Tariffe.it - Home page
 
Telefonia privati Carburanti Energia Gas
operatori di telefonia fissa mobile e link utili


I certificati digitali


Per rendere sicure le transazioni on line le aziende che operano nel mondo del commercio elettronico business-to-business usano sempre di più i certificati digitali, cioè identità elettroniche rilasciate da istituzioni fidate. 
Questo metodo ha fatto sorgere una nuova esigenza a livello di sicurezza e cioè quella di sistemi per controllare la validità di tali certificati. 

L’Online Certificate Status Protocol (OCSP) è lo standard emergente dell’IETF (Internet Engineering Task Force) destinato al controllo della validità dei certificati digitali nel corso di una determinata transazione. Prima dell’arrivo di OCSP, i risk manager non avevano a disposizione un sistema per effettuare in modo semplice un duplice controllo sulla validità di un certificato. OCSP permette invece di condurre queste verifiche in tempo reale, risparmiando tempo e denaro, e fornendo alle attività di e-business un sistema più rapido, semplice e affidabile per la validazione dei certificati digitali rispetto a quello offerto dal tradizionale scaricamento ed elaborazione delle CRL (Certificate Revocation Lists). Rilasciate dalle Certification Authority (CA), le CRL sono liste di certificati e di possessori non validi. 

Il tradizionale procedimento di ricerca all’interno delle CRL, per vedere se la licenza di qualcuno è stata revocata, è simile all’analisi di un tabulato stampato da un computer datato. Il metodo di elaborazione delle CRL può inoltre richiedere alle società la configurazione dei propri pc client perchè elaborino le CRL provenienti da diverse CA. Spesso le liste CRL si allungano in quanto non vengono rilasciate con grande frequenza oppure a causa di un gran numero di revoche. 

Cos’è un certificato digitale?
I certificati digitali sono dei file, con una validità temporale limitata, che garantiscono l’identità di una figura in Rete in quanto contengono una copia della chiave pubblica di tale entità "controfirmata" digitalmente da una terza parte garante. Questa terza parte è in genere un ente indipendente pubblico o privato chiamato Certification Authority (CA). Una volta che il certificato è scaduto, l’ente garante ne emette uno nuovo e inserisce quello scaduto nella CRL (Certificate Revocation List) di cui si è parlato nell’articolo principale. I certificati digitali seguono lo standard X.509 e contengono varie informazioni tra cui il loro periodo di validita', il numero del certificato, il nome dell’utente e quello della CA emittente, la chiave pubblica dell’utente.
Oltre a diventare ingombranti hanno poi un altro problema: ciascuna distribuzione di CRL influisce severamente sull’ampiezza di banda della rete e sulla potenza di elaborazione del client. Infine, a un partner commerciale possono essere necessari diversi giorni per ricevere notifica di un certificato revocato, aumentando la possibilità di una falla nella sicurezza.

Come funziona?
OCSP comunica on line agli utenti la situazione dei certificati in tempo reale; ne consegue una maggiore velocità rispetto al sistema CRL, senza le stesse preoccupazioni logistiche e sul carico di elaborazione. 
Per controllare immediatamente le revoche, un’applicazione client di un’organizzazione forma una richiesta e la invia a un OCSP responder, cioè un’applicazione server in rete che raccoglie le informazioni aggiornate sulle revoche. Il responder replica con uno dei tre messaggi sulla validità di un certificato: "GOOD", "REVOKED" o "UNKNOWN" ("VALIDO", "REVOCATO" o "SCONOSCIUTO"). La richiesta OCSP è indipendente dal protocollo utilizzato, sebbene quello HTTP (Hypertext Transport Protocol) rappresenti l’approccio più comune. Una CA o un’altra entità fornisce un OCSP responder a istituzioni che fanno parte della gerarchia fidata dell’infrastruttura a chiave pubblica. Per chi utilizza i responder OCSP, il modo migliore per ottenere tali informazioni è avere la CA che le immette direttamente nel responder. 

A seconda del rapporto tra la CA e il responder OCSP, la CA potrebbe inviare notifica immediata di una revoca di un certificato, che sarebbe quindi istantaneamente disponibile agli utenti. 
Una scelta importante riguarda l’utilizzo o meno di responder che memorizzano certificati e situazioni effettive all’interno di database. Spesso chiamati repository, questi responder permettono alle organizzazioni di accedere a più informazioni sui certificati e sulla loro situazione in modo tale che gli utenti possano prendere decisioni basandosi su più dati circa l’affidabilità dei partner commerciali.
Il gioco (cioè il costo) vale dunque la candela di mantenere un database dei certificati. Oltre a OCSP, i repository possono anche supportare LDAP (Lightweight Directory Access Protocol) per l’uso con applicazioni client. 
OCSP rende semplice il collegamento di organizzazioni a più responder, per facilitare le transazioni business-to-business. 
Questo significa che se un’organizzazione richiede la situazione di un certificato a un responder che non possiede tali informazioni, quel responder può ottenerle da un altro responder. 
Creare una rete di responder di questo tipo offre ai partner commerciali più flessibilità per la validazione di certificati "stranieri" e per fare affari insieme sulla Rete. 
Le organizzazioni che operano a livello di commercio elettronico business-to-business potrebbero per esempio unirsi in un sistema di tipo OCSP in grado di tenere traccia dei dati sulle transazioni e di supportare applicazioni di fatturazione. 

Un ringraziamento a Networking, autore dell'articolo.


Archivio approfondimenti

Newsletter in collaborazione con:
beactive.it

Google
Web
Tariffe.it

 
 
 
 
 
 
Copyright 1999-2012 Tariffe S.r.l. Tutti i diritti riservati - Via dell'Industria, 84 01100 Viterbo - P.IVA 02123991206