[Openpec-devel] Cerificati inerenti la PEC

[Fanton F. <fa...@ks...>]

Vorrei chiarire la questione dei certificati inerenti una infrastruttura =
completa di PEC.

Occorrono 2 tipologie di certificati:
. uno o piu' certificati per le connessioni TLS (IMAPS, POPS, SMTPS e =
HTTPS)
. un certificato tipo x509 (S/MIME) per ogni dominio di PEC

Per le connessioni TLS e' sufficiente un certificato a 40bit per la =
crittografia (quelli comunemente usati per l'e-commerce).

Per firmare le mail occorre un certificato x509, generalmente usato dai =
singoli utenti per firmare le mail in uscita (Certificati Digitali per =
persone).

FAQ
Q. In questo caso il certificato x509 non fa riferimento ad un individuo =
ma ad un server quindi ci sono implicazioni?
A. No, quello che serve e' un certificato x509 di classe 1 (in cui viene =
verificata solo l'esistenza dell'indirizzo email che da Allegato Tecnico =
e' posta-certificata@<dominio-pec>): nella sottoscrizione del contratto =
al posto dell'individuo verra' indicato chi fornisce il servizio di PEC =
(un'azienda per esempio).

Q. Richiedendo un solo certificato per le connessioni TLS siamo =
costretti a implementare tutti i servizi su un'unica macchina?
A. In generale, per le architetture bilanciate, si utilizza un solo =
certificato relativo al host+dominio del bilanciatore copiato su tutte =
le macchine bilanciate; dal punto di vista legale =E8 necessario =
l'acquisto di un certificato ed un numero di licenze pari al numero =
delle macchine bilanciate.
Per HTTPS =E8 necessario che sui webserver delle macchine bilanciate =
siano configurati dei virualhost in modo che al browser del client =
arrivi sempre lo stesso host+dominio.
Per SMTPS-IMAPS-POPS =E8 sufficiente che host+dominio del certificato =
sia lo stesso di quello impostato sul MUA quindi nessun problema di =
alias qualunque sia la macchina su cui =E8 installato il certificato.

Saluti, flazan