Circa un mese fa ha destato grande scalpore la notizia della scoperta di Heartbleed, un grave bug nella libreria crittografica OpenSSL, utilizzata nella stragrande maggioranza dei web server Linux, in tutto il mondo.
Sfruttando una pericolosa lacuna di sicurezza, un aggressore poteva essere in grado (e può tutt’oggi, nelle versioni non aggiornate di OpenSSL) di leggere informazioni sensibili gestite dal server ed, addirittura, recuperare la chiave crittografica usata a protezione della connessione HTTPS.
Nel nostro articolo Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS? abbiamo cercando di analizzare nel dettaglio il problema indicando anche le soluzioni.
Secondo Netcraft, a distanza di circa un mese dalla scoperta di Heartbleed, gli amministratori dei siti web più noti e trafficati hanno reagito immediatamente aggiornando OpenSSL, richiedendo nuovi certificati SSL e revocando i precedenti certificati digitali, usati per instaurare la connessione HTTPS tra server e client.
Alcuni amministratori, tuttavia, avrebbero commesso il grave errore di richiedere nuovi certificati utilizzando, a protezione, le stesse chiavi impiegate precedentemente. Stando ai numeri pubblicati da Netcraft, più di 30.000 certificati sono stati sostituiti usando però la medesima chiave privata.
Soltanto il 14% dei siti web affetti dall’Heartbleed bug avrebbero compiuto i tre passi necessari per mettere i sicurezza le attività dei propri utenti (sostituzione dei certificati SSL, revoca dei vecchi certificati, utilizzo di una diversa chiave privata).
Il 5% dei siti avrebbe commesso l’errore gravissimo di usare nuovi certificati digitali senza cambiare la chiave privata. Su di un ulteriore 2% di siti è stata usata la medesima chiave privata senza neppure revocare il precedente certificato.
Il 57% non avrebbe ancor’oggi effettuato alcun tipo di intervento mentre un ulteriore 21% starebbe utilizzando certificati nuovi senza però aver revocato quelli vecchi.