanto di approfondire e curare autonomamente lo stato di protezione dei server. Affidatevi a professionisti di servizi di Assistenza sistemistica dedicati a tale scopo.
Le notizie sulla sicurezza e gli altri argomenti trattati sono considerate di particolare interesse in ambito server Linux/Unix/BSD.
Le notizie sono scelte per il numero dei sistemi colpiti, per il meccanismo di funzionamento, la metodologia di attacco, l’originalita’ o per altri motivi che saranno di volta in volta descritti.
Si parlera’ di Linux per server: Debian, Red Hat, CentOS, Ubuntu, Almalinux, Rocky Linux, zero-days exploit, firewall, rootkit, crittografia, firme digitali, attacchi MITM, Poisoning, spoofing, SQL injection, vulnerabilities, etc…
Le notizie sulla Sicurezza informatica da noi pubblicate le puoi trovare anche nei post di Sicurezzarete su Facebook
e su Google News
Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001