DeepSeek, come menzionato nel contesto delle app AI e delle vulnerabilità di sicurezza, non descrive esplicitamente i suoi passaggi per verificare la firma digitale di un certificato SSL. Tuttavia, in base alle pratiche generali per la verifica del certificato SSL, ecco i passaggi tipici che sarebbero coinvolti nella verifica della firma digitale di un certificato SSL:
1. Ottenere la chiave pubblica: il cliente (ad es. Un browser Web o un'app) ottiene la chiave pubblica dell'autorità di certificazione (CA) che ha emesso il certificato SSL. Questa chiave pubblica è in genere archiviata in un negozio di certificati di fiducia all'interno del cliente.
2. Decrittografia della firma digitale: il client utilizza la chiave pubblica della CA per decrittografare la firma digitale allegata al certificato SSL. Questa firma digitale è un hash del contenuto del certificato, crittografato utilizzando la chiave privata della CA.
3. Genera un nuovo hash: il client genera un nuovo hash del contenuto del certificato SSL (in particolare, la parte "da firmare" del certificato) utilizzando lo stesso algoritmo utilizzato dalla CA.
4. Confronta hash: il cliente confronta l'hash decrittografato dalla firma digitale con l'hash appena generato. Se i due hash corrispondono, indica che il certificato non è stato manomesso ed è stato effettivamente firmato dalla CA.
5. Controllare la validità del certificato: il client verifica che il certificato SSL sia valido e non sia scaduto. Verifica inoltre se il certificato è stato revocato consultando un elenco di revoca del certificato (CRL) o utilizzando il protocollo di stato del certificato online (OCSP).
6. Verificare la catena del certificato: il client garantisce che il certificato SSL faccia parte di una catena di certificato valida, il che significa che è emesso da una CA di fiducia e che tutti i certificati intermedi sono validi e attendibili.
7. Verifica del nome di dominio: il client verifica se il nome di dominio nel certificato SSL corrisponde al nome di dominio del sito Web accessibile. Ciò garantisce che il certificato venga utilizzato per il dominio corretto.
8. Verifica del negozio di fiducia: il cliente verifica che la CA che emette il certificato sia incluso nel suo negozio di fiducia. Se la CA non è attendibile, il certificato è considerato non valido.
Se DeepSeek dovesse implementare questi passaggi, migliorerebbe significativamente la sua sicurezza assicurando che si colleghi a server legittimi e protegga dagli attacchi di imitazione. Tuttavia, come notato nei risultati di ricerca, DeepSeek ha affrontato problemi relativi alla mancanza di una corretta validazione SSL, che lo rende vulnerabile a tali minacce [6].
Citazioni:
[1] https://apidog.com/blog/ssl-certificate-verification/
[2] https://sslinsights.com/what-are-digital-signatures-in-sl-tls/
[3] https://help.deepsecurity.trendmicro.com/11_0/on-premise/digital-signature-check.html
[4] https://www.appdome.com/dev-sec-blog/ssl-certificate-validation-and-pinning/
[5] https://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=ART012
[6] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[7] https://brainsteam.co.uk/2025/2/12/ai-code-assistant-curl-sl/
[8] https://www.keenformatics.com/manual-verifying-an-Ssl-certificate/