[e-privacy] Fidarsi dei certificati SSL
Ermanno Baschiera
ebaschiera at gmail.com
Sat Jun 14 13:57:41 CEST 2008
Ciao,
credo che sia più importante vedere DA CHI è stato rilasciato il
certificato. Perché i certificati "commerciali" vengono rilasciati da
delle certification authority (ad es. VeriSign) ai soggetti che ne
fanno richiesta (e pagano). Il rilascio del certificato implica che la
C.A. abbia verificato l'identità del richiedente. Questa struttura
gerarchica permette ad un utente di accertare l'autenticità di un
sito.
A livelli più "amatoriali", dove non è possibile permettersi un
certificato di una CA, si usano certificati self-signed, cioè "fatti
in casa". Questi chiaramente non hanno un valore di fiducia, ma
rimangono utili per instaurare una connessione SSL (meglio di niente).
Per quanto riguarda gli esempi che hai citato:
- non rappresenta una garanzia di autenticità del sito. Però permette
una connessione in https.
- stesso discorso. Anche se scaduto è ancora buono per instaurare un
canale protetto.
- idem.
Ho avuto queste informazioni seguendo il corso di Commercio
Elettronico nella mia università... In particolare qui
http://commercio-08.wetpaint.com/page/Materiali puoi trovare le slides
("crittografia" e "pki").
-ermanno
Il 14 giugno 2008 13.39, Sanata <sanata at paranoici.org> ha scritto:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Vorrei fare una domanda niubba ma alla quale sento di non avere mai una
> risposta completa.
>
> Come si fa, generalmente, a capire bene quando fidarsi dei certificati
> SSL e quando no?
>
> Mi riferisco, tanto per intenderci, a quando aprite una pagina https e
> vi appare la nota finestrella "accettare il certificato etc etc ?".
>
> Chiaramente si puo' andare su "esamina certificato", ma con che metro di
> giudizio le informazioni ivi contenute rappresentano una garanzia?
>
> Esempio: se vado su www.pirla.it e la dicitura in "esamina certificato"
> e': "rilasciato a: www.pirla.it", cio' RAPPRESENTA una garanzia? Cioe'
> quanto conta l'indirizzo DNS del proprietario del certificato?
>
> Altri esempi, quando capita una cosa di questo tipo (che accade anche
> per il mirror del PWS): "il sito usa un certificato scaduto il..."
>
> Oppure: "il sito www.pirla.it usa un certificato, che pero' e' stato
> rilasciato a vero.pirla.it" o cose analoghe.
>
> Come comportarsi in questi casi?
>
> - --
> +---------------------------------------------------------------------+
> | Sanata <sanata at paranoici.org> |
> |GnuPG fingerprint: 1E6A 462A 27D0 E9A4 239D 19BC C301 C2EA 224F 5BC4 |
> | (RSA/RMD 4096/160 ID: 0x224F5BC4 - ELG/AES 4096/256 ID: 0xB0DD2B35) |
> +---------------------------------------------------------------------+
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iQIVAwUBSFOt5cMBwuoiT1vEAQK+wg/+PMKq2mj+hqVTksUlkzzBmXxm/c8jLBVn
> dz8wbtkq7fxRh7gxXRoFARfyPDxNacOVsS76Wn5mdiqrwND3YLwErUZQS7pdMc1A
> Pv48CLILp61mzIxkhNQCMbElsVuziGIVzwwEkJ5Hcb9X9XGE9ITCQ/eLQ7tDeY7/
> P+lTigPNARAcaZNtq1aYiWdQEn4FN4YUdLFl6qpgFWbPDh30Fs/ZOHJivzKNlMdT
> n5Zu+paiBrYXlLu/T+y+5L39NXwLthQ4FTmfaMUK2hFNn9EtYbxt+8FXa+BOQzBs
> o3bsnuE4PSpm/oMxsp4+zX0O3xXgUT6e04sJcSAJ2FT1Jp3Mo9T55MiSL2tVpTa1
> gBc7wXFW+RSlcvEiOdRuILS3SMeyAuQRhSv6AtpeuPJ0D+jnej1TVuSrFTR1ShnU
> HnO74E7+NrTTaf+3haKdsioZk9amtx+5xDpWvtDAWTEfnifSLatx5+4xEh5x0idj
> +j+WZXoc+V4hLAwfaDHdfz/UFi54vK0G5k9xEezGwHZ9uejcnEs8LC86PEQCi+tw
> 4ptowa6vfLN6N4QHATV5GTpfq7ZibB/QVpeE+Iq6Bf+E+5l8NMwKuLf3aZzI9PJj
> uNwJ/4ufQ6eLpVaHx70hslv4AhC8e7nm5TpWsjeI2nnBywiz/q8RapRS9Ehsy9lr
> dgePKPKhmdU=
> =NC2n
> -----END PGP SIGNATURE-----
> _______________________________________________
> e-privacy mailing list
> e-privacy at firenze.linux.it
> https://lists.firenze.linux.it/mailman/listinfo/e-privacy
>
More information about the E-privacy
mailing list