[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Giugno 2006 ml@sikurezza.org
Soggetto: Re:[ml] Apache e SSLCertificateChainFile
Mittente: mazzilli_l@xxxxxxxxx
Data: Tue, 20 Jun 2006 09:30:09 +0200 (CEST)
Ciao

> nel mio apache ho 3 virtualhsot con 3 certificati di 3 CA distinte. [...]
> E' giusto avere un unico SSLCertificateChainFile globale o bisogna metterli
> per VirtualHost?

Se le CA sono distinte dovresti configurare una chain per certificato, e quindi per virtualhost.

> Se è sbagliato come mai va per i browser?

E' un discorso leggermetnte articolato. Presumo nel ragionamento la conoscenza di base di SSL e compagnia bella.

Allora, ogni produttore di browser popola la sua lista di trusted certification authorities a discrezione. Non solo, ad esempio MS IE ha anche una sezione (lista) per le intermediate certification authorities, quelle CA intermedie i cui certificati pubblici compaiono nella chain tra il certificato a te rilasciato e il certificato della ROOT certification authority.

Il controllo avviene in questo modo:
1. se il tuo certificato è rilasciato (o è firmato) da una ROOT certification authority allora di solito non ci sono problemi in quanto tutti i browser conoscono (hanno nella lista) le chiavi pubbliche delle root CA.
2. se il tuo certificato è rilasciato (o è firmato) da una CA intermedia allora o il browser ha nella lista la CA intermedia o chiede al (tuo) server chi è (chiede il certificato pubblico di) questa CA intermedia.

Nel tuo caso in particolare succede che il tuo server ha delle informazioni sbagliate (chain a livello globale), dunque a chi ha già l'informazione va bene, a chi la chiede al server va male.

Spero di aver reso l'idea.
Ciao,
Lorenzo






[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005