Server, SSL e ecommerce

[mircov]

Ciao a tutti. Premetto che siccome l'argomento è abbastanza trasversale rispetto alle varie sezioni del forum ho postato qui perchè il punto fondamental è la sicurezza. Qualora vessi sbagliato prego i mods di spostare la discussione.

Andando al punto vorrei parlare di SSL e certificati e di quanto questi siano veramente importanti per un ecommerce.

Comincio a dirvi subito cosa ho capito leggendo un po' di materiale in rete.

1) Assunti
1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente
1.2) Per avere un certificato ci si rivolge ad una certification authority
1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)
1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

Queste affermazioni sono vere? C'è bisogno di qualche correzione?

Continuo...

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:
2.1) La certification authority che ha emesso il certificato
2.2) Il tipo di cifratura utilizzato
2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

Rispetto alla 2.2: serve almeno un livello pari a 128bit

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

Spero di essere stato chiaro ma soprattutto spero che qualcuno possa chirirmi gli eventuali errori o imprecisioni perchè a ben vedere è molto più complicato che scegliere il piano di hosting (argomento anch'esso di per se non proprio chiarissimo a chi ci si avvicina per la prima volta!).

Grazie mille a tutti, ciao!

[Habanero]

1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente

Non è proprio esatto. Il browser deve possedere il certificato dell'authority che ha firmato (e quindi emesso) il tuo certificato. Tutti i browser contengono i cerficati relativi alle più diffuse Certification Authority (CA).

Sono possibili altre situazioni in cui è invece il server che deve identificare in modo sicuro il client (non è il caso dell'ecommerce)... in questo caso un certificato può essere installato sul client.

1.2) Per avere un certificato ci si rivolge ad una certification authority

Per averne uno che abbia valore e che sia utilizzabile nel mondo reale, sì.
E' ovviamente possibile crearsi il proprio certificato "in casa" e "autofirmarlo". Ovviamente non avrà valore per quanto riguarda la verifica dell'identità del server ma servirà unicamente per creare un canale criptato tra il client e il server. I browser inoltre avvertiranno l'utente dato che la CA risuterà sconosciuta.

1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)

Non è del tutto vero.
Per quanto riguarda la robustezza del canale criptato il certificato indica i requisiti minimi che il canale criptato deve possedere. Se indica una codifica minima a 128 bit non posso usarne una a 40bit. Questo dipende dalla lunghezza della chiave inclusa nel certificato.
Per quanto riguarda la certificazione dell'identità del server esistono particolari certificati denominati Extended Validation (EV) per i quali, in fase di emissione, la CA prende particolari misure di sicurezza per verificare l'identità del richiedente.

1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:
2.1) La certification authority che ha emesso il certificato
2.2) Il tipo di cifratura utilizzato
2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

e probabilmente anche se è un certificato EV.

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

Rispetto alla 2.2: serve almeno un livello pari a 128bit

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

In linea di massima direi di sì

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

Sì, e spesso è la soluzione preferibile perchè ci si appoggia a società che fanno solo quello (ce ne sono svariate)... e che quindi si spera facciano bene il proprio lavoro.

Aggiungo inoltre che, se si gestisce in proprio tutta la trafila di pagamento, è abbstanza inutile avere una transazione sicura se la struttura che sta dietro (in particolare il back end) non è sicura... insomma non ci si può nascondere dietro ad una connessione sicura e non curare la sicurezza dagli accessi al database in cui i dati inviati vengono memorizzati etc...

[mircov]

In primo luogo grazie della risposta, mi accorgo che è un argomento non solo delicato ma anche complesso e ricco di sfaccettature.
Abuso un po' della tua disponibilità e ti faccio altre domande

1) C'è differenza tra "Certificato dell'authority" (quello che dici deve possedere il browser) e "certificato che l'authority rilascia a me"?

2) La funzione del ssl, quindi, è anche quella di verificare l'dentità del server per il quale è stato emesso il certificato (per questo serve un indirizzo IP?). Per la verifica dell'identità è necessario che il certificato sia EV o no?

3) Non c'è una risorsa che spieghi tutte le sfaccettature del ssl? Non mi interessa tanto capire a livello tecnico come funziona (tipo protocolli di comunicazione o di cifratura) quanto capire i vari tipi di certificati, le funzioni che svolgono, ecc.

Ancora grazie, ciao!

[Habanero]

Lo scopo di SSL, tramite l'uso di protocolli di cifratura e dei certificati, è:

A) Certificare l'identità dalla società a cui è stato rilasciato e certificare l'identità del server
B) Creare un canale criptato col server


Quando abiliti un sito all'uso di SSL, oltre alle necessarie impostazioni del webserver, è necessario installare su di esso la chiave privata che ti viene rilasciata dalla CA assieme al certificato.

Quando un client si collega al server tramite https, per prima cosa riceve il certificato del sito che al suo interno contiene:

* Il nome della società a cui è stato rilasciato il certificato
* Il Common Name che contiene il nome del dominio per il quale il certificato è valido
* Il periodo di validità del certificato
* Il nome della Certification Authority che ha rilasciato il certificato
* La chiave pubblica associata a quella privata installata sul server. Tale chiave pubblica è firmata digitalmente dalla CA

Il browser deve quindi verificare che i dati contenuti nel certificato siano validi.

Do per assodato che tu abbia qualche base di crittografia, in caso contrario fammelo sapere cosicchè possa indicarti qualche fonte dove documentarti.

Essendo la chiave pubblica firmata dalla CA che l'ha rilasciato, il browser può verificarne l'autenticità a patto di possedere la chiave pubblica della CA stessa... cioè a patto di possedere il certificato della CA. Ecco perchè un browser può verificare il certificato di un sito solo se già possiede il certificato dell'authority. Tutti i browser possiedono i certificati delle più diffuse authority. In caso contrario possono essere installati manualmente. Tieni conto che quando si installa il certificato di una nuova CA si ritiene che essa sia fidata.


Per verificare l'identità del server non è necessario che il certificato sia EV. Tale verifica fa parte della procedura standard. Un certificato EV fornisce ulteriori garanzie sull'identità della società in aggiunta a quelle base. In tal caso il richiedente deve fornire una precisa e completa documentazione che provi la sua identità e il legame che lega la società al server in questione. Penso sia soprattuto una verifica a livello legale.
I certificati EV dovrebbero servire soprattutto per sventare tentativi di Phishing.

Ulteriori info:
http://en.wikipedia.org/wiki/Extende...on_Certificate
http://cabforum.org/EV_Certificate_Guidelines.pdf
http://en.wikipedia.org/wiki/X.509

Per quanto riguarda l'IP dedicato... sinceramente non so risponderti. Che sappia non è necessario ma potrei sbagliare... dove hai letto questa cosa?

[mircov]

Giusto per non lasciarti appeso visto che sei stato così gentile ti rispondo un momento ora. Mi hai dato tantissime informazioni, mi hai fornito materiale ed ora ho bisogno di un po' di tempo per riorganizzare le idee.

Per quanto riguarda l'IP dedicato onestamente non mi ricordo dove l'ho letto, ma cercherò di nuovo quell'informazione.

Per il resto grazie mille, appena avrò individuato i nuovi dubb che sicuramente mi verranno tornerò a chiedere

Grazie ancora, sei stato veramente molto disponibile, ciao!

[mircov]

Eccomi di nuovo qui. Piccolo qggiornamento per quanto riguarda l'IP dedicato. Stasera mi sono messo su Google e ho fatto una veloce ricerca: http://translate.google.it/translate...link&resnum=11

Se leggi il primo risultato (a èparte il fatto che Google ha messo sta nuova funzione di traduzione al volo che non avevo mai visto ma che è veramente comoda!) si accenna all'IP dedicato ed associandolo al SSL.

Magari se gli dai uno sguardo riesci a capire meglio di me che vogliono dire.

Ragionandoci così, però, il ragonamento che mi sono fatto è che servendo il certificato anche ad identificare il server come può identificarlo se non attraverso l'indirizzo IP? E se ho un mio certificato che funziona solo con me ma poi ho un indirizzo IP condiviso non si crea un po' di confusione?

[Habanero]

La risposta la trovi qui:
http://forums.digitalpoint.com/showpost.php?p=9130293

In pratica... sui server con siti che condividono l'IP non può essere fatto un reverse name lookup tramite DNS... cioè dall'IP non posso risalire al nome del sito perchè a quell'IP corrispondono più siti.
Quando usiamo l'usuale protocollo http, una volta che il client ha stabilito la connessione TCP sull'ip del server, il webserver cerca tra gli header http la variabile Host e in base a questa discrimina quale dei vari virtual host il client intende caricare.

Il problema è che usando HTTPS la negoziazione di SSL avviene prima della lettura degli header... SSL sta su uno strato OSI inferiore al livello 7 su cui risiede HTTP. SSL quindi non può leggere la variabile Host e deve necessariamente affidarsi ad un reverse name lookup sui DNS. Deve quindi esistere una relazione uno a uno tra ip e nome di dominio.

Spero di essere stato sufficientemente chiaro.

[mircov]

Ecco perchè sui server condivisi SSl viene attivato su subdomain del tipo nomesito.serversicuro.it o cose del genere. Usano un certgificato wildcard, creano un dominio di terzo livello con il nome del sito e ti forniscono il SSL.
Però, ovviamente, in questo caso il nome del certificato conterrà il nome dell'hoster come titolare del certificato e non quello del proprietario del dominio. Ho capito bene?

[Habanero]

penso che sia proprio così...

[mircov]

Mi ero perso la prima parte ma oggi mi è arrivata la newsletter con la seconda. Ecco il link. Non l'ho letto ma credo sia molto utile:

http://www.pmi.it/sicurezza/articoli...tita---ii.html