Vai al contenuto
Home » SPID: con SSL3 e TLS1.0 saremo tutti securizzati

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.

In pratica una sorta di centralizzazione del modo con cui noi, cittadini
italiani, potremo usare il web per interfacciarci con i servizi offerti dallo
Stato. Bello. In teoria molto bella l’idea. L’execution? Eh, già una FAQ mi
lascia molto perplesso dal punto di vista della security.

B5: Confidenzialità degli scambi: possiamo assumere SSL 3.0 o TLS 1.0 obbligatorio?

RB5: Il profilo SAML SSO raccomanda l’uso del protocollo TLS 1.0 nei colloqui
tra Asserting party e le Relying party. Riteniamo in ambito SPID di rendere
obbligatorio l’uso di un canale securizzato, consigliando l’impiego di
protocolli TLS nella versione 1.0 o successive.

NO, NO e ancora NO

SSLv3 ed il suo gemello diverso di poco, TLS1.0,
vanno disabilitati ed evitati come la peste. SSLv3 e TLS1.0 sono obsoleti da 15
anni e vulnerabili tra l’altro a
Beast
e Poodle. Come si può inserirli in una FAQ
dicendo, quasi con vanto, che il canale securizzato sarà garantito da una
versione di protocollo obsoleta e vulnerabile?

Questo non è neanche ingannare il cittadino. Questo è palesemente non avere
idea di cosa si sta facendo. Il numerino che porta la versione di TLS da 1.0 a
1.2 non è un vezzo, è la garanzia che almeno dal punto di vista trasmissivo le
cose sono fatte come Dio comanda.

Se manca questa sensibilizzazione nella scelta del protocollo, chissà cosa
succede se parliamo di sviluppo sicuro, linee guida di hardening, code review,
penetration test applicativo. Contando che si vuole gestire l’identità digitale
di 60 milioni di persone, siamo sicuri si possa condurre il progetto in maniera
così poco consapevole dal punto di vista della sicurezza del dato?

Io non credo proprio.

Citando Mayhem, “io sono preoccupato”.

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *