Pierangelo Masarati wrote:
Mauro Sanna wrote:
Pierangelo Masarati wrote:
1) non usare certificati self-signed: sono inutile
Perche'?
Quantomeno mi consentono di impostare una connessione ssl con
traffico cryptato e per una sincronizzazione tra due server interni
in lan penso possa andare bene.
Diverso forse il discorso su internet.
con i certificati self-signed non e' possibile verificare l'identita'
del peer, quindi si e' esposti ad attacchi man-in-the-middle. L'unico
vantaggio e' che la comunicazione e' crittata, ma se non hai garanzie
sull'identita' di colui al quale passi informazioni riservate non puoi
chiamarla sicurezza.
La distinzione intranet/internet mi sembra un argomento poco robusto.
Vale solo se ti fidi ciecamente di chiunque abbia o possa avere
accesso alla intranet (a parte dipendenti disonesti, pensa quanti
consulenti/visitatori accedono ogni giorno alle intranet spesso
violando ogni norma dei protocolli di sicurezza).
Tieni presente che la sicurezza basata sulla fiducia non e' sicurezza
perche' non ti consente di tracciare chi ha fatto cosa. Come nelle
aziende la cui rete e' perfettamente isolata dal resto del mondo, e
poi tutti lavorano con l'utenza di root/administrator.
Ciao, p.
Grazie per la risposta.
Non posso pero' comprare dei certificati solo per poter usare ssl su
alcuni servizi interni.
Mi consigli di mettere su una CA fatta in casa e generare i certificati
con quella CA?
Ciao.
Mauro
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
Gruppo Partners Associates
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Fax: +39 0382 476497
Email: a...@sys-net.it
-----------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
