Search
Getting social ?
Feed RSSRecent articles
Recent comments
Tag cloud
- admin
- ajax
- amazonec2
- articolo
- as400
- beta
- bleedyellow
- blog
- blogroll
- browser
- clienti
- cloud_computing
- collaboration
- community
- composite_apps
- connections
- daos
- db2
- development
- diary
- domino
- dominodesigner
- dominopoint
- dwa
- eclipse
- english
- expeditor
- ideajam
- ilug2007
- ilug2008
- Java
- linux
- lotus
- lotusknows
- lotusnotes
- lotusphere
- lotussymphony
- lotus_connections
- lotus_foundations
- ls2009
- marketing
- misc
- mytechnotes
- nd85
- notes
- notes_domino
- openntf
- partnerworld
- personal
- perspectives
- photo
- poll
- portal
- portlet
- presentation
- productivity
- quickr
- reference
- sales
- sametime
- secondlife
- security
- sntt
- symphony
- technology
- upgrade beta socialedition domino notes
- webdesign
- websphere
- websphere_portal
- widgets
Archives
- December 2012 (1)
- March 2010 (1)
- January 2010 (1)
- November 2009 (1)
- August 2009 (2)
- March 2009 (1)
- February 2009 (4)
- January 2009 (4)
- December 2008 (3)
- November 2008 (1)
- October 2008 (2)
- September 2008 (2)
- August 2008 (5)
- July 2008 (6)
- June 2008 (9)
- May 2008 (4)
- April 2008 (2)
- March 2008 (10)
- February 2008 (1)
- January 2008 (4)
- December 2007 (1)
- November 2007 (6)
- October 2007 (3)
- September 2007 (14)
- August 2007 (11)
- July 2007 (5)
- June 2007 (6)
- May 2007 (6)
- April 2007 (4)
- March 2007 (3)
- February 2007 (4)
- January 2007 (5)
- December 2006 (2)
- November 2006 (7)
- October 2006 (6)
Da qualche tempo stò lavorando al completamento della messa in sicurezza dei sistemi su cui lavoro per rendere finalmente disponibili anche via internet (extranet) alcuni servizi che ho preparato.
Parlando di Web e di Internet ovviamente si parla di HTTPS e di SSL. I sistemi in questione sono vari e sinteticamente posso dirvi che ci stanno dentro:
- Sito Web
- E-Commerce
- Portal
- Connections
- Quickr
- Sametime
- Altri servizi minori su base domino/php/websphere
Stò parlando quindi di proteggere con HTTPS almeno 7 hostname (in realtà sono di più) e qui nascono i "problemi".
Da un lato potrei generarmi in casa tutti i certificati SSL usando la OTTIMA PKI di Domino server (Public Key Infrastructure) oppure comprare i certificati digitali da un fornitore "serio" tipo Verisign/Geotrust ed altri.
In entrambi i casi ho vantaggi e svantaggi da valutare:
Soluzione 1: Domino based usando la Certificate Authority e i servizi domino
| Vantaggi | Svantaggi |
|
|
Soluzione 2: Compro i certificati da un provider
| Vantaggi | Svantaggi |
|
|
Le possibilità quindi non mancano, da una parte posso risparmiare, avere sicurezza ma devo gestire e spiegare all'utente che deve installare il mio certificato (diventa presto un incubo, e in alcune realtà gli utenti non hanno questi diritti), dall'altra posso avere tutta la comodità per gli utenti ma mi tocca spendere parecchi soldi.
Va inoltre tenuto conto che per avere sicurezza "vera" tutto deve essere protetto. Potrebbe sembrare furbo proteggere solo i servizi principali... ma se su un servizio secondario la form di login non fosse protetta andrei a compromettere tutto il lavoro fatto. Basterebbe che qualcuno compromettesse / intercettasse le form di quel servizio per rendere vano tutto il lavoro di messa in sicurezza.
Ovviamente l'ideale sarebbe quello di avere tutto, certificati digitali firmati da fonti attendibili (costoso) e sicurezza su tutti gli host... (costoso).
Approfondendo bene la cosa ho trovato la soluzione
I certificati digitali per HTTPS sono identificati da un DN (distinguished name) che ha una forma simile alla seguente:
CN=hostname,OU=organization unit,O=organization,C=country
L'hostname identifica l'host protetto dal certificato (infatti se accedete ad un host https e non c'è corrispondenza i browser vi segnalano che si potrebbe trattare di un trucco).
E qui c'è il trucco, all'interno del DN del sito potete usare una wildcard, per es.
CN=*.vistalli.it,OU=labs,O=vistalli.it,C=IT
Con un siffatto certificato potrò proteggere "qualunque" hostname del dominio vistalli.it riducendo drasticamente il numero dei certificati che mi servirà creare o comprare.
In sintesi mi stò apprestando a comprare dei certificati digitali wildcard per l'ambiente da mettere in sicurezza e ad installarli su TUTTI (ricordate che è imporante) i miei serve in modo da avere tutti i vantaggi:
- Costo contenuto (per esempio un certificato wildcard su rapidSSL costa solo 199$ per un anno, una spesa DA FARE).
- Massima flessibilità, con un solo certificato posso proteggere qualunque numero di host e sapendo lavorare con i certificati li posso usare per domino / apache / IHS / websphere
- Massima praticità, i certificati sono creati con delle root già note ai browser e non è necessario installare sui browser degli utenti nessun certificato aggiuntivo.
Detto questo.. buona messa in sicurezza a tutti... fatelo prima che sia troppo tardi.
Ciao,
Daniele
Comments (0)
Daniele Vistalli March 8th, 2008 15:06:42
Buongiorno Daniele e complimenti per il post; nonostante il tempo sia passato resta comunque attuale e molto interessante.
Condividiamo i vantaggi della "Soluzione 2", mentre per quanto concerne gli svantaggi della stessa soluzione non farei rientrare, in molti casi, i costi. I certificati SSL hanno visto i propri costi abbassarsi notevolmente, forse anche per la estrema diffusione di CA che si occupano della loro emissione.
Per quanto riguarda il Wildcard di RapidSSL è possibile acquistarlo a meno di 150€ l'anno.
Il discorso appena fatto è certamente valido per i certificati di "Classe 1" (con approvazione via e-mail) e per alcuni di "Classe 2", mentre quelli di "Classe 3" (con barra verde) continuano ad essere proibitivi per molti anche se offrono servizi aggiuntivi di assoluto valore.
Un cordiale saluto,
Trustico.it