3 581
contributi
Apache, SSL e CaCert.Org: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
rimossa Jessie e Stretch/Sid
(→Link) |
m (rimossa Jessie e Stretch/Sid) |
||
| (4 versioni intermedie di 2 utenti non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | {{Versioni compatibili|Squeeze|Wheezy}} | ||
= Introduzione = | |||
Chi avrà provato ad installare Apache (o Apache2) con supporto SSL si sarà trovato davanti al problema del certificato: come generarlo? Che valore ha? Dove posso ottenere un certificato valido? Esistono soluzioni gratuite? | Chi avrà provato ad installare Apache (o Apache2) con supporto SSL si sarà trovato davanti al problema del certificato: come generarlo? Che valore ha? Dove posso ottenere un certificato valido? Esistono soluzioni gratuite?<br /> | ||
Queste sono le domande normali che si pone un utente, soprattutto guardando i prezzi esorbitanti proposti per l'acquisto di certificati [http://it.wikipedia.org/wiki/Transport_Layer_Security SSL]. | |||
Il vantaggio di avere un certificato firmato da terzi è la possibilità, per chi accede alla nostra risorsa web per la prima volta, di avere certificato il proprio dominio, evitando quindi attacchi Man In the Middle. Altrimenti potremmo benissimo ricorrere ad un certificato autogenerato e non firmato. | |||
==Note sui certificatori SSL== | |||
In questo articolo si fa riferimento esplicito a '''CaCert.org'''. Trattasi di una associazione che certifica, sullo stile di GPG, sul principio di [http://it.wikipedia.org/wiki/Web_of_trust Web of Trust].<br /> | |||
Pur non essendo necessario il riconoscimento per usare i servizi di CaCert questo è consigliato per usufruire di alcuni vantaggi (quali ad esempio la durata del certificato). Il principale problema di cui soffre ''CaCert'' è il fatto di non essere globalmente riconosciuto ed essere presente quindi solo in alcune distibuzioni, tra cui Debian. Questo significa che chi accede da altri sistemi operativi probabilmente non sarà in grado di verificare tramite l'ente certificatore l'autenticità del certificato, proprio siccome non dispone del certificato di CaCert all'interno del proprio browser. | |||
Al momento l'unica soluzione gratuita riscontrata e presente su tutti i browser e sistemi operativi è l'offerta di [https://www.startssl.com/?app=1 StartSSL free], ma sarei ben felice di conoscerne di altre. | |||
Molti certificatori SSL offrono soluzioni a costi sostenuti anche perché allegano al servizio polize assicurative sulla sicurezza offerta dal proprio certificato. | |||
== Generazione del certificato == | == Generazione del certificato == | ||
| Riga 89: | Riga 98: | ||
In tal caso occorre creare una chiave più robusta con il comando : | In tal caso occorre creare una chiave più robusta con il comando : | ||
<pre># openssl req -nodes -newkey rsa:4096 -keyout dominio .it.key -out dominio .it.csr</pre> | <pre># openssl req -nodes -newkey rsa:4096 -keyout dominio.it.key -out dominio.it.csr</pre> | ||
Il valore 4096 può essere modificato a piacere a partire da 2048 secondo gli attuali standard. | Il valore 4096 può essere modificato a piacere a partire da 2048 secondo gli attuali standard. | ||
<pre>Generating a 4096 bit RSA private key | <pre>Generating a 4096 bit RSA private key | ||
| Riga 269: | Riga 278: | ||
{{Autori | {{Autori | ||
|Autore =[[Utente: MaXeR|MaXeR]] | |Autore =[[Utente: MaXeR|MaXeR]] | ||
|Estesa_da = | |Estesa_da = | ||
|Verificata_da = risca 21:26, 11 apr 2014 (CEST) | : risca 18:56, 20 apr 2014 (CEST) | ||
|Numero_revisori = | |Verificata_da = | ||
: mm-barabba | |||
: risca 21:26, 11 apr 2014 (CEST) | |||
|Numero_revisori = 2 | |||
}} | }} | ||
[[Categoria:Web server]] | [[Categoria:Web server]] | ||
[[Categoria:Crittografia]] | [[Categoria:Crittografia]] | ||