Dettagli

Creato: 29 Maggio 2024

Visite: 908

• Windows
• Security

 

Un certificato digitale è un documento elettronico che utilizza una firma digitale per vincolare una chiave pubblica a un'identità. Questo documento viene emesso da un'autorità di certificazione (CA) e serve a garantire l'autenticità, l'integrità e la non ripudiabilità delle comunicazioni e delle transazioni elettroniche.

Componenti di un certificato digitale

• Chiave pubblica: La chiave pubblica dell'entità a cui il certificato è emesso. Viene utilizzata per la crittografia delle informazioni e per la verifica delle firme digitali.
• Informazioni sull'identità: Dati che identificano il titolare del certificato, come il nome, l'organizzazione, l'unità organizzativa, il paese, e l'indirizzo e-mail.
• Informazioni sull'emittente: Dati che identificano l'autorità di certificazione che ha emesso il certificato.
• Periodo di validità: La data di inizio e di fine della validità del certificato. Dopo questa data, il certificato non è più considerato valido.
• Numero di serie: Un numero unico assegnato dall'autorità di certificazione per identificare univocamente il certificato.
• Algoritmo di firma e Firma digitale: L'algoritmo utilizzato per creare la firma digitale e la firma stessa, che è generata dalla chiave privata dell'autorità di certificazione.

Funzioni di un certificato digitale

• Autenticazione: Conferma l'identità del titolare del certificato. Ad esempio, un certificato SSL/TLS conferma l'identità di un sito web.
• Crittografia: Abilita la crittografia delle comunicazioni per proteggere la privacy e l'integrità dei dati trasmessi.
• Firma digitale: Consente di firmare digitalmente documenti e transazioni, garantendo che non siano stati alterati e che provengano dall'entità dichiarata.

Tipi di certificati digitali

• Certificati SSL/TLS: Utilizzati per garantire connessioni sicure su Internet, come nei siti web HTTPS.
• Certificati di firma del codice: Utilizzati per firmare software e garantire che il codice non sia stato alterato dopo essere stato firmato.
• Certificati di firma digitale: Utilizzati per firmare documenti elettronici, garantendo la loro integrità e autenticità.
• Certificati di e-mail (S/MIME): Utilizzati per firmare e cifrare e-mail, garantendo la sicurezza delle comunicazioni e-mail.

 

 

 

Figura 1: Trusted Root Certification Authorities presenti in Windows

 

Processo di emissione di un certificato digitale

L'emissione di un certificato digitale è un processo che coinvolge vari passaggi chiave per garantire l'identità e la sicurezza del titolare del certificato. L’intero processo può essere riassunto in queste fasi:

1. Richiesta del certificato (Certificate Signing Request - CSR)

• Generazione della coppia di chiavi: Il richiedente genera una coppia di chiavi (pubblica e privata) utilizzando un software di crittografia.
• Creazione della CSR: Il richiedente crea una CSR, un file che contiene la chiave pubblica e informazioni identificative (nome del dominio, organizzazione, paese, ecc.).

2. Invio della CSR

• La CSR viene inviata a una Autorità di Certificazione (Certification Authority - CA).

3. Verifica dell'identità

• La CA verifica le informazioni fornite nella CSR. Questo può includere la verifica del dominio, l'identità dell'organizzazione e altre informazioni necessarie.
• Verifica del dominio: Solitamente la CA invia un’e-mail a un indirizzo associato al dominio (ad es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) o richiede di aggiungere un record DNS specifico per dimostrare il controllo del dominio.

4. Emissione del certificato

• Una volta completata la verifica, la CA firma la chiave pubblica del richiedente con la propria chiave privata, creando così il certificato digitale.
• Il certificato digitale include la chiave pubblica del richiedente (la chiave privata non abbandona mai il computer su cui è stata generata inizialmente la coppia di chiavi), informazioni identificative e la firma della CA.

5. Installazione del certificato

• Il certificato digitale emesso viene inviato al richiedente.
• Il richiedente installa il certificato sul server o dispositivo che utilizzerà il certificato per stabilire connessioni sicure.

6. Configurazione e test

• Il richiedente configura il server o dispositivo per utilizzare il certificato digitale nelle comunicazioni sicure (es. HTTPS per siti web).
• Vengono eseguiti test per assicurarsi che il certificato sia installato correttamente e che le connessioni siano sicure.

7. Rinnovo e revoca

• I certificati digitali hanno una data di scadenza e devono essere rinnovati periodicamente.
• Se il certificato o la chiave privata viene compromesso, il certificato deve essere revocato e ne deve essere emesso uno nuovo.

Maggiori informazioni sono disponibili alla pagina Certificato digitale - Wikipedia

 

 

Figura 2: Come viene realizzato un certificato digitale. Fonte: Wikipedia

 

I certificati digitali possono essere emessi in diversi formati. Ecco i più comuni:

1. DER (Distinguished Encoding Rules): Alcuni dispositivi hardware di sicurezza, come smart card e token crittografici, utilizzano il formato DER per memorizzare certificati e chiavi. In ambienti con risorse limitate, dove l'efficienza dello spazio è cruciale, il formato binario DER può essere preferito rispetto al formato base64 PEM, poiché non introduce l'overhead di codifica. Talvolta, i certificati radice e quelli delle autorità di certificazione (CA) sono distribuiti in formato DER per garantire una rappresentazione compatta e compatibile con vari sistemi operativi e software. Alcuni sistemi operativi, come Windows, possono utilizzare il formato DER per l'importazione e l'esportazione dei certificati all'interno del loro archivio certificati.

• Formato binario
• Estensione del file: .der, .cer
• Può essere utilizzato sia in ambienti Windows che Unix/Linux

2. PEM (Privacy-Enhanced Mail): Il formato PEM permette di gestire certificati, chiavi private e catene di certificati in file separati, facilitando la configurazione e la manutenzione. È possibile concatenare più certificati in un singolo file PEM. Ad esempio, un certificato intermedio e un certificato radice possono essere combinati insieme.
   
   Il formato PEM è ampiamente utilizzato grazie alla sua leggibilità, flessibilità e compatibilità con molte applicazioni e sistemi operativi, specialmente in ambienti Unix/Linux. È particolarmente adatto per la gestione di certificati SSL/TLS, chiavi private e catene di certificati, rendendolo una scelta preferita in molte implementazioni di sicurezza e comunicazioni sicure.

• Formato base64 codificato, comune nei sistemi Unix/Linux e nei server web (Apache, Nginx, ecc.).
• Estensione del file: .pem, .crt, .cer, .key
• È facile da leggere e modificare con un editor di testo, poiché è codificato in base64 e contiene delimitatori chiari (-----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----)

3. PFX/PKCS#12 (Personal Information Exchange): È utilizzato principalmente per l'archiviazione e il trasferimento sicuro di certificati e chiavi private. È ampiamente utilizzato in ambienti Windows e in contesti dove è necessario trasferire in modo sicuro certificati e chiavi private. La sua capacità di contenere sia il certificato che la chiave privata, insieme alla protezione tramite password, lo rende ideale per molte applicazioni aziendali e di sicurezza.

• Formato binario che può contenere sia il certificato pubblico che la chiave privata e opzionalmente una catena di certificati.
• Usato principalmente su piattaforme Windows. Il server web di Microsoft (IIS) utilizza il formato PFX per l'importazione di certificati SSL/TLS e delle chiavi private associate.
• Estensione del file: .pfx, .p12
• Utilizzato per importare ed esportare certificati e chiavi private in modo sicuro.
• È ideale per il backup sicuro di certificati e chiavi private, poiché può essere protetto con una password.

4. PKCS#7 (Cryptographic Message Syntax Standard): È utilizzato in vari contesti dove è necessario firmare e/o crittografare i dati.

• Formato usato per firmare e crittografare i messaggi e per la firma digitale.
• Contiene solo certificati o catene di certificati, ma non le chiavi private.
• È utilizzato sia in ambienti Windows che Unix/Linux. In Windows è più integrato nelle console di gestione dei certificati.
• Estensione del file: .p7b, .p7c
• Le autorità di certificazione (CA) possono utilizzare il formato PKCS#7 per distribuire certificati in un formato sicuro e standardizzato.
• È utilizzato per la crittografia e la firma digitale delle e-mail in S/MIME. Consente di garantire la riservatezza e l'integrità dei messaggi e-mail.
• PKCS#7 è compatibile con altri standard di sicurezza e può essere utilizzato insieme a PKCS#12 per la gestione e la distribuzione di certificati.

5. SPC (Software Publisher Certificate): È specificamente utilizzato per la firma digitale di software e driver in ambienti Windows ed è utilizzato per garantire l'autenticità del software, assicurando agli utenti che il software proviene da una fonte affidabile e non è stato alterato.
   
   Gli sviluppatori utilizzano certificati SPC per firmare il loro software prima di distribuirlo, in modo che gli utenti possano verificare che il software non sia stato manomesso.

• Formato utilizzato specificamente per la firma di software in ambienti Windows.
• Estensione del file: .spc
• Contiene certificati che attestano l'identità del publisher del software.

Questi formati servono diversi scopi e sono scelti in base alle esigenze specifiche di sicurezza, compatibilità e usabilità nel contesto di utilizzo. Ecco una tabella che confronta i formati di certificati digitali utilizzati in ambienti Windows e Unix/Linux:

 

Formato	Utilizzo in Windows	Utilizzo in Unix/Linux
DER	Sì	Sì
PEM	Parzialmente	Sì (molto comune)
PFX/PKCS#12	Sì (molto comune)	Sì
PKCS#7	Sì	Sì
SPC	Sì (per la firma del software)	No (specifico per Windows)

 

 

I formati .CER, .KEY e .PFX, comunemente usati nei certificati SSL

Questi file sono essenziali per la gestione della sicurezza e della crittografia nelle comunicazioni SSL/TLS, garantendo che le informazioni trasmesse tra client e server rimangano sicure e protette da intercettazioni.

Un file con estensione .CER, noto anche come .CRT, contiene il certificato pubblico di un'entità. Questo certificato include la chiave pubblica e informazioni identificative dell'entità, come il nome del dominio o l'organizzazione. Il formato del file può essere PEM (Base64 ASCII) o DER (binario). I certificati .CER sono utilizzati dai browser e dai server per verificare l'identità dell'entità e stabilire una connessione sicura.

Il file .KEY contiene la chiave privata associata a un certificato SSL. Questa chiave privata è fondamentale per la decrittazione dei messaggi ricevuti che sono stati crittografati con la chiave pubblica. È solitamente in formato PEM e include delimitatori come "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----". La chiave privata deve essere mantenuta segreta e protetta per garantire la sicurezza delle comunicazioni.

Il file .PFX, conosciuto anche come .P12, è un formato binario che combina il certificato del server, i certificati intermedi e la chiave privata in un unico file. Questo formato è utile per trasferire certificati e chiavi private tra diverse piattaforme, soprattutto su sistemi Windows. I file .PFX sono spesso protetti da una password per garantire la sicurezza durante l'importazione e l'esportazione.

Questi file lavorano insieme per garantire la crittografia e la sicurezza delle comunicazioni tra client e server, proteggendo i dati trasmessi da intercettazioni e attacchi.

 

 

Figura 3: Contenuto di un file .CER in formato PEM (Base64 ASCII)

 

 

Figura 4: File .KEY che contiene la chiave privata associata a un certificato SSL

 

• .CER: Contiene solo il certificato pubblico. Utilizzato per stabilire connessioni sicure.
• .KEY: Contiene solo la chiave privata. Utilizzato dal server per decrittografare i dati crittografati.
• .PFX: Contiene sia certificati pubblici che chiavi private in un unico file. Utilizzato per facilitare il trasferimento di certificati e chiavi tra diverse piattaforme.

 

 

Figura 5: Formati.CER, .KEY e .PFX, comunemente usati nei certificati SSL

 

Conversione dei certificati tra diversi formati

È possibile convertire i diversi formati di certificati digitali tra di loro utilizzando vari strumenti, con OpenSSL che è uno dei più comuni. OpenSSL è un toolkit robusto e completo per la crittografia e la gestione dei certificati digitali. È un progetto open source che implementa i protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security) per fornire sicurezza e privacy nelle comunicazioni su Internet.

• Funzionalità principali di OpenSSL: includono la gestione dei certificati digitali, la crittografia, l'uso dei protocolli SSL/TLS, il calcolo di hash e la firma e verifica digitale.
• Gestione dei certificati digitali: OpenSSL permette la creazione di richieste di certificati (CSR), certificati autofirmati e certificati firmati da una CA, la conversione tra vari formati di certificati digitali (PEM, DER, PKCS#12, PKCS#7) e la firma di certificati e la verifica delle firme.
• Crittografia: OpenSSL consente la cifratura e decifratura di dati utilizzando algoritmi di crittografia simmetrici e asimmetrici, e la generazione di chiavi private, pubbliche e di sessione.
• Protocolli SSL/TLS: OpenSSL permette la creazione e gestione di connessioni sicure utilizzando SSL/TLS e il debugging di connessioni SSL/TLS per risolvere problemi di sicurezza e configurazione.
• Hashing: OpenSSL supporta la generazione di hash (digest) usando vari algoritmi come MD5, SHA-1, SHA-256.
• Firma e verifica digitale: OpenSSL può firmare documenti e verificare firme digitali.

I comandi OpenSSL sono generalmente gli stessi su entrambe le piattaforme, Windows e Unix/Linux. OpenSSL è progettato per essere un toolkit portabile, quindi i comandi funzionano in modo simile indipendentemente dal sistema operativo. Ecco alcuni esempi di come si possono effettuare queste conversioni:

• Da DER a PEM openssl x509 -inform der -in certificato.der -out certificato.pem
• Da PEM a DER openssl x509 -outform der -in certificato.pem -out certificato.der
• Da PFX/PKCS#12 a PEM Questo comando estrae sia il certificato che la chiave privata: openssl pkcs12 -in certificato.pfx -out certificato.pem -nodes
• Da PEM a PFX/PKCS#12 openssl pkcs12 -export -out certificato.pfx -inkey chiaveprivata.pem -in certificato.pem -certfile catena.pem
• Da PKCS#7 a PEM Questo comando converte un file PKCS#7 contenente certificati in formato PEM: openssl pkcs7 -print_certs -in certificato.p7b -out certificato.pem
• Da PEM a PKCS#7 openssl crl2pkcs7 -nocrl -certfile certificato.pem -out certificato.p7b
• Conversioni specifiche per certificati SPC Il formato SPC è utilizzato specificamente per la firma del codice in Windows; quindi, le conversioni standard con OpenSSL potrebbero non essere applicabili. Tuttavia, gli strumenti di Windows SDK come SignTool sono utilizzati per firmare software con certificati SPC.
• Firma di software con SPC signtool sign /f mycertfile.spc /p mypassword /t http://timestampurl /v mysoftware.exe

 

 

Considerazioni sulle Conversioni

• Sicurezza: Durante la conversione, specialmente quando si estraggono chiavi private, è importante mantenere la sicurezza dei file, utilizzando password e permessi appropriati.
• Compatibilità: Non tutti i formati contengono le stesse informazioni. Ad esempio, PKCS#7 non contiene chiavi private, mentre PFX/PKCS#12 sì. Pertanto, le conversioni devono tener conto delle informazioni necessarie per l'uso previsto.

Queste conversioni permettono di utilizzare i certificati in diversi ambienti e con vari software, garantendo flessibilità e compatibilità tra sistemi operativi e applicazioni.

 

 

Convertitori di certificati SSL online

Esistono diversi siti, molti a cura di Certification Authority pubbliche, che offrono la possibilità di convertire i certificati tra i diversi formati. Ad esempio, potete dare un’occhiata a questi siti:

• GlobalTrust - Certificati SSL - S/MIME - Certificati Digitali
• Convert SSL Certificate • Trustico®
• Free SSL Certificates and SSL Tools - ZeroSSL
• SSL Converter (ssltools.eu)
• SSL Converter - Convert SSL Certificates to different formats (sslshopper.com)
• SSL Certificate Converter Online for Free (certificatetool.com)

Dettagli

Creato: 03 Maggio 2024

Visite: 822

• Windows
• Microsoft365
• Office365
• Windows10
• Windows11
• Security

 

Microsoft sta facendo grandi progressi verso un futuro senza password, introducendo passkey come un metodo più sicuro e semplice per accedere agli account e ai servizi. Dal 2015, con l'introduzione di Windows Hello, Microsoft ha lavorato per ridurre la dipendenza dalle password, che sono spesso soggette a attacchi. È proprio di ieri l'annuncio ufficiale di introduzione delle passkey per l'autenticazione dei Microsoft Account New passkey support for Microsoft consumer accounts | Microsoft Security Blog

Le passkey offrono un notevole miglioramento della sicurezza rispetto alle tradizionali password. La resistenza al phishing è una delle loro caratteristiche principali: le passkey utilizzano una coppia di chiavi crittografiche, una conservata sul dispositivo e l'altra mantenuta dal servizio. Questo metodo assicura che, anche se un sito di phishing inganna l'utente facendogli tentare un'autenticazione, non può replicare la chiave del server e quindi non può ottenere l'accesso. Inoltre, ogni passkey è specifica per il dispositivo e protetto da misure di sicurezza come il PIN, l'impronta digitale o il riconoscimento facciale. Ciò significa che l'accesso alla passkey richiede una verifica biometrica o un PIN, anche se qualcuno dovesse impossessarsi del dispositivo.

Un altro vantaggio importante è che le passkey sono univoche per ogni servizio per cui sono create e non possono essere riutilizzate su altri siti, a differenza delle password. Infine, durante il processo di autenticazione non vengono trasmessi segreti riutilizzabili, come nel caso delle password; quindi, non ci sono credenziali che possono essere intercettate.

Queste caratteristiche rendono le passkey una soluzione molto più sicura per proteggere gli accessi agli account, riducendo i rischi di violazioni dovute ad attacchi comuni come il phishing e il furto di credenziali.

Dispositivi supportati

Le passkey sono supportate sui seguenti sistemi e dispositivi:

• Windows 10 e versioni successive.
• macOS Ventura e versioni successive.
• ChromeOS 109 e versioni successive.
• iOS 16 e versioni successive.
• Android 9 e versioni successive.
• Chiavi di sicurezza hardware che supportano il protocollo FIDO2.

Browser supportati

I browser supportati per l'utilizzo delle passkey sono:

• Microsoft Edge versione 109 o successive.
• Safari versione 16 o successive.
• Chrome versione 109 o successive.

NOTA: Questa guida è pensata per abilitare passkey con i Microsoft Account (consumer). Se siete interessati ad utilizzare Passkey con il vostro account di lavoro o scolastico (Microsoft 365) vi invito a leggere la mia guida Abilitare Passkey in Microsoft Authenticator (preview) per accedere a Microsoft Entra ID - ICT Power

 

Creazione della passkey per il Microsoft Account (versione consumer)

Collegatevi alla pagina https://go.microsoft.com/fwlink/?linkid=2250685 e autenticatevi con il vostro Microsoft Account personale.

 

 

Figura 1: Connessione al Microsoft Account personale

 

Seguite la procedura mostrata nelle schermate sotto per attivare la passkey.

 

 

Figura 2: Aggiunta del metodo di verifica per l'accesso al Microsoft Account

 

 

Figura 3: Creazione della Passkey

 

 

Figura 4: Scansione del QR code per la creazione della Passkey nello smartphone

 

 

Figura 5: Connessione allo smartphone

 

 

Figura 6: Salvataggio della Passkey creata

 

 

Figura 7: Passkey creata

 

Nelle opzioni di sicurezza aggiuntive del vostro Microsoft Account sarà visibile la Passkey creata.

 

 

 

Figura 8: Passkey creata, visibile nelle opzioni di sicurezza avanzata del Microsoft Account

 

Riceverete anche una mail che vi avviserà che è stata aggiunta una informazione relativa alla sicurezza del vostro Microsoft Account.

 

 

Figura 9: Una mail avvisa che è stata aggiunta una informazione relativa alla sicurezza del Microsoft Account

 

Test di funzionamento

D’ora in poi potrete utilizzare la Passkey per accedere al vostro Microsoft Account. Nelle schermate sono mostrati tutti i passaggi necessari.

 

 

Figura 10: Accesso ad un servizio utilizzandole credenziali del Microsoft Account

 

 

Figura 11: Scelta delle opzioni per il Sign-in

 

 

Figura 12: Scelta dell'utilizzo della Passkey

 

 

Figura 13: Scelta dell'utilizzo della Passkey

 

 

Figura 14: QR code da scansionare con il dispositivo in cui è stata memorizzata la Passkey

 

 

Figura 15: Autenticazione in corso sul dispositivo

 

 

Figura 16: Accesso utilizzando il Microsoft Account eseguito con successo

 

Qui di seguito vi lascio anche un video che vi spiega i vantaggi delle passkey:

 

Conclusioni

L'adozione delle passkey rappresenta un avanzamento significativo nella sicurezza degli account online. Con le passkey, Microsoft sta spingendo verso un futuro senza password, offrendo un metodo di autenticazione più sicuro e resistente agli attacchi di phishing. Questa tecnologia non solo protegge meglio le informazioni personali delle utenti ma semplifica anche il processo di accesso, eliminando la necessità di ricordare e gestire numerose password. Con la crescente implementazione delle passkey, le utenti possono aspettarsi un'esperienza digitale più sicura e senza interruzioni.

Se siete interessati ad utilizzare Passkey con il vostro account di lavoro (Microsoft 365) vi invito a leggere la mia guida Abilitare Passkey in Microsoft Authenticator (preview) per accedere a Microsoft Entra ID - ICT Power