Re: [ml] Apache e autenticazione con smartcard

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Apache e autenticazione con smartcard
Mittente: Can't dig that daddy
Data: Thu, 19 Oct 2006 19:54:03 +0200 (CEST)

On mer, 2006-10-18 at 10:55 +0200, Marco Bertorello wrote:
> mi viene richiesto che l'autenticazione ad un sito avvenga tramite
> smartcard. 

Ciao,
un po' di tempo fa ho fatto qualche test sull'argomento.

La buona notizia Ã che lato server non bisogna fare niente di
speciale... se non abilitare ssl, fornire apache di un bel
certificato/chiave privata per la *sua* autenticazione, e richiedere che
l'autenticazione client avvenga obbligatoriamente.
Apache, inoltre, deve avere la possibilitÃ di verificare la validitÃ dei
certificati dei client e per fare questo deve avere la chiave pubblica
delle CA utilizzate (i.e.: di una CA nel percorso di certificazione dei
certificati client). 
In merito trovi un mucchio di documentazione... ti consiglio comunque di
approfondire le questioni legate alla verifica dello stato dei
certificati (i.e.: CRL e OCSP).

Lato client Ã necessario che sia installato il driver del lettore
smartcard e che il certificato contenuto nella S/C da utilizzare sia
correttamente installato nel repository dei certificati
d'autenticazione.. questo perÃ dipende dallo specifico browser/s.o.
(e.g.: in firefox "certificati personali").

Al momento della connessione al web server, il browser richiede la
scelta di un certificato d'autenticazione. Nel caso l'utente scelga
quello contenuto nella S/C, gli verrÃ richiesto l'inserimento del pin
per "sbloccare" la chiave privata ad esso associata.

La cattiva notizia Ã che in questo modo il server non "obbliga" l'utente
ad autenticarsi con la S/C ma semplicemente ad autenticarsi. Il fatto
che la verifica dell'identitÃ avvenga per mezzo di un dispositivo
crittografico o meno Ã del tutto indifferente: quello che conta Ã che il
certificato presentato dal client al server sia valido e non scaduto.

Non metto in dubbio che possano esistere metodi che garantiscano che
l'autenticazione avvenga precisamente per mezzo di un S/C... ma suppongo
che essi facciano uso di ActiveX o roba simile... e qua alzo le mani. :)

Sciuaz,
   Can't dig that daddy.

In risposta a:
- [ml] Apache e autenticazione con smartcard, Marco Bertorello

Data:
- precedente: [ml] linux ha, loris
- successivo: Re: [ml] Pratical Onion Hacking, Marco Bonetti
- indice

Argomento:
- precedente: Re: [ml] Apache e autenticazione con smartcard, Claudio
- successivo: [ml] Administrativia (era Apache e autenticazione con smartcard), Guido Bolognesi [Zen]
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005