Dall’introduzione dell’SSL da parte di Netscape nel 1994, i certificati digitali sono cresciuti insieme all’intero Web. Attraverso prove ed errori, innovazioni e modifiche, i certificati SSL sono stati costantemente perfezionati per soddisfare le esigenze di sicurezza più rigorose.
La riduzione della validità dell’SSL a un solo anno e la rimozione della barra verde dell’indirizzo dai certificati Extended Validation sono solo alcune delle recenti modifiche che il CA/Browser Forum ha implementato per stare al passo con le minacce informatiche e rendere la crittografia digitale più prevedibile. Nel mondo delle Autorità di Certificazione, il cambiamento è l’unica costante.

Il campo Organizational Unit (OU) non è un elemento che si associa direttamente alla sicurezza SSL, soprattutto perché fa parte del processo di ordinazione SSL fin dall’inizio. Ma ora il campo OU sta per finire e le CA lo rimuoveranno entro la fine di agosto 2022. Qual è il motivo della rimozione di un campo apparentemente innocuo? Per avere un quadro completo, scopriamo qual era lo scopo iniziale del campo OU.
I campi dell’unità organizzativa: una breve panoramica
Ogni volta che ordini un certificato SSL, devi generare una Certificate Signing Request (CSR) e compilare i campi con i tuoi dati di contatto come parte del processo di validazione. La CSR include i dettagli relativi alla tua azienda, al paese di residenza e al nome del dominio che vuoi proteggere. Tra i campi che devi compilare c’è anche quello dell’Unità Organizzativa. Puoi inserire praticamente tutti i dati che vuoi, ed è proprio questo che lo rende vago e fuorviante.
L’intento originario del campo OU era quello di fungere da campo segnaposto in cui le aziende potessero inserire dati rilevanti sul certificato e sul suo utilizzo. Una pratica comune è quella di includere i dati di riferimento per la fatturazione, in modo che il reparto finanziario sappia chi ha acquistato il certificato.
Se dovessi seguire questo esempio, scriveresti qualcosa come “IT” o “Security” nel campo OU. Ma nulla ti impedisce di inserire qualsiasi cosa tu voglia, dai nomi dei paesi ai caratteri dei cartoni animati. Se la tua azienda ha sede negli Stati Uniti ma una filiale internazionale gestisce i certificati, potresti scrivere qualcosa come “France” o “overseas”. Ed è qui che l’ambiguità del file OU può confondere gli utenti.
Supponiamo che uno dei clienti della tua azienda sia Delta Air Lines. Se lo includessi nel campo OU, alcuni utenti penserebbero che il certificato appartenga a Delta Air Lines invece che alla tua organizzazione. Anche se questo può sembrare un esempio estremo, la natura facoltativa del campo OU lo rende incline alla confusione e all’interpretazione errata, cose inaccettabili nella moderna sicurezza informatica.
Potenziali falle nella sicurezza
I certificati SSL sono ormai un obbligo per tutti i tipi di siti web. Le aziende utilizzano centinaia di certificati per soddisfare le loro esigenze di sicurezza, ma non tutti seguono le migliori pratiche di gestione SSL. Secondo un rapporto di Detectify Labs, la distribuzione di questi certificati presenta dei pericoli che “possono portare all’esposizione dei dati aziendali o alla loro compromissione da parte di soggetti malintenzionati”.
Detectify ha analizzato oltre 900 milioni di certificati SSL e ha sottolineato i principali rischi associati a SSL. Nel contesto del settore OU, la seguente conclusione è rilevante:
“Gli analisti hanno scoperto che alla stragrande maggioranza dei domini appena certificati sono stati assegnati nomi descrittivi. Questo può sembrare innocuo, ma in realtà può rappresentare un rischio per le informazioni aziendali”.
Se il certificato viene rilasciato in una fase di sviluppo, i concorrenti potrebbero avere abbastanza tempo per minare le nuove aziende o i nuovi prodotti prima che raggiungano il mercato. Ma anche se hai scelto stringhe casuali piuttosto che prodotti descrittivi, un’informazione casuale nel campo OU inviato durante il processo d’ordine potrebbe potenzialmente svelare alcuni dei tuoi segreti.

È ora di dire addio
Con le minacce informatiche che aumentano di giorno in giorno, le CA fanno gli straordinari per perfezionare e rafforzare i protocolli di sicurezza che regolano i certificati SSL. Poiché i vecchi concetti ed elementi diventano obsoleti, l’approccio “meno è meglio” è un modo efficace per eliminare la confusione e le potenziali scappatoie che gli hacker possono sfruttare.
Tra la fine degli anni Novanta e l’inizio degli anni Duemila, il mercato contava solo una manciata di CA e il numero di aziende che richiedevano l’SSL era notevolmente inferiore. L’intento originario era che le poche CA esistenti venissero controllate manualmente dai browser, con il risultato di aumentare la fiducia nel fatto che le CA operassero nel modo più sicuro possibile. Ma con l’aumento dei certificati SSL, questo compito è diventato sempre più difficile.
Il problema del campo OU è che le autorità di certificazione devono verificare e affermare l’identità del soggetto del certificato all’interno del nome dell’oggetto del certificato. Il campo OU, invece, non è una descrizione accurata, anche se si tratta di una parte più piccola dell’organizzazione. Le CA non hanno metodi per verificare in modo coerente la parte più piccola dell’organizzazione e affermare la sua identità.
La vita dopo la rimozione del campo OU
In che modo la rimozione del campo OU influirà sulle aziende? Ecco tutto quello che devi sapere sull’imminente cambiamento:
- Per conformarsi agli standard del settore, le autorità di certificazione rimuoveranno il campo Unità Organizzativa (OU) per tutti i certificati SSL pubblici entro la fine di agosto 2022.
- Questa modifica non influisce sui certificati emessi in precedenza con un campo OU valido.
- Questo non riguarda i certificati SSL privati o altri tipi di certificati non SSL.
Conclusione
La tecnologia web si evolve a ritmi vertiginosi e, di pari passo, le minacce informatiche diventano sempre più sofisticate. Quando si tratta di crittografia web, gli enti normativi devono essere proattivi e anticipare le vulnerabilità dei sistemi che regolano.
Il campo Unità Organizzativa non è una parte critica dell’intero processo di ordinazione SSL e, in quanto tale, diventa una potenziale minaccia. Eliminarlo è un modo semplice per evitare confusione e migliorare i tempi di convalida.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






