lunedì, giugno 15, 2009

Toglietemi tutto ma non il mio certificato "self-signed"

Qualcuno forse ricorderà il provvedimento del Garante Privacy del 18 settembre 2008 con cui si bacchetteva severamente l'Agenzia delle Entrate per le modalità di accesso all'anagrafe tributaria da parte di soggetti esterni all'amministrazione finanziaria, per la sicurezza dei sistemi di autenticazione degli applicativi ultilizzati e per altre inadempienza a cui l'Agenzia avrebbe dovuto porre rimedio in un termine che, a seconda delle contestazioni, andava dai 3 ai 12 mesi.

Il 10 giugno scorso è stato pubblicato sul sito dell'Agenzia un documento recante "Adeguamento dei servizi telematici dell'Agenzia delle entrate alle prescrizioni del Garante per la protezione dei dati personali (Provvedimento del Direttore)" nel quale si dà atto di quanto è stato fatto per ottemperare alle indicazioni fornite dal garante.

A suo tempo (era il settembre 2008), mi colpì in particolare una delle anomalie segnalate, che riporto qui di seguito:

"Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in mancanza di una Ca affidabile, non offre le garanzie di certezza dell'identità dell'erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell'applicazione".

Conseguentemente il Garante prescriveva all'Agenzia delle Entrate di fare in modo che, entro tre mesi, tutte le applicazioni accessibili da rete pubblica in forma di web application fossero implementate con protocolli https/ssl provvedendo ad asseverare l'identità digitale dei server erogatori dei servizi tramite l'utilizzo di certificati digitali emessi da una Certification Authority ufficiale.

Di mesi ne sono passati quasi nove ma se ci si collega ad Entratel il certificato di protezione è sempre quello self signed.

Insomma, sono l'Agenzia delle Entrate... e mi certifico da sola, piaccia o meno al Garante Privacy.


Etichette: , , , , ,

0 Commenti:

Posta un commento

Iscriviti a Commenti sul post [Atom]

<< Home page

Powered by Blogger

Iscriviti a
Post [Atom]