Firefox 32 con “key pinning”
Firefox, il famoso browser di Mozilla, è giunto alla versione 32. Agli inizi del mese è stata rilasciata la nuova versione di Firefox che implementa la “certificate key pinning” ovvero una funzionalità che permette di specificare quali certificati SSL/TLS sono validi per determinati servizi online.
Questa introduzione deriva dalla necessità di far fronte ad attacchi come quello che ha colpito gli utenti di Gmail nel 2011, in cui la sicurezza della società olandese che rilasciava questi certificati era stata violata ed erano stati messi n circolazione dei certificati non validi, in grado però di funzionare con domini Google.
In sostanza questo permetteva agli hacker di creare un finto sito internet uguale in tutto e per tutto a Gmail, privo di certificati SSL ma senza che il browser segnalasse la mancanza degli stessi.
In Firefox 32, se un certificato corrisponde ad un certificato valido (appunto “pinned”), l’icona per i certificati SSL risulta normale, in caso contrario Firefox rifiuterà la connessione mostrando un errore. Al momento Firefox supporta i siti Mozilla e Twitter ma a breve saranno aggiunti anche altri servizi quali Google, Tor, Dropbox e moltissimi altri.
Nel frattempo Mozilla ha già annunciato la versione beta di Firefox 33.
