I certificati a chiave pubblica sono la base della sicurezza delle comunicazioni online con protocolli come https o, più in generale, TLS.
Benchè a livello di programmazione, gli algoritmi coinvolti e la loro implementazione non siano esattamente lineari, a livello di utilizzo come amministratore di sitema sono relativamente semplici, forse troppo.
Il tutto si basa sulla PKI, ovvero l’infrastruttura a chiave pubblica, che gestisce le chiavi asimmetriche e le catene di autorità per la certificazione delle medesime.
Chi non riesce o non può emettere e rinnovare i certificati SSL in maniera automatica (tipo Let’s Encrypt) deve generare la coppia di chiavi con il software adatto, chiedere la firma della chiave pubblica e installare le chiavi nel software utilizzato, tipicamente un server https.
La procedura per questa operazione varia al variare del software, ma il concetto è quello.
Per lavoro mi trovo ad aver a che fare con dei fornitori di software che dimostrano una palese profonda ignoranza in materia, ma che, al contempo, fanno ampio uso di certificati SSL all’interno del prodotto che gestiscono.
L’esempio più classico è la richiesta che vengano fornite sia la chiave privata sia quella pubblica. Anche se tecnicamente possibile, questo è un notevole buco di sicurezza perchè significa che in qualche modo la chiave privata esiste anche all’esterno del host dove viene utilizzata.
Altro scenario comune è il fornitore che manda il CSR per la firma e quando gli viene restituito il certificato si accorge che ha cancellato il file con la chiave privata. Capita più spesso di quanto si creda. Questo implica che non si comprende per nulla la tecnologia sottostante, ma proprio zero!
Quindi se gestite certificati SSL fatevi un favore e studiate bene cosa siano la crittografia a chiave pubblica, le chiavi asimmetriche, i protocolli di scambio chiavi e la PKI: fate amicizia anche voi con Alice, Bob e Charlie.
Se siete responsabili di gruppi di tecnici che hanno in gestione questa tecnologia, fate studiare i membri del vostro gruppo e non dite «ma se gli insegno qualcosa e poi se ne vanno?» perchè se non gli insegnate nulla e restano è molto peggio.
Lascia un commento