SlideShare a Scribd company logo

Presentazione Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption"

Download as PPTX, PDF
M
MarcoLoGiudice4

Presentazione tesi di Laurea Triennale in Ingegneria Elettronica e Informatica

Engineering
1 of 10
Extended summary of “Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption” ANNO ACCADEMICO 2021/2022 CANDIDATO: MARCO LO GIUDICE RELATORE: PROF ALBERTO BARTOLI Sudheesh Singanamalla, Esther Han Beol Jang, Richard Anderson, Tadayoshi Kohno, and Kurtis Heimerl. 2020. Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption. In ACM Internet Measurement Conference (IMC ’20), October 27–29, 2020, Virtual Event, USA. ACM, New York, NY, USA, 21 pages.
Introduzione • I siti web dei governi dovrebbero essere una fonte affidabile di informazioni in quanto essi contengono spesso dati sensibili, come informazioni sull’identità, mediche o legali. • Lo scopo di questo lavoro è verificare il livello di sicurezza di tali siti • Oggi la comunicazione web più sicura avviene tramite HTTPS • Si verifica quindi l’uso di HTTPS sito per sito • Si parte da un elenco iniziale di siti web successivamente ampliato per includere la «coda lunga» dei siti governativi in tutto il mondo
HTTPS • Protocollo di trasferimento dati criptato attraverso un browser web e un server web che fornisce una versione sicura del vecchio protocollo HTTP • Usa il Transport Layer Security (TLS) garantendo agli utenti autenticazione (tramite i certificati), integrità e riservatezza dei messaggi • HTTP, senza HTTPS, consente attacchi man-in-the-middle (MITM)
Procedimento • Database iniziale • Set di dati iniziale: Alexa Million Dataset, Cisco Million, Majestic Million • Unione dei dataset, filtraggio e deduplicazione per eliminare le copie uguali • Separazione dei siti web governativi e non governativi tramite un filtro di espressioni regolari (es.: .gov.codice-paese) • 27.532 nomi host trovati • Espansione del dataset 1. Crowdsourcing 2. Scansione dei siti web 3. Ricerca manuale
Procedimento 1. Crowdsourcing • Utilizzo di Amazon Mechanical Turk • Inserimento fino a sei URL governativi per i paesi che hanno meno di 11 siti che compaiono nel dataset iniziale 2. Scansione dei siti web • Creazione di un web crawler che visita ogni sito raccolto finora andando a seguire ogni link presente all’interno fino a sette livelli di profondità 3. Ricerca manuale • Ricerca su Google, scansione manuale dei siti già presenti nel dataset, ricerche su siti di ambasciate straniere • Al termine di queste operazioni, si dispone di 135.408 nomi host.
Risultati Di 135.408 siti web analizzati, • 82.152 (60,67%) supportano solo HTTP • 53.256 (39,33%) dispongono di HTTPS • Di questi, solamente 38.033 (28,08%) usano HTTPS senza errori.
Errori più comuni Dei 53.562 siti che tentano di supportare HTTPS, gli errori più comuni sono: • Mancata corrispondenza del nome host (36.6%) • Errori nel recupero del certificato dell’emittente (24.5%) • Certificati auto firmati (13.2%) • Certificati scaduti (5.5%)
Certificati non validi Analizzando i certificati non validi, si notano delle correlazioni tra l’invalidità del certificato e certe sue caratteristiche • Utilizzo di chiavi crittografiche • Chiavi crittografiche a 1024 bit • Certificati firmati usando MD5 o SHA1 • Riutilizzo di certificati • Utilizzo errato di certificati wildcard (es.: utilizzo di un certificato valido per *.portal.gov.bd su tutti i siti del tipo *.gov.bd)
Certificati non validi • Durata del certificato • I certificati validi vengono generalmente rilasciati per un periodo fisso di 2-3 anni • I certificati non validi hanno spesso una durata molto più ampia
Conclusioni • Su 135.139 siti web governativi circa il 72% non utilizzano ancora HTTPS, a causa della mancanza di un’infrastruttura TLS o a causa di una grande varietà di errori sui certificati. • Gli errori principali consistono nella configurazione errata dei nomi host, certificati scaduti, riutilizzo di chiavi tra siti che sono ospitati su server diversi, uso di algoritmi crittografici non sicuri come MD5 o SHA1, certificati auto firmati. • L’assenza di HTTPS e la presenza di errori nei certificati possono portare a una serie di potenziali minacce, tra cui: • Censura • Manomissione dei collegamenti tra vari siti

Recommended

Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...
Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...
Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...MarcoLoGiudice4
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...FedericoRaimondi4
 
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)SMAU
 
Anonimato nell'era digitale
Anonimato nell'era digitaleAnonimato nell'era digitale
Anonimato nell'era digitaleAntonio De Francesco
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
 
Blockchain nel Comune di Napoli
Blockchain nel Comune di NapoliBlockchain nel Comune di Napoli
Blockchain nel Comune di NapoliNaLUG
 
Blockchain e Digital Communication | Verso il Web 3.0
Blockchain e Digital Communication | Verso il Web 3.0Blockchain e Digital Communication | Verso il Web 3.0
Blockchain e Digital Communication | Verso il Web 3.0Franco Giacomozzi
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipMassimiliano Masi
 

Recommended

Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...
Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...
Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of...MarcoLoGiudice4
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...FedericoRaimondi4
 
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)
Smau Bologna | R2B 2019 Luca Bonadimani (AIPSI)SMAU
 
Anonimato nell'era digitale
Anonimato nell'era digitaleAnonimato nell'era digitale
Anonimato nell'era digitaleAntonio De Francesco
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
 
Blockchain nel Comune di Napoli
Blockchain nel Comune di NapoliBlockchain nel Comune di Napoli
Blockchain nel Comune di NapoliNaLUG
 
Blockchain e Digital Communication | Verso il Web 3.0
Blockchain e Digital Communication | Verso il Web 3.0Blockchain e Digital Communication | Verso il Web 3.0
Blockchain e Digital Communication | Verso il Web 3.0Franco Giacomozzi
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipMassimiliano Masi
 
Linee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneLinee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneGianfranco Andriola
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)Elisa Brivio
 
Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...DavideZanutto
 
Google Analytics - intruduzione
Google Analytics - intruduzioneGoogle Analytics - intruduzione
Google Analytics - intruduzioneFLT.lab
 
Architettura tecnologica di TreC
Architettura tecnologica di TreCArchitettura tecnologica di TreC
Architettura tecnologica di TreCArgentea
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 
festival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-linefestival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-linefestival ICT 2016
 
9 - Ricercare nel Web
9 - Ricercare nel Web9 - Ricercare nel Web
9 - Ricercare nel WebGiuseppe Vizzari
 
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)Pierluigi Paganini
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social networkLuca Di Bari
 
06 - Il browser
06 - Il browser06 - Il browser
06 - Il browserGiuseppe Vizzari
 
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...GiacomoBonora3
 
3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)Giuseppe Vizzari
 
Internet la navigazione
Internet la navigazioneInternet la navigazione
Internet la navigazioneFranco Marra
 
Smau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICToSmau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICToSMAU
 
Web semantico
Web semantico Web semantico
Web semanticoCarlo Bidoia
 
Blockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancarioBlockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancarioMattia Andreoli
 
Web3 per aziende tradizionali
Web3 per aziende tradizionaliWeb3 per aziende tradizionali
Web3 per aziende tradizionaliiBooster
 

More Related Content

Similar to Presentazione Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption"

Linee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneLinee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneGianfranco Andriola
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)Elisa Brivio
 
Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...DavideZanutto
 
Google Analytics - intruduzione
Google Analytics - intruduzioneGoogle Analytics - intruduzione
Google Analytics - intruduzioneFLT.lab
 
Architettura tecnologica di TreC
Architettura tecnologica di TreCArchitettura tecnologica di TreC
Architettura tecnologica di TreCArgentea
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 
festival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-linefestival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-linefestival ICT 2016
 
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)Pierluigi Paganini
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social networkLuca Di Bari
 
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...GiacomoBonora3
 
3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)Giuseppe Vizzari
 
Internet la navigazione
Internet la navigazioneInternet la navigazione
Internet la navigazioneFranco Marra
 
Smau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICToSmau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICToSMAU
 
Blockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancarioBlockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancarioMattia Andreoli
 
Web3 per aziende tradizionali
Web3 per aziende tradizionaliWeb3 per aziende tradizionali
Web3 per aziende tradizionaliiBooster
 

Similar to Presentazione Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption" (20)

Linee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneLinee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazione
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazione
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
 
Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)Anonimato nell'era digitale (rfree)
Anonimato nell'era digitale (rfree)
 
Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...Presentation - Extended summary of "The Representativeness of Automated Web C...
Presentation - Extended summary of "The Representativeness of Automated Web C...
 
Google Analytics - intruduzione
Google Analytics - intruduzioneGoogle Analytics - intruduzione
Google Analytics - intruduzione
 
Architettura tecnologica di TreC
Architettura tecnologica di TreCArchitettura tecnologica di TreC
Architettura tecnologica di TreC
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul web
 
festival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-linefestival ICT 2013: Sicurezza dei referti on-line
festival ICT 2013: Sicurezza dei referti on-line
 
9 - Ricercare nel Web
9 - Ricercare nel Web9 - Ricercare nel Web
9 - Ricercare nel Web
 
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
Esplorando il concetto di Blockchain Exploring Blockchain Technology (Italian)
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social network
 
06 - Il browser
06 - Il browser06 - Il browser
06 - Il browser
 
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
Extended Summary of 'An Empirical Study of the Use of Integrity Verification ...
 
3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)3 - Introduzione a Internet (2/2)
3 - Introduzione a Internet (2/2)
 
Internet la navigazione
Internet la navigazioneInternet la navigazione
Internet la navigazione
 
Smau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICToSmau Firenze 2016 - dirICTo
Smau Firenze 2016 - dirICTo
 
Web semantico
Web semantico Web semantico
Web semantico
 
Blockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancarioBlockchain e Criptovalute nel mondo bancario
Blockchain e Criptovalute nel mondo bancario
 
Web3 per aziende tradizionali
Web3 per aziende tradizionaliWeb3 per aziende tradizionali
Web3 per aziende tradizionali
 

Presentazione Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption"

  • 1. Extended summary of “Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption” ANNO ACCADEMICO 2021/2022 CANDIDATO: MARCO LO GIUDICE RELATORE: PROF ALBERTO BARTOLI Sudheesh Singanamalla, Esther Han Beol Jang, Richard Anderson, Tadayoshi Kohno, and Kurtis Heimerl. 2020. Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption. In ACM Internet Measurement Conference (IMC ’20), October 27–29, 2020, Virtual Event, USA. ACM, New York, NY, USA, 21 pages.
  • 2. Introduzione • I siti web dei governi dovrebbero essere una fonte affidabile di informazioni in quanto essi contengono spesso dati sensibili, come informazioni sull’identità, mediche o legali. • Lo scopo di questo lavoro è verificare il livello di sicurezza di tali siti • Oggi la comunicazione web più sicura avviene tramite HTTPS • Si verifica quindi l’uso di HTTPS sito per sito • Si parte da un elenco iniziale di siti web successivamente ampliato per includere la «coda lunga» dei siti governativi in tutto il mondo
  • 3. HTTPS • Protocollo di trasferimento dati criptato attraverso un browser web e un server web che fornisce una versione sicura del vecchio protocollo HTTP • Usa il Transport Layer Security (TLS) garantendo agli utenti autenticazione (tramite i certificati), integrità e riservatezza dei messaggi • HTTP, senza HTTPS, consente attacchi man-in-the-middle (MITM)
  • 4. Procedimento • Database iniziale • Set di dati iniziale: Alexa Million Dataset, Cisco Million, Majestic Million • Unione dei dataset, filtraggio e deduplicazione per eliminare le copie uguali • Separazione dei siti web governativi e non governativi tramite un filtro di espressioni regolari (es.: .gov.codice-paese) • 27.532 nomi host trovati • Espansione del dataset 1. Crowdsourcing 2. Scansione dei siti web 3. Ricerca manuale
  • 5. Procedimento 1. Crowdsourcing • Utilizzo di Amazon Mechanical Turk • Inserimento fino a sei URL governativi per i paesi che hanno meno di 11 siti che compaiono nel dataset iniziale 2. Scansione dei siti web • Creazione di un web crawler che visita ogni sito raccolto finora andando a seguire ogni link presente all’interno fino a sette livelli di profondità 3. Ricerca manuale • Ricerca su Google, scansione manuale dei siti già presenti nel dataset, ricerche su siti di ambasciate straniere • Al termine di queste operazioni, si dispone di 135.408 nomi host.
  • 6. Risultati Di 135.408 siti web analizzati, • 82.152 (60,67%) supportano solo HTTP • 53.256 (39,33%) dispongono di HTTPS • Di questi, solamente 38.033 (28,08%) usano HTTPS senza errori.
  • 7. Errori più comuni Dei 53.562 siti che tentano di supportare HTTPS, gli errori più comuni sono: • Mancata corrispondenza del nome host (36.6%) • Errori nel recupero del certificato dell’emittente (24.5%) • Certificati auto firmati (13.2%) • Certificati scaduti (5.5%)
  • 8. Certificati non validi Analizzando i certificati non validi, si notano delle correlazioni tra l’invalidità del certificato e certe sue caratteristiche • Utilizzo di chiavi crittografiche • Chiavi crittografiche a 1024 bit • Certificati firmati usando MD5 o SHA1 • Riutilizzo di certificati • Utilizzo errato di certificati wildcard (es.: utilizzo di un certificato valido per *.portal.gov.bd su tutti i siti del tipo *.gov.bd)
  • 9. Certificati non validi • Durata del certificato • I certificati validi vengono generalmente rilasciati per un periodo fisso di 2-3 anni • I certificati non validi hanno spesso una durata molto più ampia
  • 10. Conclusioni • Su 135.139 siti web governativi circa il 72% non utilizzano ancora HTTPS, a causa della mancanza di un’infrastruttura TLS o a causa di una grande varietà di errori sui certificati. • Gli errori principali consistono nella configurazione errata dei nomi host, certificati scaduti, riutilizzo di chiavi tra siti che sono ospitati su server diversi, uso di algoritmi crittografici non sicuri come MD5 o SHA1, certificati auto firmati. • L’assenza di HTTPS e la presenza di errori nei certificati possono portare a una serie di potenziali minacce, tra cui: • Censura • Manomissione dei collegamenti tra vari siti