TIM e il certificato di VeriSign

Ne parla un lettore, avventuratosi sul sito dell'operatore per scoprire che la certificazione VeriSign di cui si fregia il sito è scaduta da diversi giorni. Problema di TIM o del sistema VeriSign?

Roma - Spett.le redazione di Punto informatico, vi scrivo per segnalarvi un fatto, come dire... curioso? Indice di pressapochismo? A voi il giudizio. Questa mattina mi trovavo in aula a tenere un corso ai colleghi del mio ufficio sulle "nuove tecnologie informatiche" quando, parlando di protocollo https, di certificati digitali e compagnia bella, per fare un esempio visivo mi è venuta la felice idea di andare sul sito della TIM nel quale ricordavo che c'era la possibilità di ricaricare online il proprio cellulare.

Sulla pagina dedicata fa bella mostra di sé il bollino con link alla pagina curata da VeriSign, che rilascia le certificazioni. Naturalmente, per dare l'esempio di cosa si trova quando un sito è certificato da un'autorità, vi ho cliccato sopra e, oh sorpresa!, la TIM ha il certificato scaduto dal 5 novembre.

A parte la figura con i colleghi, che vabbè, al limite l'ha fatta TIM e non io (anzi ci siamo fatti quattro risate tutti quanti), mi chiedo se è possibile che una società del genere scivoli su certe bucce di banana.
Cordiali saluti
Salvatore B.

Caro Salvatore
sono in tanti a dubitare che gli attuali sistemi di certificazione delle transazioni online, come quello di VeriSign, siano effettivamente funzionali allo scopo. Un po' perché a rilasciare i certificati è in fin dei conti una società privata dai molti interessi e spesso criticata, un po' perché sono molti i siti suoi clienti che non hanno certo bisogno di questi certificati per presentarsi. Di certo tra questi rientra il sito del maggiore operatore mobile italiano.
Mi chiedo dunque se TIM non abbia interesse a rimuovere quel bollino piuttosto che rischiare che scada la certificazione e, più in generale, se la sua validità possa o meno modificare l'approccio del consumatore al sito stesso.
Un saluto, Adele Chiodi
17 Commenti alla Notizia TIM e il certificato di VeriSign
Ordina
  • ...ma che dite?
    Era valido dal 1/10/2003 al 30/09/2004!!!

    https://digitalid.verisign.com/cgi-bin/Xquery.exe?...
    non+autenticato

  • - Scritto da: Anonimo
    > ...ma che dite?
    > Era valido dal 1/10/2003 al 30/09/2004!!!
    >
    > https://digitalid.verisign.com/cgi-bin/Xquery

    Si vede che anche lassù qualcuno legge PI e si è precipitato a rinnovarlo perchè fino a stamattina il certificato era EXPIRED.

    vedi anche: https://digitalid.verisign.com/cgi-bin/Xquery.exe?...


    non+autenticato
  • Anche al 187.it dove si pagano le bollette il certificato di protezione SSL è scaduto. Se il certificato non viene rinnovato (bisogna pagare e probabilmente telecom 187 si è dimenticato di pagare) risulta scaduto.
    non+autenticato
  • La stessa anomalia è accaduta per molto tempo anche per l'accesso ai servizi on line della Banca di Roma, cosa ancor più scandalosa se si pensa alla criticità dei servizi bancari on line e a quanto le banche sono zelanti verso i propri clienti!

    :|
    non+autenticato
  • - Scritto da: Anonimo
    > La stessa anomalia è accaduta per molto
    > tempo anche per l'accesso ai servizi on line
    > della Banca di Roma, cosa ancor più
    > scandalosa se si pensa alla criticità dei
    > servizi bancari on line e a quanto le banche
    > sono zelanti verso i propri clienti!

    Non so per la banca di Roma, ma molti enti (vedi ad esempio il Ministero delle Finanze) usano siti protetti con certificati creati in proprio, che inizialmente il browser non riconosce. Anche a livello di banche, esiste ad esempio questo servizio

    http://www.crfossano.it/E-banking_CRF.htm

    che utilizza un certificato di questo genere. E' il primo che ho trovato cercando su google, quindi non so come funzioni e quanto sia diffuso, resta il fatto che usa un certificato casalingo. Detto fra noi, non è che la cosa sia così elegante, ma per i sistemi di home banking la debolezza del sistema è solo durante l'installazione: se è prevista una procedura di attivazione dell'account che non sia imitabile da terzi (i.e. il server deve inviare dei dati che solo il cliente conosce e il cliente deve verificare questi dati prima di andare avanti) e debba essere effettuata dopo la ricezione del certificato, credo che i rischi siano minimi.
    DPY
    380
  • Vorrei essere stupito di quanto affermato nell'articolo, ma, purtroppo, devo dire che non lo sono più di tanto (la qualità degli interventi di P.I., anche se mediamente buona, ci fa spesso assistere a degli alti e bassi francamente imbarazzanti). Ma con che pressapochismo si può affermare che per l'operatore TIM è forse meglio rimuovere il certificato che aggiornarlo....ma stiamo scherzando? Ma sapete qualcosa di quello di cui state parlando? Avete un'idea del livello di documentazioni e verifiche richieste per avere un certificato Verisign rilasciato allo scopo richiesto? Pensate che basti pagare? Ma per favore! In Italia esiste un centro Verisign che si può visitare e contiene sette diversi livelli di sicurezza che vanno dal badge all'entrata alle chiavi d'accesso gemelle. Sia chiaro: io non lavoro per Verisign (e sono sicuramente critico su certe risibili iniziative come quella del redirect forzato dei .com e .net inesistenti), ma so a cosa serva un certificato, che valore abbia e, soprattutto, mi rendo conto di cosa significa sicurezza in Internet (cosa che non è così chiara a tutti, a quanto pare). Se vi appaiono degli warning al popup di accesso ad una connessione https, magari è il caso di cercare di capire perché, non di cliccare comunque su OK, per poi lamentarsi dell'inutilità dei certificati.
    Ricordate, l'unico warning, tutto sommato, "ammesso" è quello della trusted root certificate authorities (a seconda, naturalmente del livello di importanza dell'accesso), che comunque è da controllare, ma se vi appare uno qualunque degli altri 2 warnings (non coincidenza url/IP server https, timestamp), non cliccate su OK, c'è qualcosa che non va.

    -Zoroastro-
    non+autenticato
  • se vado sul sito di TIM e ci trovo un certificato scaduto vuol dire solo che il sistema non funge
    poi e' chiaro che e' complicato, senno' come si fanno pagare?
    non+autenticato
  • Ma sapete qualcosa di quello di
    > cui state parlando? Avete un'idea del
    > livello di documentazioni e verifiche
    > richieste per avere un certificato Verisign
    > rilasciato allo scopo richiesto?

    In realtà non ne ho idea, ma spero che sia un po' migliorato dopo questo episodio

    http://punto-informatico.it/p.asp?i=35541

    in cui Verisign ha fatto una ben magra figura.

    Un altra cosa che mi ha lasciato sempre perplesso è il costo di questi certificati: è pur vero che le puntuali verifiche sull'identità di chi richiede il certificato avranno un valore e quindi sono anche una spesa per l'ente certificatore, però... prendiamo l'esempio di http://www.trustitalia.it , azienda affiliata a Verisign e quindi considerabile a tutti gli effetti la sua emanazione per le nostre zone: a listino un certificato per singolo server a 40 bit ha un costo di ? 475,37 per un anno e ? 798,00 per due. In pratica acquistandolo per due anni c'è uno sconto del 16% circa, che si può supporre dovuto alla necessità di non ripetere gli stessi controlli per due anni di seguito. Lo stesso certificato, ma a 128 bit, ha un costo di ? 947,57 per un anno e ? 1.688,70 per due, pari a uno sconto del solo 11%. Ora, se le procedure per ottenere i due certificati sono identiche, perché quello a 128 bit deve costare quasi il doppio? Solo perché i loro computers hanno utilizzato un po' più di tempo di CPU?

    > Sia chiaro:
    > io non lavoro per Verisign (e sono
    > sicuramente critico su certe risibili
    > iniziative come quella del redirect forzato
    > dei .com e .net inesistenti), ma so a cosa
    > serva un certificato, che valore abbia

    Allora se sai come funzionano le cose saprai anche che all'utenza basta non ricevere avvisi nel momento in cui entra in un sito protetto: se questo non succede che il certificato sia stato emesso da Verisign o da un altro ente i cui certificati sono presenti nella dotazione standard dei browser non ha la minima importanza, nessun cliente andrà mai a questionare se il certificato è firmato da GeoTrust (tanto per dirne uno) invece che da Verisign. Il bollino dorato a questo livello serve per fare bella figura, ma è tecnicamente inutile in quanto non dice nulla che non possa essere ricavato direttamente dal certificato, al massimo potrebbe servire per scoprire che il certificato è stato revocato, ma se fosse così il venditore in malafede lo rimuoverebbe subito.

    Tutto questo discorso serve a dire che se esistono n certificatori, la debolezza del sistema si misura sul certificatore più debole, non su quello più forte: io posso essere un certificatore che manda gli investigatore privato sulle tracce dei loro clienti prima di conceder loro un certificato, ma se un altro ente mio pari lo da a cani e porci dopo controlli minimi, questo ente mina tutto il sistema.
    DPY
    380
  • Sul costo, sinceramente, posso anche essere d'accordo con te. Sinceramente, ritengo che anche il costo sia (oltre che naturalmente un modo per sfruttare economicamente il proprio status di "ente di certificazione affermato", ma del resto, è un brand come un altro Occhiolino ) anche una sorta di ulteriore metodo di selezione.
    Detto questo, concordo che il valore del sistema si regge sull'anello più debole delòla catena, ma è anche vero che non è così semplice essere inseriti di default nelle trusted root certification authorities del browser. E' naturale che se poi l'utente decide di inserire una qualunque CA nelle proprie trusted lo fa di sua spontanea volontà. Certo, mi rendo conto che il metodo è un po' complicato, soprattutto per l'utente medio, ma si tratta dell'unico e più valido modo per poter avere transazioni sicure. E' comunque vero che le root CA posso creare CA delegate esclusivamente all'emissione di certificati con specifici ed esclusivi scopi (in base anche all'OID del certificato stesso). Quello che conta realmente è la chain di creazione del certificato, strutturata in modo tale che se cade la sicurezza di un certificato, la caduta si espande solo fino all'ente certificatore stesso e non oltre, fino all'ente certificatore originario.
    Si tratta, ne convengo, di una realtà complessa, ma solo quanto è complessa comunque la questione. E' comunque vero che almeno basarsi sui tre livelli base di warning di un popup d'accesso ad un secure channel è alla portata di tutti e che se c'è un warning, questo dovrebbe comuqnue portare ad una certa prudenza. Non pretendo certo che l'utente domestico vada a controllare lo scopo di emissione del certificato o se è digitalmente firmato con hashcode MC5 o SHA-1.
    Ciao

    -Zoroastro-
    non+autenticato
  • Verisign avrà avvisato una trentina di volte il responsabile del sito certificato ... ma, questo (ir)responsabile, probabilmente manco sapeva di cosa si trattasse.

    Anzi, sicuramente i suoi filtri antispam gli hanno brutalmente incenerito l'avviso di scadenza del certificato.

    Non servono i certificati ?

    Provate ad andare qui:

    https://www.thwate.com

    Un certificato scaduto, rilasciato dalla Snake Oil e con un CN che non c'entra nulla.

    A me è capitato di scrivere male l'indirizzo ... e, se fatto bene il sito, ci sarei cascato come un pollo ... che pollo che sono.

    I certificati servono, e serve anche il granu salis dell'utente che dovrebbe rendersi conto di quello che fa.

    Non mi va di fare pubblicità, ma Verisign e altri operatori del settori, mi hanno fatto e mi fanno penare parecchio per ottenere un certificato, volgiono una miriade di "assicurazioni" e "dimostrazioni" che "io sono io e sono anche quello che io dico di essere".

    Un mese prima che il certificato scada, i Certificatori mi bombardano di avvisi. Se poi trascuro ... il pollo (ormai è deciso), sono io.

    Dateci il nome del responsabile del sito TIM ... pubblicheremo su internet la foto della sua flagellazioneOcchiolino))

    In http, non https, ovvioSorride

    Dave
    non+autenticato
  • > Non servono i certificati ?

    Se sono sul sito di TIM stai sicuro che NON MI SERVE di sapere che Verisign sa che TIM e' TIM
    non+autenticato

  • - Scritto da: Anonimo

    > Se sono sul sito di TIM stai sicuro che NON
    > MI SERVE di sapere che Verisign sa che TIM
    > e' TIM

    Ho paura che tu, e temo anche l'articolista, non abbiate capito bene lo scopo di un certificato.

    Hint: hijacking, dns cache poisoning
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)