Certificato valido per HTTPS

[lelmarir]

Salve a tutti,
E' parecchio tempo che creo e modifico siti in php, ma per mia fortuna o sfortuna non ho mai avuto a che fare con HTTPS.

Attualmente sto lavorando su OpenWRT, con il web server uHttpd, ma non ha nulla di particolare, lo stesso problema lo avrei con apache o qualunque altro server.

Non ho la piu pallida idea di come ottenere un certificato valido...
Al momento usando questi comandi ho generato una chiave e un certificato:

codice:

openssl req -newkey rsa:2048 -new > cert.csr
openssl x509 -in cert.csr -out cert.pem -req -signkey privkey.pem -days 365

--converto chiave e certificato
openssl rsa -in privkey.pem -outform DER -out uhttpd.key
openssl x509 -in cert.pem -outform DER -out uhttpd.crt

ma da quel che ho capito in questo modo me lo sono auto-firmato, e il browser di conseguenza dice che non e' attendibile.

Come devo fare per farlo diventare attendibile? (in modo che non compaia piu la bruttissima schermata che fa sembrare il mio sito un qualcosa di losco)

ps. devo dire subito che se c'e' da pagare qualcosa a qualcuno per ottenere un certificato lascio perdere tutto e va benissimo il mio certificato auto-firmato. Si tratta di un progetto "a tempo perso", senza scopo di lucro e senza budget, quindi qualunque spesa e' da evitare.

pps. Si tratta di un hotspot gratuito, e l'ssl mi serve per poter trasmettere username e password in sicurezza.

[las]

Originariamente inviato da lelmarir
ps. devo dire subito che se c'e' da pagare qualcosa a qualcuno per ottenere un certificato lascio perdere tutto e va benissimo il mio certificato auto-firmato. Si tratta di un progetto "a tempo perso", senza scopo di lucro e senza budget, quindi qualunque spesa e' da evitare.

allora lascia perdere e usa il tuo certificato autofirmato .... perchè non puoi averne uno attendibile a meno che non lo paghi a un ente accreditato.

in pratica i Browser hanno un elenco di C.A. (autorità di certificazione) e quando trovano un certificato firmato da queste lo fanno passare tranquillo, se ne trovano uno firmato da altri danno quella pagina terroristica che sembra preludere alla fine del mondo se l'utente osasse andare avanti.

Per evitare quella pagina quindi hai 2 scelte, o compri un certificato firmata da una C.A. già nota ai browser, oppure comunichi ai tuoi utenti di accreditarti nel loro browser come C.A. attendibile e da quel momento non vedranno più la pagina maledetta .... ovviamnete la seconda opzione prevede che l'utente abbia un minimo di dimestichezza con l'informatica .... altrimenti sei fregato.

[lelmarir]

ok, ti ringrazio, mi sa che semplicemente prima di mandare l'utente alla pagina terroristica lo avviso che va tutto bene, e magari spego anche i motivi...

e' una cosa assurda che per rendere una pagina sicura debba pagare... dovrebbe piuttosto essere un servizio gratuito... speriamo che google prima o poi decida di diventare un certificatore.

[Dascos]

Originariamente inviato da lelmarir
pps. Si tratta di un hotspot gratuito, e l'ssl mi serve per poter trasmettere username e password in sicurezza.

Cioè gira sulla tua rete? Non ho ben capito.
Comunque, a prescindere, ci sono servizi di CA che costano 25 € all'anno e altri gratuiti...
https://www.startssl.com/?app=1

[lelmarir]

ti rigrazio del link, ora proverò.

per chiarire: l'hotspot e' costituito da un router (con software modificato) che fa da gateway/firewall tra la rete esterna (internet) e la rete interna a cui si collegheranno gli utenti, che dovranno quindi trasmettere nome utente e password al router tramite la rete interna.
Ssl si rende necessario in quanto gli utenti si collegano via wifi.

[Dascos]

Originariamente inviato da lelmarir
ti rigrazio del link, ora proverò.

per chiarire: l'hotspot e' costituito da un router (con software modificato) che fa da gateway/firewall tra la rete esterna (internet) e la rete interna a cui si collegheranno gli utenti, che dovranno quindi trasmettere nome utente e password al router tramite la rete interna.
Ssl si rende necessario in quanto gli utenti si collegano via wifi.

Allora avevo capito bene...non capisco quindi l'utilità di avere la connessione criptata, tanto è tutto interno e dubito che qualcuno si metta in ascolto sui pacchetti in transito per intercettare queste info, anche perchè puoi impedirlo...
Che software usi? Zeroshell l'hai provato?

[lelmarir]

Utilizzo Openwrt, con wifidog e un auth server scritto da me.

anche perchè puoi impedirlo...

cosa intendi? io ho pensato a un meccanismo con challenge ma...pensandoci bene non saprei come fare se non usando javascript, che pero preferirei evitare visto che vorrei che la pagina di login funzionasse su qualunque dispositivo (anche senza supporto a javascript).

ps. zeroshell non e' compatibile con il router che voglio utilizzare e comunque preferisco openwrt, che anche se e' un po piu ostica e' configurabile a mio piacimento mentre zeroshell mi sembra molto piu limitata

[Dascos]

Originariamente inviato da lelmarir
Utilizzo Openwrt, con wifidog e un auth server scritto da me.


cosa intendi? io ho pensato a un meccanismo con challenge ma...pensandoci bene non saprei come fare se non usando javascript, che pero preferirei evitare visto che vorrei che la pagina di login funzionasse su qualunque dispositivo (anche senza supporto a javascript).

ps. zeroshell non e' compatibile con il router che voglio utilizzare e comunque preferisco openwrt, che anche se e' un po piu ostica e' configurabile a mio piacimento mentre zeroshell mi sembra molto piu limitata

Ma Zeroshell si integra col portale di autenticazione di OpenWrt per il wireless, almeno mi sembra. Inoltre zeroshell lo puoi mettere anche su un 486 (vabbeh, un PIII dai) che ti faccia da router/switch/gateway/firewall in modo da separare la LAN privata dalla LAN pubblica.

Comunque sia, impedire inteso come impedire che si intercettino i pacchetti. Per farlo basta uno switch anzichè un router (o un router che agisca anche a livello mac o che agisca anche come switch)

http://www.dd-wrt.com/site/index
http://www.uielinux.org/progetti/17-...zeroshell.html
http://www.zeroshell.net/

[lelmarir]

vabbeh, un PIII dai

ho voluto usare openwrt proprio per evitare di dover avere un pc acceso dedicato a fare da gateway

impedire inteso come impedire che si intercettino i pacchetti

tutti i pacchetti viaggiano in wifi, quindi sono intercettabili senza alcun problema.
il discorso dello switch al posto del router o dell'agire sul mac non l'ho capito sinceramente.

[Dascos]

Originariamente inviato da lelmarir
ho voluto usare openwrt proprio per evitare di dover avere un pc acceso dedicato a fare da gateway


tutti i pacchetti viaggiano in wifi, quindi sono intercettabili senza alcun problema.
il discorso dello switch al posto del router o dell'agire sul mac non l'ho capito sinceramente.

Sono intercettabili se non usi chiavi che li criptino (che rendono più ardua la cosa, quantomeno). Se invece è necessario avere la rete open, puoi fare in modo di autorizzare solo i MAC che si autenticano e di prevedere un tempo di validità per le coppie user/passwd. Nel momento in cui un utente si logga con tale user/passwd, tale coppia cessa di essere valida, così se qualcuno la sniffa non potrà comunque usarla. Dato che usi openwrt, che immagino sia lo stesso che ho linkato io, alla fine hai pieno accesso alla macchina (il router wireless) quindi dal tuo programmino puoi tranquillamente agire sulle impostazioni e mettere il mac dell'utente tra quelli autorizzati o agire sul firewall.

Il discorso dello switch anzichè router è semplice, agiscono su livelli differenti.
Il router instrada su reti, lo switch su host (basandosi su mac address).
Router: da un ip 192.168.1.43 (mask 24) posso sniffare il traffico che parte o arriva all'ip 192.168.1.59 (mask 24).
Switch: no, perchè lo switch instrada punto-punto a livello inferiore di quanto faccia il router; se la richiesta viene dall'ip 192.168.1.43, la risposta la vede sollo quell'ip e il traffico solo lo switch (tranne casi di arp poisoning eccetera ovviamente). In realtà il traffico non avviene tramite IP ma con i frame a livello mac ma vabbeh, è per capirci.