Mauro Sanna wrote:
Pierangelo Masarati wrote:
Mauro Sanna wrote:
Pierangelo Masarati wrote:
1) non usare certificati self-signed: sono inutile
Perche'?
Quantomeno mi consentono di impostare una connessione ssl con
traffico cryptato e per una sincronizzazione tra due server interni
in lan penso possa andare bene.
Diverso forse il discorso su internet.
con i certificati self-signed non e' possibile verificare l'identita'
del peer, quindi si e' esposti ad attacchi man-in-the-middle. L'unico
vantaggio e' che la comunicazione e' crittata, ma se non hai garanzie
sull'identita' di colui al quale passi informazioni riservate non puoi
chiamarla sicurezza.
La distinzione intranet/internet mi sembra un argomento poco robusto.
Vale solo se ti fidi ciecamente di chiunque abbia o possa avere
accesso alla intranet (a parte dipendenti disonesti, pensa quanti
consulenti/visitatori accedono ogni giorno alle intranet spesso
violando ogni norma dei protocolli di sicurezza).
Tieni presente che la sicurezza basata sulla fiducia non e' sicurezza
perche' non ti consente di tracciare chi ha fatto cosa. Come nelle
aziende la cui rete e' perfettamente isolata dal resto del mondo, e
poi tutti lavorano con l'utenza di root/administrator.
Ciao, p.
Grazie per la risposta.
Non posso pero' comprare dei certificati solo per poter usare ssl su
alcuni servizi interni.
Mi consigli di mettere su una CA fatta in casa e generare i certificati
con quella CA?
Si. Il concetto di CA e' che i certificati possono essere verificati
prima di essere accettati come validi. La verifica di un certificato
richiede di possedere il certificato della CA. L'unico vantaggio di
comprare certificati da CA riconosciute e' che gli altri possono
verificarli, se posseggono quello della CA. Se questo non ti serve, va
benissimo farti la tua CA. Ovviamente ogni applicazione che deve
verificare il certificato (slapd, LDAP clients, ...) deve poter accedere
ad una copia del certificato della CA (TLSCACertificateFile o
TLSCACertificatePath in slapd.conf, TLS_CACERT o TLS_CACERTDIR in
ldap.conf). Inoltre, questa copia deve essere "certa", ovvero chi
configura l'applicazione deve essersela procurata in modo sicuro.
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
Gruppo Partners Associates
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Fax: +39 0382 476497
Email: a...@sys-net.it
-----------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
