Menu
▾
▴
R: [Openpec-users] Certificati "tarocchi", nuova feauture e sito per documentazione
|
From: Fanton F. <fa...@ks...> - 2004-07-08 09:06:59
|
> -----Messaggio originale----- > Da: Alberto Zuin [mailto:al...@in...] > Inviato: mercoled=EC 7 luglio 2004 17.55 > A: ope...@li... > Oggetto: [Openpec-users] Certificati "tarocchi", nuova feauture e sito = per > documentazione >=20 > Salve a tutti, non sar=F2 breve ;-) > Con un collega abbiamo messo in piedi un paio di server con OpenPEC e > stiamo > compiendo una serie di test di interoperabilit=E0. A parte il = problemino dei > destinatari multipli che pare abbiamo risolto, personalmente ho = qualche > dubbio su come funzionino i certificati. > In questo momento abbiamo utilizzato la procedura di creazione dei > certificati > descritta nel file di installazione e ne risultano, ovviamente, dei > certificati "tarocchi". Cosa vuol dire questo: vuol dire che sia per > quanto > riguarda la connessione al server, sia per la firma di ogni messaggio, = il > client di posta (ho provato sia outlook express su windows, sia ximian > evolution su linux) restituisce un warning di inattendibilit=E0 del > certificato. Hai guardato le FAQ? (http://www.openpec.org/doc_faq.shtml punti = 10,11,12) > Per ci=F2 che si legge dalle faq sul sito del CNIPA pare che questo = non vada > bene, ma prima di acqistarne uno volevo un parere da parte Vostra = (magari > con > un consiglio su l'ente da cui comprarlo). Per fare delle prove pi=F9 veritiere (evitando i vari warning anche se = non mi pare strettamente necessario), si trovano aziende che ti = forniscono certificati gratuiti validi per un periodo limitato, a titolo = di esempio: http://www.thawte.com http://www.trustitalia.it/ Successivamente puoi decidere di fare gli acquisti necessari per = un'infrastruttura definitiva. > Tra l'altro abbiamo avuto non poche difficolt=E0 ad includere il = certificato > nella directory LDAP in quanto openpec utilizza il formato pem, mentre > ldap > necessita della conversione in ASN.1 (grazie a Fabio Ferrari). >=20 Per quello che ho visto, il formato PEM =E8 lo stesso della codifica = ASN.1 quindi per inserire una nuova entry nel LDAP server con un nuovo = certificato =E8 sufficiente creare un file, aggiungere tutti gli = attributi necessari compreso providerCertificate;binary:: seguito dal = contenuto del file PEM e darlo in pasto a ldapadd. > Inoltre, in tutta sincerit=E0, ho qualche dubbio sulla qualit=E0 del = sistema > concepito dal CNIPA; mi riferisco principalmente al fatto che il = messaggio > viene firmato dai server, ma non da mittente e destinatario. Questo, > secondo > me, comporta due problemi: > - non ho la certezza sul mittente (se conoscessi l'abbinata username- > password > di un utente potrei spedire mail certificate a nome di qualcun altro e = in > un > ufficio non =E8 una cosa cos=EC impossibile); se ho il tuo numero di carta di credito e + o meno o visto la tua firma = .... > - non ho la certezza che il destinatario abbia effettivamente letto la > posta > (la ricevuta di consegna arriva, ma se il destinatario non va a = leggersi > la > posta...). Quindi aggiungere una sorta di ricevuta di avvenuta apertura della mail: = la sicurezza della sua lettura non potr=F2 mai averla. Questa =E8 una caratteristica che potremo liberamente decidere di = aggiungere dando al prodotto maggiore qualit=E0 di servizio (come gi=E0 = alcuni prodotti "chiusi" stanno facendo). Stefano Zanarini: direi che di questa funzionalit=E0 se ne dovrebbe = prendere carico il server IMAP o POP (non certo i MUA altrimenti saremmo = investiti da un ventaglio di problemi che tu stesso hai menzionato), = tuttavia dobbiamo ricordare che l'obbiettivo di OpenPec =E8 di mettere = nelle condizioni di essere certificato un sistema di posta esistente e = quindi prescindere (possibilmente) dai componenti di contorno come MTA, = server IMAP e POP e etc. In questo caso dovremmo proporre dei server = IMAP e/o POP nostri (che non mi pare molto vincolante) quindi potrebbe = far parte di uno sviluppo successivo. Ricordo inoltre che la Posta Certificata =E8 in una fase di start up = quindi credo sia giusto aspettarsi miglioramenti senza pretendere delle = specifiche immediatamente esaustive anche tenendo conto della = delicatezza delle questione: diamo tempo al CNIPA di lavorare. > Spero che nella nuova versione del capitolato tecnico vengano presi in > esame > anche questi punti, cos=EC come il dubbio gi=E0 emerso riguardo a = sistemi > antispam o antivirus. >=20 > In qualsiasi caso si legge chiaramente tra le faq: > ------------ > D: Come =E8 possibile inserire nei messaggi generati dal sistema, dati = non > previsti nel DTD che descrive i dati di certificazione (es. > l'identificativo > originale del messaggio originale)? > R: Dati aggiuntivi possono essere inseriti nel corpo del messaggio > rispettando > i modelli descritti nell'allegato tecnico. Inoltre, in tutti i = messaggi > generati dal sistema di posta certificata (ricevute, messaggi di > trasporto, > errori) =E8 possibile inserire ulteriori allegati per specifiche > funzionalit=E0 > offerte dal gestore. =C8 importante che questi allegati (inseriti come = parti > MIME all'interno del messaggio) rispettino la codifica specificata al > paragrafo 7.3 e abbiano un nome che non vada in conflitto con quelli > definiti > dall'allegato tecnico. > ------------ >=20 > Per cui qualche possibilit=E0 di creare una sorta di ibrido ci = sarebbe. > Avrei > qualche idea in proposito, per=F2 prima vorrei capire se secondo voi = ci pu=F2 > essere spazio di manovra e casomai potremmo lavorarci assieme. >=20 > Infine, riguardo al discorso del manuale di installazione affrontato = un > paio > di mesi orsono, pensavo di mettere in piedi qui da me un server Plone: = lo > uso > in altre situazioni e si sta dimostrando davvero efficace. Vorrei un > parere > anche su questo punto. >=20 > Ciao, > Alberto >=20 >=20 >=20 > ------------------------------------------------------- > This SF.Net email sponsored by Black Hat Briefings & Training. > Attend Black Hat Briefings & Training, Las Vegas July 24-29 - > digital self defense, top technical experts, no vendor pitches, > unmatched networking opportunities. Visit www.blackhat.com > _______________________________________________ > Openpec-users mailing list > Ope...@li... > https://lists.sourceforge.net/lists/listinfo/openpec-users |
