Condividi tramite


Che cos'è l'aggiunta del certificato?

L'aggiunta di certificati è una tecnica di sicurezza in cui vengono accettati solo i certificati autorizzati o aggiunti quando si stabilisce una sessione protetta. Qualsiasi tentativo di stabilire una sessione sicura usando un certificato diverso viene rifiutato.

Cronologia di aggiunta del certificato

L'associazione del certificato è stata originariamente concepita come mezzo per contrastare gli attacchi Man-in-the-Middle (MITM). L'aggiunta di certificati è diventata popolare per la prima volta nel 2011 come risultato della compromissione di DigiNotar Certificate Authority (CA), in cui un utente malintenzionato è riuscito a creare certificati con caratteri jolly per diversi siti Web di alto profilo, tra cui Google. Chrome è stato aggiornato al "pin" dei certificati correnti per i siti Web di Google e rifiuterebbe qualsiasi connessione se è stato presentato un certificato diverso. Anche se un utente malintenzionato ha trovato un modo per convincere una CA a rilasciare un certificato fraudolento, verrebbe comunque riconosciuto da Chrome come non valido e la connessione rifiutata.

Anche se i web browser come Chrome e Firefox sono stati tra le prime applicazioni a implementare questa tecnica, la gamma di casi d'uso è rapidamente espansa. Dispositivi Internet delle cose (IoT), app per dispositivi mobili iOS e Android e una raccolta eterogenea di applicazioni software ha iniziato a usare questa tecnica per difendersi dagli attacchi Man-in-the-Middle.

Per diversi anni, l'aggiunta di certificati è stata considerata una buona procedura di sicurezza. La supervisione del panorama dell'infrastruttura a chiave pubblica (PKI) è migliorata grazie alla trasparenza nelle procedure di rilascio di ca attendibili pubblicamente.

Come gestire l'aggiunta del certificato nell'applicazione

In genere, un'applicazione contiene un elenco di certificati o proprietà autorizzati di certificati, inclusi nomi distinti soggetto, identificazioni personali, numeri di serie e chiavi pubbliche. Le applicazioni possono essere aggiunte a singoli certificati foglia o di entità finale, certificati CA subordinati o persino certificati CA radice.

Se l'applicazione specifica in modo esplicito un elenco di ca accettabili, potrebbe essere necessario aggiornare periodicamente i certificati aggiunti quando le autorità di certificazione cambiano o scadono. Per rilevare l'aggiunta di certificati, è consigliabile seguire questa procedura:

  • Se si è uno sviluppatore di applicazioni, cercare nel codice sorgente uno dei riferimenti seguenti per l'autorità di certificazione che sta cambiando o scadendo. Se esiste una corrispondenza, aggiornare l'applicazione in modo da includere le ca mancanti.

    • Identificazioni personali dei certificati
    • Nomi distinti dell'oggetto
    • Nomi comuni
    • Numeri di serie
    • Chiavi pubbliche
    • Altre proprietà del certificato
  • Se l'applicazione client personalizzata si integra con le API di Azure o altri servizi di Azure e non si è certi che usi l'aggiunta di certificati, rivolgersi al fornitore dell'applicazione.

Limitazioni per l'aggiunta di certificati

La pratica dell'aggiunta di certificati è diventata ampiamente contestato perché comporta costi di agilità dei certificati inaccettabili. Un'implementazione specifica, l'aggiunta della chiave pubblica HTTP (HPKP) è stata deprecata completamente

Poiché non esiste un singolo standard Web per la modalità di esecuzione dell'aggiunta del certificato, non è possibile offrire indicazioni dirette per rilevarne l'utilizzo. Anche se non è consigliabile bloccare il certificato, i clienti devono essere consapevoli delle limitazioni create da questa procedura se scelgono di usarlo.

Passaggi successivi