R: <no subject>

[Berlen, Oronzo (Olivettiricerca)]

i mei commenti seguono

Oronzo Berlen
Olivetti Ricerca SCpA (Getronics Group)

> -----Messaggio originale-----
> Da: Stefano Biella [SMTP:sbi...@vnet.it]
> Inviato: martedì 4 luglio 2000 22.08
> A: Alessandro Falasca
> Cc: it-comp-sicu...@moderators.news.nic.it
> Oggetto: Re: <no subject>
>
>
> Alessandro Falasca wrote:
> >
> > Qualcuno sa dirmi quale è il formato dei file CRT e CER?
> > devo provare a generare un gertificato, ho tutte lòe informazioni
> relative
> > allo standard X.509, ma vorrei sapere come formattarle!
> > Grazie anticipatamente Alessandro.
>
> Purtroppo non puoi generare un certificato semplicemente "formattando" i
> dati di un certificato.
> Se vuoi un certificato per un server web, questa è la strada da seguire:
>
> Per prima cosa ti serve un software apposito, ad esempio per sistemi
> unix OpenSSL (www.openssl.org) che ti consenta di generare una Richiesta
> di Certificato. Devi poi inviare questa richiesta ad una Certification
> Autority che provvederà a firmare questa tua richiesta con la loro
> chiave, questo è il vero certificato che potrai utilizzare per il tuo
> server web.
> Se vuoi fare delle prove puoi anche firmarti da solo il certificato
> (fingi di essere una CA), ma il tuo browser ti avviserà dicendoti che la
> CA utilizzata non è riconosciuta.
>
> Il software è necessario perchè le varie richieste ed i certificati sono
> sempre firmati/criptati con un apposito algoritmo. OpenSSL è gratuito,
> ci sono altre soluzioni commerciali per Unix e credo che ci siano anche
> soluzioni Microsoft, probabbilmente all'interno di IIS per NT/2000, ma
> ignoro il loro costo.
[Berlen, Oronzo (Olivettiricerca)]
In Windows NT 4.0 con Windows NT Option Pack c'è una CA che è un
giocattolo, ma che consente di generare certificati di vario tipo tra cui
SSL sia Web Server che client, ed S/MIME. Questa soluzione dovrebbe essere a
costo 0 (previa licenza NT Server ed IIS adeguata).

In Windows 2000 c'è invece una CA più adatta ad utilizzi corporate
Internet/Intranet, molto integrata in Windows 2000 stesso, che può generare
certificati sia SSL, S/MIME, IPSEC, ecc., abilitando tra l'altro anche la
funzione di cifratura dei file di Windows 2000 o il log-on al sistema
operativo integrato con smart-card su cui c'è chiave privata e certificato.
E' installabile in versione stand-alone o enterprise (integrata con
active directory). Non è però comunque adatta a soluzioni compliat con la
legge sulla firma elettronica o per cose multi piattaforma, anche se è
integrabile in gerarchie di CA non solo MS.

Su Unix comparabile a quella Microsoft, c'è la soluzione Netscape
iPlanet Certificate Manager (che comunque va anche su Windows NT).

Per soluzioni di fascia alta con esigenze di alti volumi, supporto
di piattaforme eterogenee, compliance AIPA (comunque da realizzare su base
progettuale), ecc. le soluzioni sono altre come ad esempio Baltimore
Unicert, GTE Cybertrust (ora acquisita da Baltimore), Entrust, e iD2.

> Le CA forniscono vari certificati con prezzi che variano a seconda
> dell'utilizzo che se ne vuole fare, un certificato per S/Mime (e-mail)
> dovrebbe essere gratuito oppure costare pochi dollari, mentre un
> certificato a 128 bit per un server web costa, circa, sui mille dollari
> annui.
[Berlen, Oronzo (Olivettiricerca)] Un certificato emesso da una CA
commerciale, comunque ha solitamente un costo, indipendentemente dal numero
di bit della chiave (solitamente RSA 512 o 1024, non 128 bit che è invece la
lunghezza delle chiavi simmetriche), a meno che non sia uno strumento di
pura demo.

> bye,
> Stefano
>
> --
> -----------------------------------------------------
> Stefano Biella http://vnet.it/biella/
> PGP Key Available at: http://vnet.it/biella/pgp.html
> -----------------------------------------------------
>
>