curiosità: certificati digitali

**javajunior** · 19-06-2008, 16:45

ciao,

mi sono chiesto:

quando vado in un sito a volte mi chiede di installare il certificato rilasciato da ....

questo certificato che mi viene chiesto di installare a cosa serve in termini pratici?

non attesta in nessun modo l'identità mia quindi a cosa può servire?

per esempio quando vado sul sito dell'agenzia delle entrate salta fuori il messaggio che chiede se voglio installare il certificato da xxx.agenziaentrate.gov.it

Dicendo si l'ho installato ma a cosa serve praticamente?

Se dovesse succedere su un sito sospetto sarebbe pericoloso a livello di sicurezza?

Grazie

**emmebì** · 19-06-2008, 17:37

Se il browser non riconosce da solo il certificato presentato dal sito Web, quel sito non è sicuro.

A meno che non richieda che nel browser sia installato CA certificate apposito.
Ma direi che in tal caso devi conoscere "personalmente" la persona che ti consegna "fisicamente" il certificato della CA.

**javajunior** · 19-06-2008, 22:58

il browser lo riceve ma capita che sia rilasciato da enti non CA.
è normale he i servizi di webmail delle aziende richiedano l'installazione di un certificato che però non hanno fatto validare.

io mi chiedo che utilità abbia se tanto il certificato non dimostra in nessun modo chi sei.

Forse è utile per certificare che il sito visitato è proprio quel sito?

Grazie

**Habanero** · 19-06-2008, 23:18

Il certificato viene usato nelle connessioni SSL e ha due scopi:

1) dimostrare l'identità del sito che si sta contattando
2) trasportare la chiave pubblica del sito necessaria per proteggere lo scambio della session key usata per criptare la connessione

Se il certificato non è firmato da una CA ovviamente si ottiene solo il punto 2. La risposta alla tua domanda quindi è: per creare un canale criptato col server, indipendentemente dal fatto che la sua identità sia verificata o meno.

**emmebì** · 20-06-2008, 10:40

Non sono d'accordissimo, in quanto è senz'altro vero ciò che dice Habanero (come sempre), ma secondo me la risposta più corretta è:

creare un canale criptato con chiunque ti presenti quel certificato non validato, cioè non è nemmeno certo, in questo caso, che il browser comunichi con un server Web: potrebbe comunicare direttamente con un crackone in LAN che presenta un proxy-sniffante!

**Habanero** · 20-06-2008, 11:16

Davo per scontato che se l'identità non può essere verificata il nostro interlocutore può essere proprio chiunque... e ovviamente in quel chiunque ricade anche un eventuale MITM effettuato nella lan o da un proxy esterno.

**emmebì** · 20-06-2008, 11:26

So che lo davi per scontato (si capiva), solo volevo sottolineare che senza un riconoscimento "automatico" del certificato da parte del browser, l'end point remoto (per lo meno quello verso cui viene fatto il tunneling) potrebbe non essere nemmeno un server Web (come scrivevi), ma un proxy!

Tutto qui... sottile differenza...

**javajunior** · 20-06-2008, 18:22

grazie! avete risposto alla mia domanda, anzi siete andati oltre

thx

Discussione: curiosità: certificati digitali

Strumenti discussione

Ricerca discussione

Visualizza

curiosità: certificati digitali

Permessi di invio