Come navigare in sicurezza con TLS 1.2 e 1.3
22 Agosto 2022
Visto l’aumentare della criticità dei colpi informatici, è stato necessario negli anni poter disporre di sistemi di trasmissione che garantiscano l’integrità e la segretezza dei dati trasmessi. Protocolli di crittografia meglio conosciuti come TLS che cifrano le informazioni che viaggiano sulla rete e le rendono illeggibili a terze persone, esclusi i due dispositivi che entrano in gioco durante la comunicazione. Entrano in gioco gli ormai famosissimi algoritmi per la crittografia end-to-end, adottati anche da diverse app di messaggistica, social e provider di posta per rendere confidenziali i messaggi interscambiati dagli utenti. Per quanto riguarda il Web invece, un’applicazione molto conosciuta di TLS è rappresentata dal protocollo HTTPS, che altro non è che l’acronimo di HTTP over TLS. Grazie all’HTTPS le interazioni tra server e browser avvengono in modo completamente criptato, divenendo accessibili soltanto agli interlocutori coinvolti, in quanto possessori delle necessarie tecnologie di decriptazione.
Le evoluzioni del TLS
Affinché un browser possa essere definito come sicuro, non basta che il sistema supporti il TLS ma deve anche garantire che esso venga aggiornato ed implementato in ogni applicazione. Il rischio è infatti quello di navigare in condizioni di sicurezza meno elevate per via di browser che sfruttano ancora versioni obsolete del protocollo. Dal primo TLS 1.0 sono ormai passati più di 20 anni, ormai considerata obsoleta, e per questo sono state rilasciate altre due versioni durante il percorso: TLS 1.2, rilasciata nel 2008, e TLS 1.3 disponibile dal 2018. Le uniche due versioni considerate ancora valide e ottimali dal punto di vista della sicurezza per l’utente. In particolar modo la versione più recente garantisce performance più elevate in quanto capace di ottimizzare l’handshake, memorizzare le connessioni già effettuate senza dover ricaricare la pagina e riduce il caricamento delle risorse più complesse.
Le raccomandazioni dell’AGID
Potendo contare su un numero di versioni diverse, l’Agenzia per l’Italia Digitale ha pensato di fornire delle precise indicazioni sul corretto utilizzo dei TLS in base alle diverse esigenze degli utenti. Indicazioni su quale release adottare evitando di affidarsi ad implementazioni troppo datate e poco prestanti. Volendo riassumerle in pochi punti possiamo dire che:
- le versioni TLS 1.0 e 1.1 non dovrebbero essere utilizzate in quanto deprecate e poco funzionali;
- TLS 1.2 rappresenta un requisito minimo per gli spettatori;
- è comunque preferibile una configurazione che integri TLS 1.3. perché più aggiornata e meno soggetta ad attacchi informatici.
Impossibile negare dunque che sia sempre conveniente disporre dell’ultima versione che offre una suite di cifratura (cipher suite) da cui sono stati esclusi algoritmi e codici vulnerabili o inadatti a garantire un grado elevato di PFS (Perfect Forward Secrecy). Niente più metodi di cifratura poco elaborati ma piuttosto meccanismi di riservatezza sempre più complessi se in ballo c’è la sicurezza dell’intero sistema di rete.