Re: [ml] Apache e autenticazione con smartcard

> On Thursday 19 October 2006 11:09, Claudio wrote:
>> Lato client il problema non si pone;
>
> a no ? ... bhè dall'alto della mia ignoranza invece il vero prob me lo
> pongo proprio lato client, visto che lato server è la solita aut via ssl
> opportunamente configurata ...
>
> Dear cla, mi spendi 2 parole sul lato client a questo punto ?? tnx :-)

Lato client quale dovrebbe essere il problema? Installi un lettore di
smart-card (ne esistono una miriade di tipi, USB, seriali, di varie marche
e con vari driver etc.), oppure metti un PKCS#12 protetto da passphrase se
non vuoi una vera e propria smartcard, che per essere prodotta "in casa"
richiede comunque hardware costoso. Se compri un CNS da una CA accreditata
al CNIPA ti costa meno di 50 euro, e se l'azienda è molto piccola è - a
mio avviso - la soluzione più facile per sistemare il lato client.
Ovviamente bisogna sempre verificare la compatibilità della carta con il
lettore/driver che si usa sul proprio posto di lavoro. Ma a parte questo
(cioè: vedere il certificato ed eventualmente il filesystem della carta,
come nel caso della CIE), il client ha finito di lavorare.

Lato server l'autenticazione SSL è tutt'altro che la solita SSL. Ti
assicuro che ho appena finito di allestire un sistema di proxy che
autenticano via CNS ed è stato un bagno di sangue _sui_proxy_ perché 1)
manca un elenco "ufficiale" di tutte le CA che emettono CNS, 2) manca un
repository delle chiavi pubbliche di tutte le CA (no, quello del CNIPA non
va bene perché contiene i certificatori di _firma_digitale_ e non assicura
nulla circa le CNS), 3) mancano delle URL standard e ben definite per le
CRL: le trovi solo nei CDP all'interno dei certificati stessi (no, OCSP
non va bene perché al momento è praticamente inutilizzato dai grandi
provider, quindi solo HTTP ed LDAP, alla faccia delle "raccomandazioni"
del cnipa). Comunque forza è coraggio: nonostante tutto (con PHP, openssl,
bash, perl, wget, curl e openldap) la cosa si risolve! ;-)

  -- Claudio