bg-blog-articles

Cos’è lo sniffing SSL e come evitarlo?

Sniffing SSL

Da quando l’Internet delle cose diventa sempre più sicuro, i criminali informatici sono costretti a pensare a nuovi metodi per intercettare e rubare dati sensibili. Di solito sfruttano gli strumenti di cybersicurezza esistenti e cercano di ingannare gli utenti affinché si fidino di loro. Pertanto, questo articolo ti aiuterà a scoprire cos’è un tentativo di SSL Sniffing. Inoltre, ti mostrerà come proteggere la tua connessione SSL da questo fenomeno. Ma prima di tutto, definiamo cos’è un proxy di terminazione TLS/SSL.


Indice dei contenuti

  1. Cos’è un proxy di terminazione TLS/SSL?
  2. Cos’è lo sniffing SSL?
  3. Come funziona lo sniffing SSL?
  4. Come evitare lo sniffing SSL?
  5. Come per prevenire lo sniffing SSL?

Ottieni i certificati SSL oggi stesso

Cos’è un proxy di terminazione TLS/SSL?

Un proxy di terminazione TLS/SSL è un server proxy utilizzato in particolare da un’entità per intercettare e gestire le connessioni TLS/SSL in entrata, decriptare il TLS/SSL e quindi passare la richiesta non criptata a uno dei suoi server altamente sicuri, come Apache HTTP Server, Nginx o HAProxy.

Lo scopo di avere un proxy di terminazione TLS/SSL è quello di ridurre il carico sui server principali dell’ente. Tuttavia, prima di implementare questo proxy, l’ente deve assicurarsi che la sua rete sia così sicura da non dover criptare i dati di sessione dei suoi utenti.

Purtroppo i criminali informatici hanno imparato a sfruttare le funzionalità di un proxy di terminazione TLS/SSL per sniffare le connessioni SSL sicure. Ora possono facilmente intercettare i messaggi scambiati al suo interno.


Cos’è lo sniffing SSL?

Lo sniffing SSL è un cyber-attacco malevolo quando un proxy di terminazione TLS/SSL agisce come un proxy MitM che dirotta la connessione sicura SSL.

Perché MitM (man-in-the-middle)? Perché un proxy è per definizione una terza parte man-in-the-middle. Il proxy si connette al server e il cliente si connette al proxy.


Come funziona lo sniffing SSL?

Forse sai già che i certificati SSL impediscono gli attacchi MitM. Come mai MitM può intervenire e sniffare una connessione SSL?

Lo sniffing della connessione SSL prevede che il proxy MitM agisca come un’autorità di certificazione non attendibile. Il proxy MitM genera dinamicamente certificati SSL per qualsiasi hostname sia necessario per stabilire la connessione SSL. Ad esempio, se il browser vuole connettersi a https://www.mywebsite.com, il proxy MitM genera un certificato SSL per www.mywebsite.com e lo firma come CA indipendente.

Agendo deliberatamente come una CA separata, il proxy MitM maligno sfrutta questa possibilità e tenta di dirottare una connessione SSL affidabile. Così, quando il browser tenta di connettersi al server web, il proxy MitM interviene emettendo e firmando il proprio certificato. Pertanto, mentre il proxy MitM riceve il certificato SSL originale del server, il browser riceve il falso certificato SSL emesso dal proxy MitM.

Ma ecco che arriva la parte cruciale di un tentativo di SSL Sniffing:

Il browser pensa di connettersi al server, ma in realtà si connette al proxy MitM. Qui arriva l’intoppo: affinché lo sniffing abbia luogo, il browser deve accettare questo proxy come una CA autentica e affidabile.

Se l’utente ignora gli avvisi di sicurezza e accetta il falso certificato SSL e la CA del proxy MitM come affidabili, l’utente si connetterà con successo al proxy MitM, avvierà lo Sniffing SSL e la connessione SSL diventerà insicura.

Risparmia il 10% sui certificati SSL

Come evitare lo sniffing SSL?

Supponiamo che l’utente non abbia installato alcun software dannoso. Quando il browser riceve il falso certificato SSL, visualizza un messaggio di sicurezza che avverte gli utenti di non fidarsi dell’emittente del certificato SSL e chiede se includere il falso certificato proxy MitM nell’elenco dei certificati affidabili. Rifiutando la richiesta, l’utente interrompe il tentativo di SSL Sniffing, proteggendo con successo la sua connessione sicura SSL.


Come prevenire lo sniffing SSL?

Per evitare lo sniffing HTTPS e garantire la riservatezza e l’integrità delle tue comunicazioni protette da SSL/TLS, segui queste linee guida:

  1. Usa le versioni più recenti del protocollo TLS. Assicurati di utilizzare i protocolli TLS più recenti (ad esempio, TLS 1.3) e le librerie o i framework TLS più recenti e ben curati sia sul lato server che su quello client. Questi aggiornamenti spesso includono miglioramenti della sicurezza e correzioni di vulnerabilità. Con il tempo, le vecchie versioni di SSL/TLS potrebbero diventare una backdoor da sfruttare per uno sniffer SSL. Non lasciare agli aggressori alcuno spazio per manovrare e dirigere i loro attacchi di sniffing SSL attraverso protocolli obsoleti.
  2. Implementare la sicurezza del trasporto (HSTS). HSTS è un meccanismo di sicurezza che indica ai browser web di connettersi sempre a un sito web tramite HTTPS, prevenendo eventuali attacchi di downgrade. Aiuta a proteggere dagli attacchi di SSL stripping. Abilitando l’HSTS, ti assicuri che anche se un utente digita “http://” invece di “https://”, il browser passerà automaticamente a una connessione sicura.
  3. Ottieni certificati da un’autorità di certificazione affidabile. Ottieni i certificati SSL/TLS da CA affidabili. Queste entità di terze parti convalidano l’identità del server ed emettono certificati affidabili, impedendo agli aggressori di utilizzare certificati non originali o autofirmati per intercettare il traffico. Controlla regolarmente la validità dei certificati e le date di scadenza, poiché un certificato scaduto è un’altra importante scappatoia che gli hacker amano esplorare.
  4. Implementa il Certificate Pinning. Il pinning dei certificati ti permette di specificare quali certificati o chiavi pubbliche sono affidabili per un determinato dominio. In questo modo si garantisce che durante l’handshake SSL/TLS vengano accettati solo i certificati o le chiavi previste.

    Il pinning del certificato previene tali attacchi garantendo che il client verifichi l’identità del server utilizzando solo il certificato o la chiave specificati. Se un aggressore tenta di utilizzare un certificato diverso per sniffare il traffico SSL, il client lo rifiuterà, impedendo l’intercettazione e la decodifica del traffico.
  5. Proteggi il tuo dispositivo con un antivirus affidabile. Purtroppo, se gli aggressori hanno violato il computer dell’utente e installato un virus, il browser potrebbe ritenere il proxy MitM come una CA valida. Questo processo avviene solitamente in background ed è invisibile all’utente. Per questo motivo, è fondamentale proteggere il computer con un software antivirus affidabile.

    Se il tuo computer è protetto da un software antivirus, il tuo browser web ti avviserà della presenza di un’autorità di certificazione non attendibile e del relativo certificato. Fai attenzione e non fidarti di nessun proxy MitM dannoso. Controlla sempre il certificato SSL e la sua Autorità di Certificazione in caso di dubbio. Un attacco SSL Sniffing è possibile solo grazie alla credulità degli utenti. Ad esempio, “Cliccherò su OK per visitare finalmente quel sito web”.

Pensieri finali

Ricorda che lo scopo di un certificato SSL è quello di proteggere la connessione tra te e il server web. Per questo motivo non devi permettere interventi di terze parti. Lo sniffing SSL può avvenire solo se ignori gli avvisi o se rendi il tuo computer suscettibile a virus e malware. Assicurati di evitare queste eventualità.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.