Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

CA

 
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità
Precedente :: Successivo  
Autore Messaggio
NdK



Registrato: 27/01/10 12:36
Messaggi: 508

MessaggioInviato: Mer Feb 03, 2010 1:54 pm    Oggetto: CA Rispondi citando

Sarebbe molto utile permettere di IMPORTARE i certificati X.509 degli host e degli utenti (oltre alla pubkey della CA esterna che li genera, che potrebbe anche essere un certificatore esterno), così da aumentare NOTEVOLMENTE la sicurezza (attualmente la chiave segreta della CA rimane IN CHIARO sulla macchina più esposta!). O per lo meno tenere la chiave segreta della CA criptata e richiedere la password ad ogni operazione (se poi uno vuole lasciarla non criptata è sufficiente che lasci vuoto il campo della password).
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 508

MessaggioInviato: Mer Nov 02, 2011 10:33 am    Oggetto: Rispondi citando

Altro problema legato alla gestione della CA interna: si dà per scontato che sia una root CA.

Nel mio caso ho una root esterna (tenuta offline) che ha firmato i certificati per le CA intermedie (pure loro offline) che a loro volta generano i certificati rispettivamente per i server e per gli utenti.
I client hanno il certificato della root ca installato, ma la verifica di un certificato server richiede anche il certificato intermedio (quello della CA dei server). Andrebbe aggiunta ad Apache la direttiva
SSLCACertificatePath /etc/apache2/certs/
ed andrebbero messi in quel path i certificati delle CA da considerare affidabili (più i link nel formato richiesto hash-value.n), ma questo può impattare l'autenticazione dei client.

In alternativa si potrebbe usare la direttiva SSLCACertificateFile che permette di specificare la chain-of-trust.

La cosa è particolarmente "sensibile" coi device Android: già è necessario rootarli per poter aggiungere come CA affidabile la root... se poi è da rifare ogni volta che cambia (= viene emesso un nuovo certificato per) una CA intermedia diventa ingestibile...
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 508

MessaggioInviato: Mar Giu 05, 2012 7:38 am    Oggetto: Rispondi citando

Continuo ad aggiungere...

Sarebbe utile includere il supporto per token PKCS#11 (opensc + engine-pkcs11) per poter utilizzare una smartcard (o un crypto token, o perfino un HSM) per conservare alcune delle chiavi (in particolare quella della CA, non quelle delle pagine web a meno che non si usi un HSM: le smartcard sono lente ).

Per il fix del certpath, io ho aggiunto questo script:
Codice:
#!/bin/bash

for ver in ssl nossl shib; do
    sed 's!\( *\)\(SSLCertificateKeyFile.*\)!\1\2\n\1SSLCertificateChainFile /etc/ssl/trusted_CAs.pem!' < /root/kerbynet.cgi/template/cp_as-httpd.$ver > /tmp/cp_as-httpd.$ver
    cp /tmp/cp_as-httpd.$ver /root/kerbynet.cgi/template/cp_as-httpd.$ver
done
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it