Guide: passo per passo

Condividi:        

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
5. Utilizzo dell'SSL

Per sfruttare la protezione offerta da SSL è necessario che un sito web disponga di un server in cui sia integrata la tecnologia SSL. Attualmente l'implementazione SSLref v3.0b1 della Netscape Communications, disponibile sul sito del produttore, è mulipiattaforma anche se sono differenziate le versioni per Windows 95/NT e per Solaris, in forma di pre-build file. Le versioni destinate alla vendita negli USA prevedono un più alto livello di sicurezza, mentre, a causa della legislazione USA in materia di export di algoritmi di crittografia, le versioni internazionali sono ristrette all'uso dell'algoritmo RC4 con chiavi di 40 bits, come implementato in Netscape Navigator.

Da ricerche in Internet dell'ultimo minuto risulta che il server Netscape Commerce Server supporta SSLv2.0, mentre il nuovo Netscape Enterprise integra SSLv3.0; la politica di diffusione voluta dalla stessa Netscape Communication Inc. rende disponibili questi e tutti gli altri prodotti software a studenti, università ed altre istituzioni non commerciali in modo free al sito della Netscape. Anche il client deve supportare SSL per poter stabilire una connessione sicura con un server SSL: Netscape Navigator lo supporta dalla versione 0.93. Per Unix e Windows 3.1/95/NT esiste la versione SSLLeay 0.6.0 che implementa SSLv2.0, free sia per uso privato che commerciale, disponibile in forma di pre-built DLL e di codice sorgente VisualC++ : include una implementazione di DES tra le più veloci, oltre agli algoritmi di crittografia più comuni, IDEA, RC4, RSA, e MD5.

Inoltre è disponibile Secure HTTP e SSL Toolkit commercializzato da Terisa. Web server sicuri di IBM sono distribuiti per le maggiori piattaforme. Con questi mezzi è possibile usare, per esempio, https, cioè http con SSL, e scambiare informazioni con un client per mezzo di https. Poichè http+SSL e http sono differenti protocolli ed usano porte diverse, lo stesso sistema server può far girare contemporaneamente sia il server http+SSL che quello http. Ciò significa che un server può offrire alcune informazioni a tutti gli utenti senza sicurezza, ed altre solo in modo sicuro: ad esempio un catalogo può essere "non sicuro" mentre gli ordini ed i pagamenti devono essere protetti. Ribadiamo che il browser può essere qualunque, purchè supporti il protocollo SSL e, quindi, il nuovo metodo di accesso URL https per connessioni con un server che usa SSL.

Https è il protocollo che si ottiene interfacciando http su SSL: si dovrà usare "https://" per gli URL http con SSL, mentre si continuerà ad usare "http://" per gli URL senza SSL. Per default una "security colorbar" appare in alto a destra in ogni finestra di Netscape Navigator: se la barra è grigia allora il documento che stiamo ricevendo non è "sicuro", mentre se la barra è blu, il documento corrente è sicuro, cioè trasferito in modo protetto dalla crittografia. Una icona all'angolo in basso a sinistra mostra la stessa situazione: se è visibile una chiave rotta su sfondo grigio allora la connessione non è sicura, mentre se la chiave è intera su sfondo blu la connessione è sicura.

Inoltre la voce "Document Information" nel menù "File" mostra una dialog box che contiene informazioni sullo stato della connessione: il livello di crittografia usato, che per adesso, in accordo alle leggi sull' export degli USA, è ristretto all'uso di chiavi di soli 40 bit con algoritmo RC4; l'identità del server, ricavata dal suo certificato.


Generale: hydra [46 visite dal 20 Dicembre 04 @ 00:01 am]