{"id":48823,"date":"2017-04-01T18:34:18","date_gmt":"2017-04-01T17:34:18","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=48823"},"modified":"2017-04-11T13:49:25","modified_gmt":"2017-04-11T12:49:25","slug":"letsencrypt-fornisce-certificati-ssl-validi-siti-phishing","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/letsencrypt-fornisce-certificati-ssl-validi-siti-phishing\/48823\/","title":{"rendered":"LetsEncrypt fornisce certificati SSL validi a siti di phishing"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f7297acf0c5\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f7297acf0c5\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/letsencrypt-fornisce-certificati-ssl-validi-siti-phishing\/48823\/#Cosa_si_deve_fare_per_essere_sicuri_sul_web\" >Cosa si deve fare per essere sicuri sul web?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/letsencrypt-fornisce-certificati-ssl-validi-siti-phishing\/48823\/#Che_cosa_puo_LetsEncrypt_fare_per_migliorare_la_sicurezza\" >Che cosa pu\u00f2 LetsEncrypt fare per migliorare la sicurezza?<\/a><\/li><\/ul><\/nav><\/div>\n<p>Fino a tempi relativamente recenti, L&#8217;Autorit\u00e0 che certifica i siti in Https non avrebbe rilasciato\u00a0un certificato SSL per un sito che cerca\u00a0di far finta di essere\u00a0apple.com o microsoft.com. Tuttavia, c&#8217;\u00e8 una nuova CA (Certification Authority) chiamato <a href=\"https:\/\/letsencrypt.org\/\" target=\"_blank\">LetsEncrypt<\/a> che rilascia certificati gratuiti a siti web che desiderano utilizzare SSL.<\/p>\n<p>LetsEncrypt ha un obiettivo nobile. Sta cercando di rendere libero il web di utilizzare SSL per cifrare le connessioni sui siti senza dover pagare neanche un euro. Tuttavia per motivi organizzativi non controllano \u00a0se il proprietario del sito web sta fingendo di essere qualcun altro. Cos\u00ec l&#8217;effetto di questo tipo di gestione \u00e8 che stiamo assistendo a molti siti di phishing che hanno un certificato https valido emesso da LetsEncrypt e che appaiono come &#8216;sicuri&#8217; nel browser Chrome.<\/p>\n<p>Ecco un esempio di un sito Web che utilizza un certificato https di LetsEncrypt e che appare come &#8216;sicuro&#8217; in Chrome.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-48952\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/https-LetsEncrypt-chrome.jpg\" alt=\"\" width=\"780\" height=\"156\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/https-LetsEncrypt-chrome.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/https-LetsEncrypt-chrome-300x60.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/https-LetsEncrypt-chrome-768x154.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><\/p>\n<p>Come si pu\u00f2 vedere, Chrome dice che il sito \u00e8 &#8216;sicuro&#8217;. Il proprietario del sito sta cercando di far finta di essere il negozio di Google Play. I phisher sperano di confondere il testo dopo &#8216;.com&#8217; con quello che di solito appare dopo la barra sul reale negozio di Google Play. Questo \u00e8 un esempio di un sito di phishing che cercher\u00e0 di carpire le credenziali del tuo account \u00a0Google Play.<\/p>\n<p>Per visualizzare le informazioni sul certificato di questo sito, \u00e8 necessario aprire gli strumenti per sviluppatori di Chrome e visualizzare la scheda di sicurezza. \u00c8 possibile farlo andando al Visualizza&gt; sviluppatore&gt; menu Strumenti per sviluppatori.<\/p>\n<p>Ma \u00e8 ovvio che pochissime persone, soprattutto coloro che non sono tecnici, lo faranno. E saranno ingannate, involontariamente, da LetsEncrypt e da Chrome.<\/p>\n<p>Basta controllare e nel caso revocare il certificato, direte voi, e invece no, non basta.<\/p>\n<p>Anche se il certificato non \u00e8 valido rimane attivo e moltissime persone non se ne rendono conto. Ancora una volta la differenza tra avere una buona idea, quella di LetsEncrypt e metterla in pratica sta nell&#8217;esperienza.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Cosa_si_deve_fare_per_essere_sicuri_sul_web\"><\/span>Cosa si deve fare per essere sicuri sul web?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Il modo migliore per proteggersi contro siti dannosi, in questo caso, \u00e8 quello di controllare il vostro browser direttamente nella barra degli indirizzi e leggere il Nome dominio<\/p>\n<p>completo che vi appare.<\/p>\n<p>Guardate la barra degli indirizzi di cui sopra. Si dovrebbe vedere &#8216;https:\/\/www.alground.?com\/&#8230;.&#8217;. Quando si visita un sito web con cui si prevede di scambiare dati sensibili bisogna verificare il completo hostname dopo &#8216;https: \/\/&#8217; . Se non si riconosce o se sembra che ha un po &#8216;di cose strane sulla fine,del nome dominio, chiudere immediatamente la finestra e riflettere attentamente su come sei finito su quel sito.\u00a0Evitare di cliccare qualunque link ti ha portato a tale sito web.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Che_cosa_puo_LetsEncrypt_fare_per_migliorare_la_sicurezza\"><\/span>Che cosa pu\u00f2 LetsEncrypt fare per migliorare la sicurezza?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Il team di LetsEncrypt deve iniziare a fare ricerche per parole chiave sulle applicazioni dei certificati SSL. Questo pu\u00f2 essere completamente automatizzato e LetsEncrypt ha bisogno di respingere i certificati che contengono stringhe come \u201c.apple.com.\u201d, \u201c.paypal.com.\u201d, \u201c.google.com.\u201d E altri modelli comuni di phishing.<\/p>\n<p>Dovrebbero implementare un processo di revisione in cui, se la tua richiesta di certificato viene rifiutata, \u00e8 possibile applicare un token che consente di bypassare il check-in futuro una volta che avete tentato di fare qualcosa di dubbio.<\/p>\n<p>Insomma diventare una Ca vera e non un distributore automatico di certificati ssl senza il minimo controllo. Un comportamento come questo fa pi\u00f9 danni che rimanere in http. Abbassa il livello di attenzione dell&#8217;utente che crede di essere al sicuro. Mentre invece \u00e8 nella bocca del lupo.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Fino a tempi relativamente recenti, L&#8217;Autorit\u00e0 che certifica i siti in Https non avrebbe rilasciato\u00a0un certificato SSL per un sito che cerca\u00a0di far finta di essere\u00a0apple.com o microsoft.com. Tuttavia, c&#8217;\u00e8 una nuova CA (Certification Authority) chiamato LetsEncrypt che rilascia certificati gratuiti a siti web che desiderano utilizzare SSL. LetsEncrypt ha un obiettivo nobile. Sta cercando [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":48954,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-48823","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/LetsEncrypt-ssl-certificati-siti-phishing.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=48823"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/48954"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=48823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=48823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=48823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}