Re: connessione ssl

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: connessione ssl
Mittente: Qu3St
Data: 30 Apr 2002 12:21:33 -0000


Lunedì, aprile 29, 2002, alle 01:54 , programmers ha scritto:


> devo aprire una connessione sicura su alcune interfaccie web che ho 
> creato
> in modo che alcuni clienti ci entrino in modalità sicura.

Se il tuo server web e' apache la cosa migliore e' compilarti o 
scaricarti
il binario di mod_ssl e con una semplicissima configuraizone dei vhost 
avrai
i tuoi domini in SSL .

> devo necessariamante richiedere il cerificato del server oppure posso
> produrmelo io?

Entrambe sono soluzioni valide ai fini di ottere una transazione SSL, il
discriminante sul fatto di scegliere un CA (Certification Authority) 
esterna
oppure fare da se (self signed) e' l'uso che ne farai.
Mi spiego meglio, prendiamo per esempio proprio un server web, quando ti
colleghi la prima volta ad un webSSL ti viene chiesto di accettare il
certificato, durante la procedura di accettazione, il tuo browser
controlla se il tuo certificato abbia la firma di una delle CA 
"conosciute"
(trusted), ogni browser ne ha una serie. Se riconosce il certificato come
firmato da uno di queste CA allora loconsidera "sicuro" e "veritiero" 
visto
che c'e' un ente esterno, la CA appunto, di cui si fida  che 
"garantisce" per
la sua autenticita', e quindi lo accetta. Se non trova la firma inizia a 
darti
tutta una serie di warning relativi al fatto di non poter verificare che 
i dati
sul certificato siano realmente autentici, ed alla fine ti chiedera' se 
vuoi cmq accettare questo certificato non sicuro per continuare la 
transazione criptata.
Tutte questa paranoie sull'autenticita' del certificato del peer stanno 
alla base
quello che e' il sistema SSL, per prevenire attacchi come rudimentali 
hijacking
delle connessioni o falsificazione del peer.
Pensa ad un sito che fa e-commerce, ti fideresti a dare i tuoi 16 
numeretti ad un
pc di cui non sei sicuro che sia davvero lui? (=
E' anche vero che certe realta', come alcune banche, per esempio tendono 
a creare delle proprie CA interne e poi a dare ai propri clienti dei 
certificati da installare sui browser per poter riconoscere la banca 
stessa come CA, e nello stesso tempo trustare anche chi si collega in 
modo da avere una doppia verifica dell'autenticazione, il cliente sul 
server della banca, il server della banca sul borwser di un cliente.
Tornando a nel tuo caso se la cerchi di untenti e' assai ristretta penso 
che ti conviene auto-certificarti.
Generare un certificato ormai e' cosa banale ogni applicazione che 
sfrutta ssl
ti da un tool o cmq un sistema per cenerare dei cerficati.
Se poi ne vuoi sapere di su sullo "zen e l'arte della crittografia" ti 
consiglio di leggere:
http://www.s0ftpj.org/bfi/online/bfi7/bfi07-15.html
articolo dell'ottimo koba (=
altri link interessanti
http://www.openssl.org/docs/HOWTO/certificates.txt
http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/
http://tud.at/programm/apache-ssl-win32-howto.php3
http://www.tantalo.net/linux/webserver/

Spero di esserti stato utile
kiZZ
quest


--
Visita Interiorae Terrae Rectificando Invenies Occultum Lapidem
         --> Qu3St alchimista delle reti del FreakNet MediaLab
         --> www.autistici.org :: www.freaknet.org :: www.mufhd0.net


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- connessione ssl, programmers

Data:
- precedente: Re: Help: Windows NT, servizi e porte aperte, Tom
- successivo: Re: Help: Windows NT, servizi e porte aperte, nino_con@xxxxxxxxx
- indice

Argomento:
- precedente: connessione ssl, programmers
- successivo: Re: connessione ssl, Tom
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005