Jump to content
Sign in to follow this  
Mogst

VPS managed e chiave segreta SSL compromessa

Recommended Posts

Ciao a tutti,

Mi sono registrato per avere un parere terzo su un provider italiano, conosciuto tramite questo sito, che mi ha deluso.

 

Siccome so di poter sbagliare (non necessariamente tutta la colpa è del provider, non per forza ho ragione io) vorrei chiedere lumi a altri utenti per poter vedere la situazione da altri punti di vista.

 

Ho ordinato una vps managed, con pannello plesk.

 

Effettuo il login nel pannello e mi se presenta il warning del certificato auto-firmato.

 

Siccome uso firefox e l'estensione certificate patrol, accetto il certificato che mi viene memorizzato e contemporaneamente chiedo al provider se mi invia l'impronta del certificato (md5 e sha1) in modo da poter verificare che quel certificato era autentico.

 

Per tutta risposta il provider mi invia tramite mail non cifrata la chiave pubblica e ***privata*** del certificato.

 

Immagino non ci sia bisogno di spiegare perché questo rappresenti un problema di sicurezza.

Senza considerare che da informatico ho studiato questa roba, compresi i processi matematici che ci sono dietro.

 

Dopotutto la chiave privata è privata perché deve garantire l'autenticità del server. Se diventa pubblicamente disponibile chiunque può spacciarsi per il server.

 

Abitualmente compro i certificati da gandi.net, gli faccio la domanda stupida chiedendo se sia opportuno inviarmi per mail la chiave privata e loro mi rispondono

 

"Of course, the private key should never be transfered by email.".

 

Per non parlare della documentazione relativa ai certificati

 

[...]

The trick in a key pair is to keep one key secret (the private key) and to distribute the other key (the public key) to everybody. Anybody can send you an encrypted message, that only you will be able to decrypt. You are the only one to have the other key pair, right?

[...]

The certificate does not contain the private key as it should never be transmitted in any form whatsoever. This certificate has all the elements to send an encrypted message to the owner (using the public key) or to verify a message signed by the author of this certificate.

[...]

What is SSL and what are Certificates?

 

La tesi del provider è che PLESK usa LO STESSO certificato in ogni installazione e quindi quel certificato non offre nessun tipo di sicurezza.

 

La mia tesi è che ogni installazione di PLESK genera un certificato diverso, che dal punto di vista tecnologico da le stesse garanzie di uno commerciale a parte che non è già presente nel browser, quindi ho avuto bisogno di qualche altra informazione per stabilirne l'autenticità (sha1). Di certo compromettere la chiave privata non è una buona pratica di sicurezza.

 

Scusate se non sono stato breve, ma non volevo fare la parte di chi dice di aver sempre ragione e se mi fate capire che sbaglio sono pronto ad ammetterlo, ma non voglio essere trattato dal mio provider come se fossi un'impreparato a cui si possono raccontare favole.

 

Vi ringrazio per l'aiuto a capirne di più

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×