Copyright ©2000Università
di Firenze. All rights reserved.
Implementazione Operativa di protocolli Sicuri
di Ilario Nocentini e Filippo Salucco
revisori: Ing. Maurizio Lunghi, Prof. Franco Pirri
Capitolo5: Utilizzo di
SSL sui vari client
5. Utilizzo di SSL sui vari client
5.1 Introduzione
5.2 Netscape Navigator
5.2.1 Utilizzo standard (senza autentificazione
del client)
5.2.2 Importazione di un certificato
5.3 Microsoft Internet Explorer
5.3.1 Utilizzo standard (senza autentificazione
del client)
5.3.2 Importazione di un certificato
5.4 Compatibilità
5.4.1 Netscape Navigator
5.4.2 Microsoft Internet Explorer
5.1 Introduzione
In questo capitolo verranno analizzati i due principali browsers diffusi
su Internet, cioè Netscape e Microsoft Internet Explorer, descrivendo
analiticamente come utilizzare SSL su entrambi. Inoltre vengono elencate
eventuali incompatibilità incontrate durante la fase di testing,
anche su differenti versioni dello stesso browser. La trattazione viene
divisa per browser e, in alcuni casi, per server, in quanto il comportamento
dei client può essere diverso a seconda che il server sia Microsoft
Internet Information Server oppure Apache mod_ssl.
Inoltre è bene sottolineare che IIS fornisce anche un supporto
per il rilascio dei certificati in linea, funzionalità che non è
disponibile nell' Apache mod_ssl server, che invece genera i certificati
in maniera autonoma, che devvono poi essere importati "a mano" nel client.
5.2 Netscape Navigator
5.2.1 Utilizzo standard (senza autentificazione del
client)
Il caso più semplice ed immediato è quello correlato
all'utilizzo del browser Netscape in un contesto di commercio elettronico,
ovverosia in un contesto dove, di norma, non è richiesta alcuna
autentificazione del client, se non, al limite, con una tecnica di username/password.
Nel momento in cui inizia la connessione con un sito protetto con SSL,
Netscape ci avverte che stiamo entrando, appunto, in un sito sicuro e ci
presenta l'identità del Server, mostrando il Certificato presentato
dallo stesso Server. A questo punto si possono avere due differenti casi:
-
Il Server presenta un certificato firmato da una CA che il client riconosce,
attraverso un database preinstallato dal produttore, che può essere
modificato. In questo caso il certificato viene accettato e la connessione
protetta si instaura.
-
Il Server presenta un certificato firmato da una CA che NON è riconosciuta
dal client. A questo punto una schermata comunica all'utente che la CA
non è riconosciuta, potenziale causa di rischio, se, ad esempio,
stiamo per trasmettere il numero della nostra carta di credito. In questa
schermata viene richiesto all'utente se:
-
vuole accettare questo certificato per sempre;
-
vuole accettare il certificato solo per questa sessione;
-
non vuole accettare il certificato.
Nel dubbio si consiglia di accettare il certificato solo per questa
sessione.
Infine, prima di attivare finalmente la connessione sicura, il client esegue
un controllo sul Fully Qualifyed Domain Name (FQDN) del certificato, cioè
sul nome del sito che appare sul certificato (es. telemat.die.unifi.it),
e lo confronta col nome del sito che sta utilizzando quel dato certificato.
Se, ad esempio, il cerificato con FQDN= telemat.die.unifi.it viene utilizzato
dal sito lenst.die.unifi.it, il client evidenzierà questa discrepanza
e, al solito, chiederà se si intende proseguire o meno. Viceversa,
se la discrepanza non c'è, il client inizierà direttamente
la connesione sicura.
L'attivazione della connessione sicura è evidenziata dalla chiusura
dell'icona lucchetto sia in basso a sinistra che sulla barra degli
strumenti. Nel caso che sia richiesta anche una username/password esse
verranno trasmesse protette dall'SSL, anche se a volte il lucchetto rimane
aperto in questa fase.
Se si utilizza un browser Netscape di versione 4.7, importando un
particolare plug-in, la crittografia a chiave simmetrica è a 128
bits, se invece si utilizza una versione inferiore è a 40 bits.
Questo è dovuto alla recente modifica delle leggi sull'esportazione
dei software crittografici da parte degli USA.
5.2.2 Importazione di un certificato
Nel caso in cui venga richiesta anche una autentificazione del client,
il browser deve munirsi di uno (o più) certificati. Per fare questo
in generale il certificato deve essere importato nel browser stesso.
Il Microsoft Internet Information Server fornisce la possibilità
di ottenere un certificato in linea, anche se per questa funzionalità
si veda l'apposito paragrafo 5.4.
Nel caso più generale c'è bisogno, per il browser, di
munirsi di un certificato in formato PKCS, con versione dipendente dalla
versione di Netscape che si stà utilizzando (v . 5.4).
Una volta ottenuto questo certificato, sotto forma di file, lo si
deve importare in Netscape.
Per fare questo è necessario cliccare sull'icona della sicurezza
(lucchetto) nella barra degli strumenti. Dopodichè, nella finestra
che si apre, si selezioni dal sottomenù "certificates" la classe
"yours".
Qui verranno presentati un elenco dei certificati personali di cui
il client dispone. A noi interessa importare un certificato, quindi si
può selezionare, in basso, il pulsante "Import a Certificate" che
ci permetterà di selezionare il file corrispondente che verrà,
a quel punto, importato.
Opzionalmente si può decidere di proteggere i propri certificati
con una password, scelta da valutare a seconda del contesto applicativo.
Netscape permette di importare un solo certificato per CA per utente,
ovverosia un singolo utente non può avere 2 diversi certificati
firmati dalla stessa CA.
Se il nostro browser ha importato correttamente dei certificati, nel
corso di una connessione sicura, dopo aver eseguito i passi descritti nel
paragrafo 5.2.1, viene chiesto quale certificato si
vuole utilizzare per l'autentificazione del client. Tenete presente che,
tipicamente, soprattutto in un contesto Intranet , non è richiesto
un certificato qualsiasi ma un certificato firmato da una particolare CA,
senza il quale non vi sarà possibile accedere al sito. Netscape,
in questa situazione, riporterà, al momento di dover trasmettere
il certificato del client, solo quei certificati firmati da una CA riconosciuta
dal server.
5.3 Microsoft Internet Explorer
5.3.1 Utilizzo standard (senza autentificazione del
client)
Il caso più semplice ed immediato è quello correlato
all'utilizzo del browser IE in un contesto di commercio elettronico, ovverosia
in un contesto dove, di norma, non è richiesta alcuna autentificazione
del client, se non, al limite, con una tecnica di username/password.
Nel momento in cui inizia la connessione con un sito protetto con SSL,
IE ci avverto che stiamo entrando, appunto, in un sito sicuro e ci presenta
l'identità del Server, mostrando il Certificato presentato dallo
stesso Server. A questo punto si possono avere due differenti casi:
-
Il Server presenta un certificato firmato da una CA che il client riconosce,
attraverso un database preinstallato dal produttore, che può essere
modificato. In questo caso il certificato viene accettato e la connessione
protetta si instaura.
-
Il Server presenta un certificato firmato da una CA che NON è riconosciuta
dal client. A questo punto una schermata comunica all'utente che la CA
non è riconosciuta, potenziale causa di rischio, se, ad esempio,
stiamo per trasmettere il numero della nostra carta di credito. In questa
schermata viene richiesto all'utente se:
-
vuole accettare questo certificato per sempre;
-
vuole accettare il certificato solo per questa sessione;
-
non vuole accettare il certificato.
Nel dubbio si consiglia di accettare il certificato solo per questa
sessione.
Infine, prima di attivare finalmente la connessione sicura, il client esegue
un controllo sul Fully Qualifyed Domain Name (FQDN) del certificato, cioè
sul nome del sito che appare sul certificato (es. telemat.die.unifi.it),
e lo confronta col nome del sito che sta utilizzando quel dato certificato.
Se, ad esempio, il cerificato con FQDN= telemat.die.unifi.it viene utilizzato
dal sito lenst.die.unifi.it, il client evidenzierà questa discrepanza
e, al solito, chiederà se si intende proseguire o meno. Viceversa,
se la discrepanza non c'è, il client inizierà direttamente
la connesione sicura.
L'attivazione della connessione sicura è evidenziata da una piccola
icona raffigurante un piccolo lucchetto chiuso nella parte bassa dello
schermo. Nel caso che sia richiesta anche una username/password esse verranno
trasmesse protette dall'SSL, anche se a volte il lucchetto rimane aperto
in questa fase.
Il browser Microsoft Internet Explorer, in tutte le versioni finora
rilasciate (fino alla 5), supporta solo una crittografia a chiave simmetrica
a 40 bits.
5.3.2 Importazione di un certificato
Nel caso in cui venga richiesta anche una autentificazione del client,
il browser deve munirsi di uno (o più) certificati. Per fare questo
in generale il certificato deve essere importato nel browser stesso.
Il Microsoft Internet Information Server fornisce la possibilità
di ottenere un certificato in linea, anche se questa funzionalità
ha dei grossi problemi di compatibilità, per i quali si veda l'apposito
paragrafo 4.4.4 Rilascio
di Certificati Client.
Nel caso più generale c'è bisogno, per il browser, di
munirsi di un certificato in formato PKCS, con versione dipendente dalla
versione di IE che si stà utilizzando (v . 4 o 5). Una volta ottenuto
questo certificato, sotto forma di file, lo si deve importare in
IE.
Per far questo dal menù a tendina "Visualizza" si selezioni
"Opzioni Internet". Quindi si prenda la scheda "contenuto" e da questa
si prema il pulsante "Personale" dell'area "Certificati". A questo punto
viene presentato l'elenco dei certificati personali disponibili. Nel nostro
caso ci interessa importarne uno, si schiacci quindi il pulsante "Importa"
e si selezioni il file certificato. Si può decidere di proteggere
il certificato con una password, scelta da valutare a seconda del contesto
applicativo.
IE permette di importare un solo certificato per CA, ovverosia
non possono esserci due diversi certificati firmati dalla stessa CA.
Se il nostro browser ha importato correttamente dei certificati, nel
corso di una connessione sicura, dopo aver eseguito i passi descritti nel
paragrafo 5.3.1, viene chiesto quale certificato si
vuole utilizzare per l'autentificazione del client. Tenete presente che,
tipicamente, soprattutto in un contesto Intranet , non è richiesto
un certificato qualsiasi ma un certificato firmato da una particolare CA,
senza il quale non vi sarà possibile accedere al sito. IE, in questa
situazione, riporterà, al momento di dover trasmettere il certificato
del client, solo quei certificati firmati da una CA riconosciuta dal server.
5.4 Compatibilità
5.4.1 Netscape Navigator
Tutte le versioni:
con Microsoft IIS non riesce ad importare on line il certificato della
CA
Non funziona con IIS senza service Pack 6
Versione 4.03 e prec.:
Non importa certificati PKCS#12 generati con openssl
5.4.2 Microsoft Internet Explorer
Versione 4:
Con server IIS non riesce ad instaurare la connessione sicura
se installato il service pack 6
Non importa certificati PKCS#12 di openssl
Versione 5
Con IIS non scarica i client certificates in linea
I certificate PKCS#12 di openssl non sempre vengono importati (si importano
solo su piattaforma NT)
Explore Telemat site!