Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Rilasciato OpenSSH 10.1: Novità nella gestione DSCP e abbandono degli SSHFP basati su SHA1

di · Pubblicato · Aggiornato

Rilasciato OpenSSH 10.1: Novità nella gestione DSCP e abbandono degli SSHFP basati su SHA1

OpenSSH 10.1 è ora disponibile, introducendo importanti modifiche nella gestione del DSCP (Differentiated Services Code Point), correzioni di sicurezza e l’annuncio dell’abbandono degli SSHFP (SSH Fingerprint) basati su SHA1. OpenSSH, sviluppato e mantenuto all’interno del progetto OpenBSD, rappresenta uno degli strumenti più diffusi per l’accesso remoto e il trasferimento di file tramite connessioni crittografate. OpenSSH è distribuito con una licenza BSD, che ne consente l’utilizzo, la modifica e la redistribuzione sia in ambito privato che commerciale, a patto di mantenere la licenza originale e le informazioni sul copyright.

Disponibile per GNU/Linux, macOS, BSD e Windows (tramite strumenti come Cygwin o Windows Subsystem for Linux), OpenSSH è diventato uno standard de facto per la gestione sicura delle connessioni remote. La versione precedente stabile, OpenSSH 10.0, è stata rilasciata il 9 aprile 2025.

Novità in OpenSSH 10.1

OpenSSH 10.1, rilasciato ieri 6 ottobre 2025, introduce una serie di miglioramenti significativi, sia in termini di sicurezza che di funzionalità. Di seguito, le principali novità:

Abandono degli SSHFP basati su SHA1

A partire da questa versione, gli SSHFP basati sull’algoritmo SHA1 verranno gradualmente abbandonati a causa delle note vulnerabilità di questo algoritmo. Lo strumento ssh-keygen -r, utilizzato per generare record DNS per le chiavi SSH, produrrà ora esclusivamente record basati su SHA256, molto più sicuri e resistenti agli attacchi informatici.

A partire da OpenSSH 10.1, il progetto abbandona definitivamente l’utilizzo dell’algoritmo SHA1 per la generazione dei record SSHFP (record DNS che contengono l’impronta digitale delle chiavi SSH dei server). Questa scelta è dovuta alle vulnerabilità crittografiche di SHA1, che lo rendono insicuro e soggetto a collisioni, ovvero la possibilità che 2 chiavi diverse producano lo stesso hash, esponendo le connessioni a rischi di manipolazione.

Da ora in poi, lo strumento ssh-keygen -r, utilizzato per creare questi record, genererà esclusivamente impronte basate su SHA256, un algoritmo molto più sicuro e resistente agli attacchi. SHA256, grazie alla sua lunghezza di 256 bit, offre una protezione affidabile contro le minacce informatiche moderne, come gli attacchi “man-in-the-middle“, e rappresenta lo standard attuale per la sicurezza delle connessioni SSH.

Gli amministratori di sistema dovranno quindi aggiornare i record DNS dei propri server, sostituendo quelli obsoleti con i nuovi record SHA256 generati automaticamente dal comando ssh-keygen -r.

Gestione avanzata del DSCP

OpenSSH 10.1 introduce una gestione migliorata del DSCP (Differentiated Services Code Point), un meccanismo utilizzato per classificare e gestire il traffico di rete in base a priorità specifiche. Il traffico interattivo, come le sessioni SSH, utilizzerà ora la classe Expedited Forwarding per ridurre la latenza, mentre il traffico non interattivo, come i trasferimenti tramite SFTP (SSH File Transfer Protocol), utilizzerà le impostazioni predefinite del sistema. Inoltre, i vecchi parametri IPv4 come lowdelay, reliability e throughput non saranno più supportati, sostituiti da marcature DSCP moderne.

Avvisi per algoritmi crittografici deboli

OpenSSH 10.1 introduce un nuovo avviso per gli algoritmi di scambio chiavi non resistenti agli attacchi quantistici, come quelli basati su RSA o DSA. Questa funzionalità, attivata di default tramite l’opzione WarnWeakCrypto, mira a sensibilizzare gli utenti sul rischio di attacchi del tipo “cattura ora, decifra dopo”, in cui un aggressore potrebbe memorizzare dati crittografati oggi per decifrarli in futuro, quando la tecnologia quantistica sarà sufficientemente avanzata.

Miglioramenti nella sicurezza di ssh-agent

Il demone ssh-agent, che si occupa di conservare in memoria le chiavi private SSH per evitare di doverle reinserire ogni volta che si stabilisce una connessione, ha subito un’importante modifica nella gestione dei suoi file di comunicazione (socket). Fino alla versione precedente, questi file venivano salvati nella cartella temporanea /tmp, accessibile a tutti gli utenti del sistema e potenzialmente vulnerabile in ambienti condivisi o con permessi di accesso non correttamente configurati.

Con OpenSSH 10.1, i socket di ssh-agent vengono ora memorizzati all’interno della cartella ~/.ssh/agent, situata nella directory personale dell’utente. Questo cambiamento migliora la sicurezza, poiché limita l’accesso ai socket solo all’utente proprietario, riducendo il rischio che altri processi o utenti malintenzionati possano interferire con le connessioni SSH attive.

Inoltre, ssh-agent introduce due nuove funzionalità per una gestione più efficiente delle risorse:

  • Pulizia automatica dei socket obsoleti: il demone rimuove in modo autonomo i file di socket non più utilizzati, evitando l’accumulo di file inutili e potenziali problemi di sicurezza.
  • Rimozione immediata dei certificati scaduti: i certificati SSH con data di scadenza superata vengono eliminati automaticamente dal sistema, garantendo che vengano utilizzate solo chiavi e certificati validi e sicuri.

Queste modifiche rendono ssh-agent più affidabile e sicuro, soprattutto in ambienti multiutente o con restrizioni di accesso avanzate.

Supporto per chiavi ed25519 su token PKCS#11

OpenSSH 10.1 introduce una novità significativa per chi utilizza dispositivi hardware dedicati alla crittografia: il supporto per le chiavi di tipo ed25519 su token compatibili con lo standard PKCS#11. Questo standard, ampiamente adottato, definisce un’interfaccia unificata per la gestione di dispositivi di sicurezza come smart card e token USB, che memorizzano e proteggono chiavi crittografiche in modo sicuro.

Grazie a questa innovazione, gli utenti possono ora generare, memorizzare e utilizzare chiavi ed25519 (un algoritmo di firma digitale moderno, efficiente e considerato tra i più sicuri attualmente disponibili) direttamente su questi dispositivi hardware. Ciò consente di sfruttare i vantaggi delle chiavi ed25519, come la resistenza agli attacchi crittografici e le prestazioni elevate, anche in ambienti dove la sicurezza fisica delle chiavi è fondamentale, come nei sistemi aziendali o governativi.

In pratica, questa funzionalità rende più semplice e sicuro l’utilizzo di chiavi SSH avanzate su hardware esterno, combinando la robustezza dell’algoritmo ed25519 con la protezione fisica offerta dai token PKCS#11.

Nuove opzioni di configurazione

Tra le altre novità, spicca l’aggiunta dell’opzione RefuseConnection nel file di configurazione ssh_config, che consente di rifiutare connessioni in base a criteri specifici. Inoltre, il limite di dimensione per i file di configurazione è stato aumentato da 256 KB a 4 MB, permettendo una maggiore flessibilità nella gestione di ambienti complessi.

Correzioni e ottimizzazioni

Questa versione include anche numerose correzioni di bug e ottimizzazioni, tra cui:

  • Risoluzione di ritardi con client X11, migliorando l’esperienza utente in ambienti grafici remoti.
  • Diagnostiche avanzate per il caricamento delle chiavi, che aiutano a identificare e risolvere problemi di configurazione.
  • Risoluzione di perdite di memoria, che contribuiscono a una maggiore stabilità del software.
  • Miglioramenti nella gestione di PAM (Pluggable Authentication Modules), per una migliore integrazione con i sistemi di autenticazione.
  • Supporto avanzato per seccomp e futex su sistemi a 32 bit, che aumenta la sicurezza e la compatibilità con hardware meno recenti.

Compatibilità e distribuzione

OpenSSH 10.1 ha una variante appositamente ottimizzata per essere compilata, installata ed eseguita su sistemi operativi diversi da OpenBSD, il sistema nativo per cui OpenSSH è stato inizialmente sviluppato, contraddistinta dalla presenza di una p nel seriale: OpenSSH 10.1p1. Mentre la versione originale, OpenSSH 10.1, è strettamente integrata con OpenBSD, quella portabile, OpenSSH 10.1p1, viene adattata per garantire il corretto funzionamento su GNU/Linux, macOS e altre distribuzioni BSD, dove le differenze a livello di kernel, librerie di sistema e strumenti di gestione potrebbero altrimenti causare incompatibilità o malfunzionamenti.

Questa versione include correzioni di compatibilità specifiche per ciascuna piattaforma, come ad esempio:

  • Adeguamenti alle librerie di sistema (ad esempio, per la gestione della crittografia o delle connessioni di rete).
  • Supporto per chiamate di sistema (syscall) che possono variare tra i diversi sistemi operativi.
  • Ottimizzazioni per l’integrazione con gli ambienti grafici, come il nuovo strumento askpass per GNOME 40 e versioni successive, che semplifica l’inserimento delle password in interfacce grafiche, rendendo l’esperienza utente più intuitiva e accessibile.

Inoltre, la versione portabile è pensata per sistemi con architetture hardware diverse (ad esempio, 32-bit o 64-bit) e include miglioramenti per la gestione di funzionalità avanzate come PAM (Pluggable Authentication Modules) e seccomp (un meccanismo di sandboxing per limitare le azioni dei processi).

Grazie a queste modifiche, OpenSSH 10.1 può essere utilizzato in modo affidabile su una vasta gamma di sistemi, mantenendo tutte le sue funzionalità di sicurezza e prestazioni. Per un elenco dettagliato delle modifiche tecniche, è possibile consultare il changelog (registro delle modifiche) ufficiale o nel più leggibile formato HTML.

Per scaricare OpenSSH 10.1, visitare la pagina dei mirror ufficiali.

Fonte: https://www.openssh.com/releasenotes.html
Fonte: https://linuxiac.com/openssh-10-1-new-dscp-handling-sha1-sshfp-deprecation-announced/

Visited 33 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Una risposta

  1. Rilasciato OpenSSH 10.2: correzione critica per ControlPersist e preparazione all'abbandono di SHA1 - Aggregatore GNU/Linux e dintorni
    11 Ottobre 2025

    […] versione stabile prima dell’attuale rilascio di OpenSSH 10.2 è stata la versione OpenSSH 10.1, rilasciata il 6 ottobre […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.