|
Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché
non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. In teoria SSL/TLS over http (quindi HTTPS) può essere usato in due modi: ·
Solo crittografia della comunicazione tra client e server web ·
Autenticazione del client più crittografia della comunicazione con il server web Per evitare che regni l’anarchia, i certificati “ufficiali” sono rilasciati da delle autorità di certificazione note e inserite nel “truststore” dei browser web.
Questo per evitare che chiunque, con openssl, possa creare un certificato fasullo di un sito noto e lo usi per truffare la gente (ad esempio con DNS poisoning). Quindi sì, oltre alla crittografia il certificato SSL, rilasciato da una Certification Authority
nota e “trustata”, garantisce che il server è chi dice di essere. Nulla vieta, comunque, per cose fatte in casa, di autogenerarsi un certificato con OpenSSL e inserirlo nella configurazione del webserver (vedi il certificato
snakeoil presente in Debian). Avrai dei warning da parte del browser di certificato rilasciato da fonte non autorevole, che ignorerai bellamente. Al limite puoi “trustare” nel tuo browser la Certification Authority casalinga che rilascia il certificato autogenerato,
evitando il warning di sicurezza. Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P Saluti da Lorenzo |