Mauro Sanna wrote:
Pierangelo Masarati wrote:
1) non usare certificati self-signed: sono inutile
Perche'?
Quantomeno mi consentono di impostare una connessione ssl con traffico
cryptato e per una sincronizzazione tra due server interni in lan penso
possa andare bene.
Diverso forse il discorso su internet.
con i certificati self-signed non e' possibile verificare l'identita'
del peer, quindi si e' esposti ad attacchi man-in-the-middle. L'unico
vantaggio e' che la comunicazione e' crittata, ma se non hai garanzie
sull'identita' di colui al quale passi informazioni riservate non puoi
chiamarla sicurezza.
La distinzione intranet/internet mi sembra un argomento poco robusto.
Vale solo se ti fidi ciecamente di chiunque abbia o possa avere accesso
alla intranet (a parte dipendenti disonesti, pensa quanti
consulenti/visitatori accedono ogni giorno alle intranet spesso violando
ogni norma dei protocolli di sicurezza).
Tieni presente che la sicurezza basata sulla fiducia non e' sicurezza
perche' non ti consente di tracciare chi ha fatto cosa. Come nelle
aziende la cui rete e' perfettamente isolata dal resto del mondo, e poi
tutti lavorano con l'utenza di root/administrator.
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
Gruppo Partners Associates
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Fax: +39 0382 476497
Email: a...@sys-net.it
-----------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
