[gl-como] Certificati SSL

[Luca Tettamanti]

2009/12/20 Carlo Filippetto <carlo.target@tiscali.it>:
> Riciao,
> sempre relativo alle mail di prima, ho server Winzoz, con vari siti sotto
> IIS in asp, il mio progetto in php/mysql ha svariati problemi di
> compatibilità, a partire dalla formula 'redirect' con     header("location:
> http://$sito/$var");, fino a qualche problema che non comprendo!!
> Quindi li obbligo a mettere un server Linux (come da mia richiesta iniziale)
> per avere la massima compatibilità con la mia piattaforma!
>
> Il problema è che il loro IIS ha un certificato della Verisign, ed io sono
> un po ignorante in materia.
> Questo certificato dubito che si possa portare sul mio server... quindi come
> posso fare?
>
> C'è modo di passare tramite IIS reindirizzando ogni richiesta verso il mio
> server, si da usare il certificato corretto?

Ti serve IIS configurato come reverse proxy; la macchina win fa da
frontend e gira la richiesta al backend (la macchina linux). Quello
che chiedi è una configurazione abbastanza standard, spesso (per
volumi di traffico elevati) si mettono del reverse proxy che
gestiscono SSL (scaricando il backend da questo compito).
Ammetto la mia ignoranza su IIS, non so come si configuri (ne se si
possa fare, ma immagino di sì)...

>> Pensavo che potrei anche creare un certificato.. ma (vista la mia ignoranza)
> come si presenta ad un browser?? esce la mascherina "scappate da questo
> sito" o bisogna solo accettarlo e fine?

La prima (che porta alla seconda :P), ma vedi sotto.

> qual'è la reale differrenza fra un
> mio certificato e quello di un ente?

Cambia il livello di "fiducia". I browser contengono una serie di
certificati root considerati affidabili; l'ente che rilascia il
certificato effettua dei controlli sul richiedente (il tipo di
controlli poi varia in base al tipo di certificato - ed al suo
prezzo).

> cosa significa mandare il certificato
> alla CA (certification authority) e che costi/tempi può avere?

Il certificato viene inviato alla CA che - fatti i controlli - appone
la firma (un hash). Risalendo la catena delle firme (e.g. il tuo
certificato che è stato firmato dalla CA di secondo livello CA2, che a
sua volta ha certificato firmato da una CA root) è possibile
verificare ad ogni passo l'integrità dei certificati; una volta
seguita la catena (assumendo che tutti gli hash corrispondano) si
arriva al certificato root - se questo è stato inserito tra quelli che
il browser considera affidabili allora anche il certificato del tuo
sito è considerato affidabile.
In intranet è pratica relativamente comune creare una CA ad hoc per i
servizi interni ed insere questo nuovo certificato root tra quelli
trusted.
I costi: per uso personale sono molto bassi (ci sono anche CA a costo
zero) ed i controlli sono praticamente nulli; non ho idea dei costi
per usi commerciali - ma usando una configurazione come quella
descritta sopra non ti servirà una nuovo certificato :)

L