Connessioni sicure

[ombra]

Ciao a tutti
Leggendo vari post sul forum ho notato che per comunicare in modo sicuro(criptato) da server a client si utilizza il protocollo ssl o https...
Qual'è la loro differenza?
I dati girano in modo cifrato solo sul server o una volta che l'utente ha fatto una richiesta al server , il server gli "risponde" mandando tutto in modo cifrato???
Se si...
I browser hanno una determinata funzione per "decifrare la risposta"
del server?
Terza e ultima domanda...
è possibile far girare tutto in locale?
Ho sia Windows che Linux, qualche guida, qualche parere mi farebbe comodo

Grazie

[platone]

Originariamente inviato da ombra
Ciao a tutti
Leggendo vari post sul forum ho notato che per comunicare in modo sicuro(criptato) da server a client si utilizza il protocollo ssl o https...
Qual'è la loro differenza?
I dati girano in modo cifrato solo sul server o una volta che l'utente ha fatto una richiesta al server , il server gli "risponde" mandando tutto in modo cifrato???
Se si...
I browser hanno una determinata funzione per "decifrare la risposta"
del server?
Terza e ultima domanda...
è possibile far girare tutto in locale?
Ho sia Windows che Linux, qualche guida, qualche parere mi farebbe comodo

Grazie

SSL: secure socket layer
HTTPS: http sicuro

Le richieste HTTPS vengono criptate, le richieste vengono tradotte da un certificato HTTPS che può leggere solo il client che sta navigando sulla pagina. I browser recenti fanno tutto in automatico, tuttavia se le chiavi di crittazione sono certificate VERISIGN, GLOBALTRUST et similia, allora non ti farà visualizzare nessuna richiesta per accettarle... altrimenti scriverà un box dicendo che la connessione è protetta ma il certificato non è attendibile.

Che ti serve far girare tutto in locale? HTTPS non cripta i dati sul server cripta le connessioni affinchè non siano in chiaro (la chiave viene inviata all'inizio e poi mai più), se fai girare tutto in locale non hai niente da oscurare.

[ombra]

Originariamente inviato da platone
SSL: secure socket layer
HTTPS: http sicuro

Le richieste HTTPS vengono criptate, le richieste vengono tradotte da un certificato HTTPS che può leggere solo il client che sta navigando sulla pagina. I browser recenti fanno tutto in automatico, tuttavia se le chiavi di crittazione sono certificate VERISIGN, GLOBALTRUST et similia, allora non ti farà visualizzare nessuna richiesta per accettarle... altrimenti scriverà un box dicendo che la connessione è protetta ma il certificato non è attendibile.

Che ti serve far girare tutto in locale? HTTPS non cripta i dati sul server cripta le connessioni affinchè non siano in chiaro (la chiave viene inviata all'inizio e poi mai più), se fai girare tutto in locale non hai niente da oscurare.

Qual'è il migliore tra i due?
Si possono installare su win?
grazie

[platone]

Originariamente inviato da ombra
Qual'è il migliore tra i due?
Si possono installare su win?
grazie

Non sono un esperto di certificati... secondo me, entrambe le compagnie sono delle ladre... rilasciano delle certificazioni e te le fanno pagare... tutto qua... ma tutta la protezione la svolge il tuo server e non certo la loro stupida e inutile certificazione.

Inoltre la maggior parte dei visitatori non percepisce la differenza (senza o con connessioni sicure) poichè il browser mal le manifesta (ad eccezione del mitigo Firefox che mostra la barra degli indirizzi gialla quando sei in ambiente protetto), quindi spendi un sacco di soldi per un genere di protezione che ai tuoi clienti non interessa.

Certo che se è necessaria (perchè i dati sono really importanti) allora falla....

Insomma io ti sconsiglio di usarle.... per le domande tecniche e per winzozzz... devi aspettare che risponda qualcun altro, io mi occupo solo di server linux. Cmq sicuramente anche Win le supporta!

[daniele_dll]

noto un po di confusione

SSL è si un LAYER per le SOCKET che serve a trasmettere dati crittografati ... ma HTTPS è qualcosa che si appoggia a questa tecnologia ... ovvero invia le richieste HTTP over SSL, ovvero SOPRA SSL

tanto che usando l'HTTPS nascono problemi, soprattutto quando si deveono usare insieme ai vhosts

i certificati li puoi anche creare a casa o in ufficio ... e te li fai personalizzati ... ma se non sono firmati da una società riconosciuta il browser avvisa l'utente

---

l'ssl prima di avvire la comunicazione esegue prima un'hand-shaking e poi invia i certificati pubblici necessari per leggere la pagina ... comunque la cosa è molto inutile se c'è qualche sniffer che legge TUTTO perché legge anche il certificato per la de-crittazione e quindi prende i dati che gli servono

tieni in considerazione che l'HTTPS è nato per esigenza fantoccio, ovvero quello di poter dire: i dati che transitano su internet passando dia vari NOP, ovvero dai vari punti di relay che tengono in piedi internet (spiegazione skifosa ma forse fa capire che sono), sono illeggibili da chi riesce ad accedere a questi server e quindi siete al sicuro

ma ... hanno omesso che ascoltando TUTTA la conversazione ... non serve a nulla l'https ... e che se ci sta un keylogger serve comunque a zero xche leggo a priori i dati

inoltre è ancora più importante la sicurezza dell'applicativo che la comunicazione sicura ... se l'applicativo è fatto male o è debole bucando questo si legge TUTTO

[ombra]

grazie per la spiegazione!
ho le idee più chiare