VERISIGN SERVER ONSITE. Scheda Tecnica.

VeriSign Server OnSite - Scheda Tecnica
VERISIGN SERVER ONSITE.
Scheda Tecnica.
Ultima revisione del presente documento 05/12/2001
Versione 2.2
Trust Italia S.p.A.
1 di 8
VeriSign Server OnSite - Scheda Tecnica
INDICE
Introduzione: i certificati digitali e il protocollo SSL. ....................................................... 3
Configurazioni particolari............................................................................................. 3
La soluzione: VeriSign Server OnSite. ........................................................................... 4
Come attivare il servizio VeriSign Server OnSite. ........................................................... 6
Contatti .................................................................................................................... 8
Trust Italia S.p.A.
2 di 8
VeriSign Server OnSite - Scheda Tecnica
Introduzione: i certificati digitali e il protocollo SSL.
I certificati SSL offrono agli utenti finali alcune garanzie essenziali:
•
•
•
Autenticazione dell'identità del sito al quale ci si collega;
Autenticazione della Società o della Organizzazione che possiede e gestisce il sito;
Crittazione delle informazioni grazie al protocollo SSL (Secure Sockets Layer).
SSL (Secure Sockets Layer) e' un protocollo aperto e non proprietario, utilizzato per stabilire
comunicazioni sicure tra un Server ed un Client. La versione v3.0 del protocollo, rilasciata nel
novembre 1996, è un'evoluzione della precedente versione del 1994, SSL v2.0, e rappresenta
al momento la soluzione più sicura ed efficace per lo scambio di informazioni cifrate. Questo
sistema garantisce la protezione non solo dei numeri delle carte di credito, dei moduli on-line e
dei dati finanziari, ma protegge dall'intercettazione, dalla decodifica e dalla contraffazione
TUTTE le informazioni confidenziali, riservate o sensibili.
Quando avviene il collegamento tra un client ed un server (fase di handshaking), ha luogo la
negoziazione di una ‘chiave di sessione’, che viene stabilita in base alle caratteristiche del
client e del server, e che verrà utilizzata per cifrare i dati in transito tra client e server nel
corso di una specifica sessione. Il grado di cifratura si misura in bit: quanto piu' e' lunga la
chiave di sessione, tanto piu' e' forte e sicura la cifratura fornita. Una chiave di cifratura a 40
bit e' considerata 'standard', mentre la chiave di cifratura a 128 bit e' conosciuta come 'strong
encryption'. La differenza fondamentale tra 40 bit e 128 bit è dunque la 'chiave di sessione',
cioe la lunghezza della chiave attraverso la quale avviene la cifratura dei dati che transitano
nel canale SSL, che si sovrappone a quello TCP/IP. Il vantaggio del SSL a 128 bit è dunque una
cifratura piu forte di quella garantita dal SSL a 40 bit: per violare quest'ultimo è stato
sufficiente un 'attacco a forza bruta' di 120 secondi, mentre per il certificato a 128 bit
sarebbero necessari circa 150 anni.
Configurazioni particolari.
Allo scopo di garantire il raggiungimento degli obiettivi sopra descritti, i certificati digitali
VeriSign per server devono essere utilizzati in modo particolare in alcune speciali
configurazioni di rete, quali ad esempio:
1.
2.
3.
4.
Servers di backup (Clustering);
Server multipli che supportano siti multipli (Virtual Servers);
Server multipli che supportano un singolo sito (Load Balancing, Round Robins);
Service providers che utilizzano configurazioni di virtual hosting o shared hosting.
VeriSign raccomanda di installare un certificato diverso per ciascuna combinazione istanza del
server e Fully Qualified Domain Name (Common Name); esiste, dal punto di vista tecnico, la
possibilta' di utilizzare lo stesso certificato su piu' macchine (Certificate Sharing), ma si tratta
di una pratica non compatibile con i requisiti di sicurezza, oltre che legali, proposti da
VeriSign. Al di là delle considerazioni di carattere legale, tuttavia, vorremmo sottoporre alla
Vostra attenzione l’aspetto fondamentale, cioè quello della sicurezza. L’utilizzo improprio del
certificato digitale vanifica infatti tutti gli sforzi per rendere sicuri i Vostri server: installare lo
stesso ID digitale su n server è come utilizzare la stessa chiave per chiudere tante porte: se
quell’unica chiave dovesse essere violata, tutte le porte potrebbero essere aperte senza
difficoltà, e sarebbero perciò compromesse.
Per tutte queste ragioni, dunque, nelle configurazioni di rete sopra descritte saranno
necessari tanti certificati quante sono le combinazioni tra istanza del server e Fully Qualified
Domain Name. Ad esempio, se i due Common Names digitalid.trustitalia.it e www.trustitalia.it
sono ospitati entrambi su un unico server, ciascuno dei due Common Names richiederà un
proprio certificato. Se invece state usando un singolo Common Name su server multipli che
operano simultaneamente (come ad esempio nel caso del bilanciamento di carico) o
Trust Italia S.p.A.
3 di 8
VeriSign Server OnSite - Scheda Tecnica
parallelamente (servers di backup), allora su ciascuno dei server dovrà essere installato un
certificato per il Common Name utilizzato.
La soluzione: VeriSign Server OnSite.
Nelle situazioni in cui ci sia necessità di gestire grandi quantità di server, Trust Italia è in grado
di risolvere i problemi legati alla richiesta ed all'installazione di certificati multipli attraverso il
servizio VeriSign Server OnSite. Cfr. anche a questa pagina del sito Trust Italia.
Il servizio VeriSign Server OnSite Vi consentirà di gestire i certificati per i Vostri Server in
modo autonomo e personalizzato. Per quanto riguarda le diverse soluzioni disponibili, i servizi
VeriSign OnSite dedicati ai Servers sono i seguenti:
- Secure Server OnSite
- Global Server OnSite
La differenza tra i due tipi risiede principalmente nel tipo di SSL supportato, che nel primo caso
e' SSL standard a 40 bit, nel secondo SSL a 128 bit (strong encryption). Entrambi i prodotti
offrono la possibilita' di acquistare, con un'unica registrazione, pacchetti di certificati per
Server distribuibili tra più domini (da 1 a 4 per la configurazione base), purche' tutti i domini
siano registrati alla stessa azienda, o ad aziende che fanno parte dello stesso gruppo. Ai
domini iniziali possono essere aggiunti domini addizionali; per questa ragione l'opzione
VeriSign OnSite per Server è quanto mai flessibile. Nell'ambito dei domini che il cliente intende
includere nel pacchetto sono disponibili gruppi di 5, 10, 25, 50, 100 (o piu') certificati per
server. La configurazione base prevede l'acquisto di un pacchetto da 1 a 4
domini, nell'ambito del quale ripartire 5 certificati per server disponibili tra i diversi Common
Names (Fully Qualified Domain Names) esistenti nei Vostri domini.
Esiste, naturalmente, la possibilità di richiedere domini e certificati aggiuntivi rispetto a quelli
indicati nella prima registrazione e di ampliare dunque la configurazione originaria.
Con il servizio OnSite per Server IDs, VeriSign svolge la funzione di Primary Certification
Authority (PCA), poichè il rilascio del certificato è sempre effettuato fisicamente dalla ‘casa
madre’ statunitense. Nell'ambito della gerarchia implementata grazie al servizio Server OnSite,
VeriSign resta sempre e comunque al vertice della struttura, mentre la Vostra società assume
il ruolo di LRA (Local Registration Authority), cioè autorità preposta a raccogliere, approvare o
rifiutare le richieste di certificati. Se approvate, tali richieste vengono inoltrate a VeriSign che
si preoccupa solo del rilascio. Analogamente, la LRA ha il compito di gestire tutte le funzioni
legate al ciclo di vita del certifcato, quali ad esempio la revoca, la sostituzione o il
rinnovo. Tale soluzione non prevede alcuna installazione hardware o software presso
il cliente, nè che venga predisposta una macchina dedicata, né che siano
implementate particolari soluzioni di sicurezza logica o fisica. E’ sufficiente un PC con
un browser, ed attraverso una applicazione Web dalla semplice ed accativante interfaccia
grafica - il VeriSign Control Center - potrete rilasciare i certificati digitali per i Vostri server.
Trust Italia S.p.A.
4 di 8
VeriSign Server OnSite - Scheda Tecnica
Le immagini mostrano un esempio dell’applicazione Web, il VeriSign Control Center
L'attivazione del servizio prevede infatti che venga rilasciato - ad una persona designata
all'interno della Vostra azienda - un certificato individuale di Classe 3 VeriSign OnSite
Administrator, e che venga generato un account presso il back-end di VeriSign. Grazie al
suo certificato, il Vostro amministratore OnSite potrà accedere all'area riservata alla Vostra
azienda ed effettuare le semplici operazioni necessarie per la richiesta dei certificati per i Vostri
Server. Dal punto di vista dei requisiti hardware e software, dunque, il servizio VeriSign Server
OnSite richiede alla Vostra azienda soltanto un PC con un browser installato e l'accesso ad
Internet.
L’immagine mostra come l’Amministratore OnSite gestisce i Certificati di Classe 3 per i Vostri Server.
Trust Italia S.p.A.
5 di 8
VeriSign Server OnSite - Scheda Tecnica
Come attivare il servizio VeriSign Server OnSite.
Le procedure necessarie per l'attivazione del servizio sono semplicissime e rapide. Esse
prevedono i seguenti passi:
1. un Vostro rappresentante dovrà effettuare una registrazione on-line presso il nostro sito alla
pagina http://www.trustitalia.it/decode.php?id=JaAiyf007203 per la versione Secure (SSL a 40
bit) oppure alla pagina
http://www.trustitalia.it/decode.php?id=SPEcTh007204 per la versione Global (SSL a 128 bit);
2. Trust Italia SpA dovrà compiere le seguenti procedure di autenticazione e validazione dei
dati da Voi inseriti nella fase di Registrazione:
a. autenticazione dell'identità dell'azienda richiedente;
b. autenticazione dei domini inseriti nel modulo di Registrazione;
c. validazione dei dati del Contatto Tecnico (Amministratore del servizio OnSite) e del
Contatto Organizzativo inseriti in fase di registrazione;
d. verifica del pagamento.
3. dopo aver ultimato con esito positivo i passi sopra descritti, Trust Italia potrà rilasciare il
certificato individuale di Classe 3 per l'Amministratore del servizio OnSite. Il rilascio di tale
certificato avverrà attraverso l’invio di un PIN number che permetterà al Vostro
Amministratore di prelevare il proprio certifcato (naturalmente il prelievo avviene in modalità
protetta https://). Da questo momento in poi, il Control Center attivato presso i server
VeriSign e riservato alla Vostra azienda sarà operativo, e l’Amministratore OnSite potrà
accedervi per approvare e rilasciare i certificati per i Vostri Server.
Il Control Center permette all’Amministratore OnSite di approvare le richieste di certificati per Server.
Trust Italia S.p.A.
6 di 8
VeriSign Server OnSite - Scheda Tecnica
Attraverso il Control Center sarà possibile controllare anche tutti i certificati server già emessi,
e quindi svolgere tutte le funzioni legate al naturale ciclo di vita dei certificati (revoca,
sostituzione, rinnovo), come mostrato anche nella figura seguente.
Il Control Center permette all’Amministratore OnSite di visualizzare i certificati per Server già emessi.
Il vantaggio del servizio Server OnSite non è dunque soltanto economico, ma anche
organizzativo-gestionale: dal momento dell’attivazione del Vostro account non avrete più
necessità di contattare Trust Italia SpA se non per aggiungere domini o certificati addizionali
alla configurazione iniziale da Voi prescelta. Trust Italia sarà inoltre in grado di fornirVi
l'assistenza tecnica in fase di installazione dei singoli certificati, nonchè il supporto
all’Amministratore OnSite durante tutte le attività di gestione dei certificati. La documentazione
ufficiale VeriSign potrà inoltre essere consultata e scaricata attraverso un’apposita funzionalità
del Control Center.
Trust Italia S.p.A.
7 di 8
VeriSign Server OnSite - Scheda Tecnica
Il Control Center permette all’Amministratore OnSite di ottenere in tempo reale documentazione sempre aggiornata.
Ci auguriamo che questa panoramica generale possa esserVi utile. Restiamo a Vostra
disposizione per ulteriori informazioni, chiarimenti ed approfondimenti tecnici, per i quali
potrete conttatare liberamente Trust Italia SpA ai numeri ed agli indirizzi email indicati di seguito.
Saremo lieti di rispondere ai Vostri quesiti.
Contatti
SpA
Piazzale Bosco 3a
05100 Terni ITALY
http://www.trustitalia.it/decode.php?id=bObEBb007205
Servizio Clienti
+39 0744 54.59.215
[email protected]
+39 0744 43.97.35
TeleSales Department
+39 0744 54.59.234
[email protected]
Trust Italia S.p.A.
8 di 8