LA GUIDA PRATICA

Crittografia avanzata delle e-mail, i protocolli SSL e TLS: cosa sono, come funzionano e come usarli

Gli attacchi via mail sono sempre più utilizzati dai cyber criminali, perché economici ed estremamente efficaci. Per questo motivo, è importante proteggere le comunicazioni aziendali mediante l’uso dei protocolli di sicurezza SSL e TLS. Ecco tutti i dettagli

Pubblicato il 14 Feb 2023

Ricardo Nardini

IT System Specialist

Protocolli SSL e TLS

Sommersi dalle offerte di automatismi per difendere le proprie aziende, ci si dimentica che la maggior parte delle minacce arriva sempre dal medesimo canale: la posta elettronica.

Gli attacchi di smishing e ransomware sono in costante aumento, causando milioni di perdite per numerose organizzazioni. Allo stesso modo, i malintenzionati che si servono del phishing utilizzano pratiche di ingegneria sociale per prendere di mira gli utenti ed estrarre credenziali e accessi, inclusi indirizzi e-mail, dettagli finanziari e numeri di telefono.

Anche per questo è importante proteggere la posta elettronica utilizzando i protocolli di sicurezza crittografici SSL e TLS. Scopriamo di cosa si tratta e le caratteristiche tecnologiche su cui si basano.

Cos’è la crittografia a chiave pubblica

La crittografia è un processo di codifica delle informazioni in modo che solo gli utenti autorizzati possano accedervi. In altre parole, le differenti tipologie di crittografia consentono di convertire i dati in chiaro in array casuali di valori alfanumerici. Tali valori sono difficili da decodificare per un criminal hacker e possono essere decifrati attraverso una chiave di sicurezza che sarà in possesso di un utente autorizzato.

Ogni processo di crittografia necessita di chiavi crittografiche o chiavi di sicurezza, che sono valori matematici. Il mittente e il destinatario delle informazioni devono disporre di una chiave crittografica per lo scambio di dati.

La crittografia a chiave pubblica è un processo di crittografia che utilizza chiavi private e pubbliche. Se i dati sono crittografati con una chiave pubblica, il destinatario avrà bisogno di una chiave privata per accedere ai dati. Allo stesso modo, se la chiave privata viene utilizzata per la crittografia, è necessaria una chiave pubblica per la decodifica.

Come funziona la crittografia a chiave pubblica

La crittografia a chiave pubblica funziona come un meccanismo serratura a chiave. È un armadietto con due chiavi necessarie per recuperare i dati codificati. In parole semplici, il mittente delle informazioni crittograferà i dati tramite stringhe crittografiche. L’unico accesso è possibile se si dispone della chiave privata o pubblica per quei dati per la decrittazione.

Due aspetti significativi della crittografia a chiave pubblica sono le chiavi di sicurezza e gli algoritmi crittografici.

Le chiavi di sicurezza sono equazioni matematiche che aiutano a codificare e decodificare il messaggio. Prendiamo l’esempio di un CTO che desidera inviare documenti tecnici importanti allo sviluppatore senior. Se il messaggio non è crittografato, sarà in testo normale, visibile a qualsiasi hacker che possa accedere alla rete o al canale di comunicazione tra il server e il browser.

Il CTO deve crittografare l’e-mail con una chiave pubblica e inviare una chiave privata allo sviluppatore senior per accedere alle informazioni riservate. Ma come fa a garantire che i dati siano protetti e crittografarli? È qui che entra in gioco un algoritmo crittografico che aiuta nell’applicazione dell’equazione matematica per confondere i dati.

Esistono due modi per utilizzare le chiavi di sicurezza a seconda del tipo di crittografia. La crittografia simmetrica ha la stessa chiave di sicurezza per la crittografia e la de-crittografia. Pertanto, non è necessario assegnare separatamente una chiave pubblica e una chiave privata. Al contrario, la crittografia asimmetrica, nota anche come crittografia a chiave pubblica, utilizza una coppia di sicurezza per la crittografia e una per la de-crittografia. Utilizza una chiave pubblica o privata per la crittografia e de-crittografia il messaggio inviato tra mittente e destinatario. L’algoritmo invece è la seconda delle parti essenziali della crittografia a chiave pubblica.

Algoritmi di crittografia

Gli algoritmi di crittografia aiutano a modificare le informazioni da un formato leggibile in una matrice di valori casuali. Sono utilizzati per diversi casi d’uso come la crittografia dei dati, l’autenticazione dell’utente e le firme digitali.

Esistono molti tipi di algoritmi di crittografia utilizzati per scopi diversi. Alcuni degli algoritmi più utilizzati sono:

  1. algoritmo RSA è un algoritmo crittografico utilizzato per la crittografia basato sul concetto di cifratura a blocchi. Molte autorità di certificazione utilizzano un algoritmo diffuso per la firma digitale e la certificazione SSL;
  2. algoritmo DES è un algoritmo che aiuta a proteggere le informazioni attraverso il concetto di cifratura a blocchi ma con crittografia simmetrica;
  3. algoritmi di hashing consentono di convertire i file contenenti dati critici in una risorsa sicura. Utilizza l’hashing, convertendo le informazioni sul file in valori di stringa casuali, difficili da decifrare per gli hacker. Un utente malintenzionato può accedere ai dati dal file con hash solo tramite un attacco di forza bruta.

Fatta chiarezza sulla crittografia e come funziona, vediamo come può aiutare a proteggere la posta elettronica.

Usare la crittografia per proteggere la posta elettronica

La posta elettronica è una delle modalità di comunicazione più significative per le aziende e un obiettivo popolare per gli hacker. Circa il 90% di tutti gli attacchi informatici inizia con una e-mail di phishing. Pertanto, non si può negare che è necessaria una crittografia e-mail affidabile per evitare qualsiasi attacco o esposizione ai dati riservati.

Esistono due tipi di crittografia e-mail comunemente utilizzati per proteggere i dati: la crittografia in transito e la crittografia e-mail end-to-end.

Crittografia e-mail in transito

La crittografia delle e-mail in transito può aiutare a proteggere i tuoi dati dagli attacchi man-in-the-middle (MITM). È possibile utilizzare la crittografia SSL/TLS per proteggere l’e-mail durante il transito. Un utente invia dati tramite e-mail crittografati utilizzando il Transport Layer Security (TLS).

Prendiamo, per esempio, la crittografia di Gmail. La piattaforma di posta elettronica supporta S/MIME avanzato (Secure/Multipurpose Internet Mail Extensions). Sia TLS che S/MIME richiedono che il mittente e il destinatario dell’e-mail si trovino sulla piattaforma che supporta la stessa crittografia. Pertanto, se si invia un’e-mail tramite l’app Gmail, la parte ricevente deve disporre di una piattaforma che accetti S/MIME.

Soprattutto per le configurazioni dell’area di lavoro a livello aziendale, è necessario disporre di una sicurezza e-mail avanzata. Ecco perché diventa essenziale avere la crittografia SSL/TLS o S/MIME per le email. Un altro tipo di crittografia necessario per la posta elettronica è la crittografia end-to-end.

Panoramica sulla crittografia end-to-end (E2EE)

La crittografia end-to-end (E2EE) è un tipo di crittografia che mantiene privati i dati delle e-mil a tutti tranne che al mittente e ai destinatari, pertanto quando viene utilizzato E2EE, solo il destinatario desiderato può vedere le informazioni de-crittografate. In sintesi end-to-end, comunica il mittente da un lato e il destinatario dall’altro.

E2EE è come una lettera confidenziale che passa attraverso la posta in una busta sigillata ed è solo accessibile agli occhi del destinatario. Un postino o qualsiasi membro del servizio postale non è autorizzato ad accedere alle informazioni di quel e-mail.

Molti giganti della tecnologia come Facebook, WhatsApp e Zoom utilizzano la crittografia end-to-end per scambiare chat tra utenti in modo sicuro. La crittografia e-mail end-to-end si basa sullo stesso approccio.

Nonostante la sua popolarità, il E2EE è stato coinvolto in diverse controversie. Ad esempio, il governo del Regno Unito ha cercato di vietare E2EE per restrizioni di indagine. La crittografia end-to-end non consente ai fornitori di servizi di condividere i dati con il governo.

Pertanto, il governo del Regno Unito “vuole” far rispettare l’Investigatory Powers Act, che chiede ai fornitori di servizi di comunicazione (CSP) di archiviare tutti i dati degli utenti su Internet e condividerli con le autorità.

E2EE funziona secondo il principio delle chiavi condivise. Ad esempio, se si sta inviando un’e-mail al proprio manager per inviare un rapporto sulle vendite, E2EE consente di mantenere privata la posta utilizzando chiavi condivise.

Sia noi che il partner condividete le chiavi pubbliche per la crittografia. Ora noi e il partner avete anche una chiave privata che corrisponde alla chiave pubblica per formare due chiavi condivise. Queste chiavi condivise autenticano e facilitano lo scambio di dati con funzionalità di de-crittazione. Queste chiavi condivise vengono costantemente aggiornate e cancellate per evitare l’esposizione.

Pertanto, un hacker potrebbe avere accesso alla posta ma non può vedere i dati a causa dell’indisponibilità delle chiavi condivise per de-crittografarli. Invece, lo scambio di dati tra due endpoint avverrà tramite un server. E2EE da la garanzia che anche se un utente malintenzionato ottiene l’accesso al server, i dati rimangono riservati grazie alla crittografia a chiave condivisa.

Ora che è stato spiegato come la crittografia può aiutare a proteggere la posta elettronica e i diversi approcci per la crittografia della posta elettronica, è il momento della valutazione della scelta.

La scelta della crittografia e-mail adatta dipende dai requisiti specifici della propria organizzazione. Sia E2EE che TLS consentono di proteggere le e-mail. Tuttavia, ci sono problemi di sicurezza con l’E2EE, che molti governi stanno ora segnalando. Inoltre, E2EE non è accessibile ai governi e alle autorità, quindi ci sono possibilità di uso improprio. È qui che SSL/TLS entra in gioco.

Cosa sono i certificati SSL

Secure Socket Layer (SSL) è una tecnologia che consente di proteggere la comunicazione tra un browser client e un server. Se si considera la sicurezza della posta elettronica, SSL garantisce che nessun dato della posta sia esposto ai man-in-the-middle durante il transito. Esistono due scopi principali per i quali è possibile utilizzare i certificati SSL nelle e-mail:

  1. autenticare e verificare l’identità del mittente;
  2. mantenere l’integrità del contenuto della posta elettronica.

Uno dei casi d’uso più importanti per un certificato SSL nella sicurezza della posta elettronica è garantire che la comunicazione con il server di posta sia sicura. Gli hacker invece potrebbero assumere il controllo del server di posta e quindi accedere alle e-mail.

Installare un certificato SSL e crittografare le e-mail proteggerà le e-mail da qualsiasi tipo di attacco Man-in-the-middle.

Ecco come ottenere un certificato SSL da un fornitore di certificati SSL affidabile.

La richiesta di firma del certificato

Il primo passo per ottenere un certificato SSL è generare una richiesta di firma del certificato (Certificate Signing Request, CSR). Una volta che un’autorità di certificazione riceve la CSR, inizia il processo di verifica.

Processo di verifica

La CA (autorità di certificazione) esaminerà l’organizzazione e i relativi dettagli, tra cui sede, aspetti commerciali, aspetti legali e altro ancora, tuttavia ciò dipende dal tipo di certificato SSL richiesto. Per esempio per la convalida dell’organizzazione e del certificato di convalida estesa si dovrà fornire diversi dettagli aziendali alla CA per il processo di verifica per il rilascio del certificato OV.

Installazione del certificato

Una volta verificata dalla CA, l’organizzazione ottiene un certificato SSL emesso e inviato tramite posta o disponibile nel account sul loro sito Web ufficiale. In ogni caso, si può scaricare e installare il certificato sul proprio server di posta per proteggere le e-mail.

La certificazione SSL garantirà che i dati rimangano anonimi per tutti. Uno degli aspetti più critici di un certificato SSL è il protocollo di sicurezza SSL/TLS. Durante la comunicazione e-mail, SSL/TLS funge da protocollo a livello di applicazione, codesto mantiene standard le comunicazioni per gli utenti finali e fornisce una serie di regole che funzionano con il Simple Mail Transfer Protocol (SMTP). Pertanto, è necessario comprendere diversi protocolli di sicurezza per la sicurezza della posta elettronica poiché lavorano in tandem per fornire una protezione avanzata.

Quali sono i protocolli di crittografia e-mail disponibili

I protocolli di sicurezza e-mail standard consentono di proteggere le trasmissioni e-mail. In altre parole, consente di assicurarsi che gli hacker non possano leggere le e-mail mentre si spostano da un mittente a un destinatario.

Sicurezza del livello di trasporto

TLS o Transport Layer Security è il successore di SSL (Secure Sockets Layer). È un protocollo Internet Engineering Task Force (IETF) che aiuta ad autenticare mittenti e destinatari di e-mail. Inoltre, consente anche di migliorare la privacy e l’integrità dei dati delle e-mail. TLS è uno dei protocolli più popolari utilizzati in diversi tipi di connessioni come:

  1. browser web;
  2. VPN;
  3. sicurezza della rete centrale per il 5G;
  4. Voice over IP (VoIP).

Quindi, come funziona la Transport Layer Security (TLS)?

TLS utilizza un handshake tra il lato client e il server per stabilire connessioni crittografate. Garantisce la sicurezza della comunicazione e autentica gli endpoint. Ecco come funziona:

  1. sia il mittente dell’e-mail che il destinatario si scambiano le funzionalità di crittografia;
  2. i certificati SSL/TLS per entrambe le parti sono autenticati;
  3. il protocollo TLS aiuta a stabilire una connessione sicura

Ora che si sa come funziona, ecco alcuni dei vantaggi del protocollo TLS:

  1. TLS va oltre la sicurezza dei messaggi con chiave fornita da SSL attraverso l’autenticazione dei messaggi basata su hashing, nota anche come Hashing per Message Authentication Code (HMAC);
  2. definisce il Enhanced Pseudorandom Function (PRF), che utilizza due algoritmi per aumentare la sicurezza dei dati. È un tipo di failsafe in cui un algoritmo è sempre attivo nel caso in cui l’altro fallisca;
  3. una maggiore coerenza nella sicurezza della posta elettronica con TLS richiede la specifica del tipo di certificato per lo scambio di dati;
  4. il protocollo TLS è essenziale per la soluzione convalidata FIPS 140-2.

SSL/TLS aggiunge ulteriore sicurezza al protocollo SMTP, ma non finisce qui. Si devono conoscere molti altri protocolli di sicurezza per una protezione e-mail avanzata come TCP, STARTTLS, SPF, DKIM e DMARC.

TCP

Quando si inviano o ricevono e-mail, un protocollo di controllo della trasmissione diventa la chiave per avviare l’handshake tra il client e il server di posta. L’handshake subisce diversi processi di convalida della sicurezza e impostazioni di crittografia.

Ecco i passaggi per una “stretta di mano” (handshake) tra il server di posta elettronica e il client:

  1. il client invia le modalità di versioni di posta elettronica compatibili al server;
  2. il server fornisce un certificato digitale basato su TLS e una chiave pubblica;
  3. il client verifica il certificato digitale;
  4. il client genera un codice segreto condiviso o una chiave pre-master, che il server deve de-crittografare;
  5. al momento della decrittazione, sia il client che il server possono ora utilizzare la chiave condivisa per trasferire i dati.

STARTTLS

TLS funziona come un protocollo a livello di applicazione. Tuttavia, il mittente e il destinatario devono disporre di un canale di comunicazione sicuro. Pertanto, STARTTLS è più di un semplice protocollo; è un implementazione o aggiornamento della sicurezza.

Questo garantisce la consegna sicura delle e-mail al server di posta dal client. Il protocollo STARTTLS fornisce al server le informazioni del client di posta elettronica e l’invio di una richiesta per una connessione sicura. La parte migliore di STARTTLS è la sua compatibilità con i protocolli TLS legacy moderni.

SPF

Sender Policy Framework (SPF) è uno standard di protocollo di sicurezza per l’autenticazione della posta elettronica. Aiuta a definire un modo specifico per convalidare una e-mail inviata da una fonte autorizzata. Questo è importante in quanto funge da identificatore del mittente della e-mail. Inoltre, SPF assiste il SMTP, che è il protocollo principale utilizzato per l’invio di e-mail.

SMTP non dispone di funzionalità di autenticazione utente predefinite e SPF aiuta ad autenticare i mittenti di posta elettronica.

SPF definisce un approccio che il protocollo SMTP deve eseguire per accertarsi che la e-mail sia inviata da un host autorizzato. Utilizza il Domain Name System (DNS) al suo interno.

  1. L’amministratore del dominio pubblicherà la politica di sicurezza (record SPF) che definisce il server di posta autorizzato.
  2. I record SPF sono elencati come parte dei record DNS.
  3. Quando viene ricevuta una e-mail sul server, cercherà i criteri e consentirà il passaggio solo a quelli con mittenti autorizzati.
  4. Il server confronta anche l’indirizzo IP del mittente della e-mail con il record SPF definito per garantire che sia legittimo.
  5. I server che ricevono le e-mail cercano quindi l’insieme di criteri definiti nel loro record SPF e decidono se accettare o rifiutare il messaggio.

Come si può vedere, una delle parti essenziali del protocollo SPF è il record. Pertanto, include un database del DNS dell’organizzazione. In altre parole, ha tutti i dettagli DNS per confrontare le email in arrivo e verificarne la legittimità.

DMARC

Domain-based Message Authentication, Reporting & Conformance (DMARC) è un protocollo di sicurezza e-mail per proteggere le e-mail. Dipende dal Sender Policy Framework (SPF) e dalla posta identificata dalle chiavi di dominio (DKIM). DMARC utilizza SPF e DKIM per autenticare e verificare la legittimità delle e-mail.

Analogamente ai record SPF, i record DMARC consentono agli ISP di proteggere la posta elettronica da attacchi di ingegneria sociale e spoofing del dominio. Inoltre, consentirà di specificare la gestione delle e-mail che non sono autenticate tramite SPF o DKIM. Questo processo consente agli ISP di identificare gli spammer e prevenire e-mail dannose in entrata nelle caselle di posta degli utenti.

Insieme, DMARC, DKIM e SPF funzionano come un controllo in background sui mittenti di posta elettronica per assicurarsi che siano davvero chi dicono di essere.

Un criterio DMARC determina cosa accade a una e-mail dopo che è stata verificata rispetto ai record SPF e DKIM. Un’email passa o fallisce SPF e DKIM. Il criterio DMARC determina se l’errore comporta che l’e-mail venga contrassegnata come spam, venga bloccata o recapitata al destinatario previsto. I criteri DMARC possono contenere istruzioni per inviare rapporti sulle email che superano o falliscono DKIM o SPF.

Analizziamo diversi tipi di certificati SSL

I certificati SSL possono essere emessi a seconda del tipo di convalida scelto dal cliente. Esistono tre tipi di metodi di convalida, tra cui la convalida del dominio, la convalida dell’organizzazione e la convalida estesa.

La ragione alla base di tutti e tre i diversi metodi di convalida è il livello di verifica che un’autorità di certificazione esegue su un’organizzazione. Tuttavia, più è rigoroso e di altissimo livello, più i clienti vorrebbero fidarsi positivamente del sito.

  1. Certificato SSL di convalida del dominio. La convalida del dominio è un livello base di certificato SSL in cui non è necessario inviare documenti legali a un’autorità di certificazione (CA). Per ottenere un certificato, è necessario verificare la proprietà del controllo del dominio. Può essere eseguito tramite la verifica degli indirizzi e-mail predefiniti come admin@dominio , administrator@dominio , hostmaster@dominio , postmaster@dominio o e-mail del record DNS.
  2. Certificato SSL di convalida dell’organizzazione. La convalida dell’organizzazione è un passo avanti rispetto alla convalida del dominio in cui il processo di convalida del dominio viene eseguito insieme a un controllo approfondito dei documenti relativi all’attività. Le autorità di certificazione vogliono verificare che il dominio sia correlato all’azienda registrata. Una volta effettuata la verifica, la CA emette un certificato.
  3. Certificato SSL a convalida estesa. La convalida estesa comporta la convalida suprema in cui una CA convalida l’azienda controllando lo stato legale, operativo e registrato dell’azienda. Se necessario, la CA può chiamare un numero di telefono registrato per ulteriori verifiche. Attiva un lucchetto verde su un browser e i clienti possono controllare i dettagli dell’azienda registrata con un solo clic sul lucchetto.

Variazioni dei certificati

Le variazioni dei certificati dipendono dai requisiti di ciascun sito Web e il certificato è progettato in tal senso. Oltre ai tipi SSL, esistono SSL con caratteri jolly (wildcard *), certificati multidominio e certificati UCC che proteggono da più domini a sottodomini illimitati. Ad esempio, se specifico per la sicurezza del server di scambio, si avrà il certificato SSL chiamato certificato UCC.

  1. Certificati SSL Multi-Domain (MD) o Subject Alternative Name (SAN). Il certificato multidominio è un singolo certificato che può proteggere più domini e sottodomini. Non è necessario acquistare un certificato per ogni dominio o sottodominio. Il certificato viene fornito con licenze server illimitate e riemissione illimitata.
  2. Certificati SSL Wildcard. Il certificato SSL Wildcard è un certificato ideale per coloro che desiderano proteggere sottodomini illimitati sotto il dominio principale. Il proprietario di un sito può aggiungere un numero di sottodomini una volta acquistato questo certificato. Il nome di dominio deve iniziare con un asterisco (*) e quindi possono essere aggiunti tutti i primi livelli di sottodomini. La parte principale è che non è necessario convalidare ogni sottodominio che si desidera aggiungere al certificato.
  3. Certificati SSL per comunicazioni unificate (UCC). Il certificato UCC è un certificato SSL multidominio che può proteggere sottodomini e domini. Il certificato UCC, tuttavia, è ideale per un ambiente Exchange Server, Office Communication Server e Live Communication Server. Il certificato funziona con i metodi di convalida del dominio e di convalida dell’organizzazione.

Cosa non fa la crittografia e-mail tramite SSL e TLS

Uno dei malintesi più comuni è che SSL/TLS sia il jolly per la sicurezza della posta elettronica. Tuttavia, la crittografia SSL e TLS non protegge la posta da occhi indiscreti. Invece, possono aiutare qualcuno a tenere traccia dell’attività di posta elettronica.

SSL e TLS crittografano i dati mentre viaggiano tra il browser e il server. Tuttavia, la crittografia protegge solo i dati mentre sono in transito. Una volta che i dati raggiungono il server, non sono più crittografati, e sono accessibili per la lettura da parte di altri. Inoltre, non crittografa il singolo messaggio stesso, ma solo il percorso dal client al server.

Attacchi SSL e TLS

Come ogni altra tecnologia di sicurezza, SSL/TLS presenta delle vulnerabilità. Tuttavia, soprattutto le versioni legacy di SSL soffrono di una mancanza di protezione avanzata contro i moderni attacchi informatici. Prendiamo l’esempio della vulnerabilità SSL 3.0 chiamata “Poodle Attack”. È una vulnerabilità che espone una debolezza nel SSL 3.0, che ignora i byte di riempimento durante l’esecuzione del concatenamento di blocchi di cifratura.

I byte di riempimento sono byte vuoti aggiunti tra l’indirizzo di memoria e sono allineati con i dati archiviati in memoria. Gli aggressori possono sfruttare tali vulnerabilità e utilizzare il riempimento binario per aggiungere codice dannoso e dati spazzatura alla memoria. Al momento, TLS 1.2 è la versione attuale che protegge da tali vulnerabilità.

SSL/TLS consente al lato client e al lato server di decidere quale tipo di crittografia utilizzare per stabilire una connessione. Non si può negare che SSL/TLS supporti robusti standard di crittografia.

SSL/TLS crittografa la comunicazione e viene fornito con autenticazione. Pertanto, se viene stabilito un canale SSL, i due endpoint da cui vengono inviate e ricevute le e-mail possono autenticare le proprie identità. Tuttavia, il problema con questo meccanismo sono i certificati autofirmati, questi non sono sufficienti per una buona sicurezza se l’emissione non proviene da una CA standard.

Best practice per l’uso dei protocolli SSL/TLS

I certificati SSL/TLS vengono emessi dalle CA, che consentono di proteggere le e-mail. Nonostante uno dei protocolli di sicurezza più avanzati e l’utilizzo diffuso, TLS può essere esposto a diversi attacchi. Ecco alcune pratiche efficaci SSL/TLS che si dovrebbero seguire.

Scegliere il giusto fornitore di certificati SSL

Le organizzazioni devono scegliere una CA affidabile per l’emissione dei propri certificati SSL. I certificati autofirmati sono vulnerabili. Inoltre, se si sceglie una CA non affidabile, i dati saranno a rischio. Alcune delle CA leader nel mercato includono marchi del calibro di Comodo, RapidSSL, DigiCert e via dicendo.

Utilizzare l’archiviazione fisica

Una pratica efficace consiste nell’archiviare le chiavi private nei moduli di sicurezza hardware (HSM). Questi dispositivi devono essere conformi a FIPS e altamente sicuri. Inoltre, consente alle chiavi private di rimanere anonime, cosa che si necessita per evitare problemi del certificato SSL.

Configurazioni server

Una pratica efficace da seguire è garantire che i server siano configurati in base al dominio e ai requisiti di sicurezza. Ad esempio, se si dispone di più di un dominio, si deve utilizzare il nome alternativo del soggetto (SAN) per assicurarsi che siano protetti.

Parliamo di certificato SSL, ma usiamo TLS: perché

SSL è una tecnologia legacy ed è principalmente TLS che viene utilizzato dalla maggior parte delle organizzazioni. Tuttavia, è solo una convenzione di denominazione utilizzata dai fornitori di certificati SSL e dalle aziende. Se si confronta il funzionamento di SSL e TLS, entrambi devono stabilire un meccanismo di handshake per una connessione sicura.

TLS è una versione migliorata di SSL in cui il meccanismo di handshake funziona solo se il mittente e il destinatario del email seguono le specifiche RFC5246. Ancora più importante, è il fornitore del certificato SSL che conta in quanto può fornire una sicurezza TLS avanzata con la convenzione di denominazione.

Ora che si è fatta una panoramica sui protocolli di sicurezza e vulnerabilità del SSL/TLS, tutto si riduce a un fattore cruciale: il proprio certificato di posta elettronica. Questa è la chiave per proteggere le proprie e-mail.

Ripassiamo un po’ la questione.

Comprensione della crittografia e-mail SSL, TLS e STARTTLS

Come detto prima, SSL, TLS e STARTTLS si riferiscono a protocolli standard utilizzati per proteggere le trasmissioni di posta elettronica. SSL (Secure Sockets Layer), e il suo successore Transport Layer Security (TLS), forniscono un modo per crittografare un canale di comunicazione tra due computer su Internet. Nella maggior parte dei casi, i termini SSL e TLS possono essere usati in modo interscambiabile a meno che non si faccia riferimento a una versione specifica del protocollo ma è una “cattiva abitudine”.

Poiché TLS e SSL sono protocolli a livello di applicazione, mittenti e destinatari devono sapere che vengono utilizzati per crittografare le e-mail durante il transito. È qui che entra in gioco STARTTLS.

STARTTLS è un protocollo di posta elettronica che indica a un server di posta elettronica che un client di posta elettronica, incluso un client di posta elettronica in esecuzione in un browser Web, desidera trasformare una connessione non sicura esistente in una sicura. L’uso di “TLS” nel nome del comando STARTTLS non significa che funzioni solo con il protocollo di sicurezza TLS, funziona anche con SSL.

Come funziona il Secure Sockets Layer

Quando un client e-mail invia e riceve delle e-mail, utilizza il protocollo TCP (Transmission Control Protocol) tramite il livello di trasporto per avviare un “handshake” con il server e-mail. Durante il processo di configurazione di base, il client di posta elettronica comunica al server di posta quale versione di SSL o TLS è in esecuzione e quali “suite di crittografia” (cioè una combinazione di processi utilizzati per negoziare le impostazioni di sicurezza) e metodi di compressione che si desidera utilizzare.

Al termine della configurazione, il server di posta elettronica verifica la propria identità al client di posta elettronica inviando un certificato considerato attendibile dal software dell’utente o da una terza parte di sua fiducia. In questo modo si garantisce che il client di posta elettronica non invii messaggi a un impostore. Una volta che il client sa che può fidarsi del server, viene scambiata una chiave tra i due, che consente di crittografare tutti i messaggi inviati e ricevuti.

Perché è necessario un sistema che utilizzi SSL o TLS

È importante utilizzare SSL o TLS con la configurazione della posta elettronica perché la posta elettronica non sicura è un vettore di attacco comune per i malintenzionati. Chiunque intercetti e-mail crittografate rimane con testo spazzatura con cui non può fare nulla, perché solo il server e il client di posta elettronica hanno le chiavi per decodificare i messaggi.

Questa è la chiave per garantire la protezione di nomi utente, password, dettagli personali e altre informazioni sensibili che si trovano spesso nelle e-mail. Se un utente malintenzionato scopre un punto debole, lo sfrutterà il più a lungo possibile ed estrarrà i dati che verranno venduti sul mercato nero.

TLS è il metodo di crittografia preferito perché è più recente e offre funzionalità di sicurezza più robuste rispetto a SSL. È anche una buona idea combinare la crittografia e-mail basata su TLS con l’autenticazione e-mail per garantire l’integrità dei messaggi e-mail.

Transport Layer Security (TLS) è un protocollo Internet standard che crittografa le e-mail per la privacy e la consegna sicura. TLS impedisce l’accesso non autorizzato alla posta elettronica quando è in transito su connessioni Internet. Google Workspace precedentemente crittografava le email con Secure Sockets Layer (SSL), ma da tempo utilizza TLS per la crittografia.

Transport Layer Security (TLS) è un protocollo di sicurezza che crittografa la posta elettronica per la privacy. Per impostazione predefinita, Gmail tenta sempre di utilizzare una connessione TLS protetta durante l’invio di email. Anche la componente IMAP supporta i protocolli SSL (Secure Socket Layer) e TLS (Transport Layer Security) per autenticare il server e proteggere la comunicazione client-server.

Cos’è un certificato e-mail

I certificati e-mail sono certificati SMIME (per la sicurezza basata su MIME), certificati di firma e-mail, certificati SSL, ecc. Possono avere molti nomi, ma la funzione è semplice: “identificazione e autenticazione” e come dicevamo prima, il certificato e-mail ha un valore cruciale e determinante.

Un certificato e-mail è come una prova d’identità necessaria per inviare o ricevere e-mail. Ecco come funziona:

  1. un certificato di posta elettronica al centro utilizza un sistema PKI per garantire che l’identità del mittente e del destinatario possa essere autenticata;
  2. crittografa anche il contenuto delle e-mail per impedire ai malintenzionati di accedervi.

Infine, i certificati e-mail sono indispensabili nell’era dei numerosi attacchi ransomware e malware.

Per concludere

La cosa più sconcertante è il numero di organizzazioni che ad oggi ignorano i certificati e-mail e le tecnologie di crittografia per le loro comunicazioni sensibili.

I certificati e-mail e le tecnologie di crittografia non proteggono solo i propri dati, ma impediscono anche ai malintenzionati di sfruttare i propri sistemi.

Le aziende con comunicazioni interne massicce devono ripensare le proprie strategie di sicurezza, analizzare i protocolli esistenti, comprendere la crittografia e ottenere certificati adeguati per i propri sistemi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 5