Re: apache ssl

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: apache ssl
From: Gianfranco Costamagna <costamagnagianfranco@yahoo.it>
Date: Fri, 10 May 2013 13:40:04 +0100 (BST)
Message-id: <[🔎] 1368189604.43932.YahooMailNeo@web172701.mail.ir2.yahoo.com>
Reply-to: Gianfranco Costamagna <costamagnagianfranco@yahoo.it>
In-reply-to: <[🔎] 9D72CACC-D698-4F51-9369-DD3F05C04042@majaglug.net>
References: <[🔎] 201305091640.31852.debitvaio@fuckaround.org> <[🔎] 4B4F2132-5903-4B99-847C-27ECCFC69D08@majaglug.net> <[🔎] 201305101428.51902.debitvaio@fuckaround.org> <[🔎] 9D72CACC-D698-4F51-9369-DD3F05C04042@majaglug.net>

 -----

> Da: mauro <mauro@majaglug.net>
> A: debian-italian <debian-italian@lists.debian.org>
> Cc: 
> Inviato: Venerdì 10 Maggio 2013 14:33
> Oggetto: Re: apache ssl
> 
> 
> Il giorno 10/mag/2013, alle ore 14:28, Pol Hallen 
> <debitvaio@fuckaround.org> ha scritto:
> 
>>  Consiglio: è meglio creare chiavi diverse per ogni servizio (apache, 
> postfix, 
>>  courier, ecc) o una unica è sufficiente?
> 
> bella domanda:
> non ho una risposta valida universalmente.
> io ho preferito creare chiavi diverse in base ai servizi, ma e' probabile 
> pure che ci sara' tanta gente che ha generato una sola chiave e ci ha 
> configurato tutto.
> 

Dico una cosa stupida e banale, ma le soluzioni di sicurezza sono SEMPRE e intendo SEMPRE un trade off tra semplicità di gestione e mille altre cose.
Se ci fosse una soluzione "sicura" universale, e non avesse difetti le altre sarebbero già morte e sepolte da un po' :)

Purtroppo ogni caso ha bisogno di una customizzazione particolare, per trovare la soluzione "migliore" per quel caso.

Ad esempio, tutti i servizi sono gestiti da te sullo stesso server?

Immaginati di dare servizi in gestione ad altre persone, non sarebbe carino dargli la chiave privata, quindi sarebbe meglio generare una chiave per servizio.

Averne una sola è però un single point of failure, se la perdi o se te la rubano sei compromesso su tutto il server e tutti i servizi.

Ci sono N altre considerazioni da fare, che dipendono dal tipo di sistema che hai in mente o che hai adesso.

Di sicuro non c'è una risposta "universale"

Ciao


Gianfranco, che spera di non aver confuso ancora di più le cose :)
> 
> 
> --
> Per REVOCARE l'iscrizione alla lista, inviare un email a
> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
> problemi inviare un email in INGLESE a listmaster@lists.debian.org
> 
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
> listmaster@lists.debian.org
> Archive: 
> [🔎] 9D72CACC-D698-4F51-9369-DD3F05C04042@majaglug.net">http://lists.debian.org/[🔎] 9D72CACC-D698-4F51-9369-DD3F05C04042@majaglug.net
>

Reply to:

References:
- apache ssl
  - From: Pol Hallen <debitvaio@fuckaround.org>
- Re: apache ssl
  - From: mauro <mauro@majaglug.net>
- Re: apache ssl
  - From: Pol Hallen <debitvaio@fuckaround.org>
- Re: apache ssl
  - From: mauro <mauro@majaglug.net>

Prev by Date: Re: apache ssl
Next by Date: Re: apache ssl
Previous by thread: Re: apache ssl
Next by thread: Re: apache ssl
Index(es):
- Date
- Thread