Passa ai contenuti principali

Post

Visualizzazione dei post da dicembre, 2018

HTTPS: dettagli sulla autenticazione del server

Ho ricevuto una domanda sui certificati, in vista della provetta di fine corso "Reti di Calcolatori". Domanda che coinvolge alcuni dei molti (molti, molti...) aspetti e problemi che purtroppo non è stato possibile approfondire nel corso e quindi non fanno parte del programma di esame. Aspetti e problemi che comunque sono, secondo me, interessanti...pertanto ho deciso di discuterli qui. Sono proprietaria di un sito il cui nome è stato realizzato con il non custom domain, mi faccio certificare da una Certification Authority la quale mi da una chiave pubblica, una privata e il certificato in cui associa il mio DNS name a tale chiave pubblica. Dopo qualche tempo decido di passare alla versione di webhosting che mi consente di scegliere il nome che desidero per il mio sito. Se faccio ciò vuol dire che dovrò tornare dalla CA per farmi dare un nuovo certificato, cambierà anche la chiave pubblica associata a questo nuovo nome? Oppure posso comunque tenere quella precedente? L

Esperienza con la PEC: com'è andata a finire

Nel post precedente avevo descritto una " Esperienza (poco consolante) con la PEC ". Concludevo in questo modo: Vedo due possibili spiegazioni per questa vicenda: Non è un tentativo di attacco. Al contrario di quanto mi è stato detto dall'assistenza, il rinnovo del mio abbonamento PEC ha provocato l'invio automatico di un allegato PDF (magari a causa dell'adeguamento di Aruba alla GDPR) e questo invio è stato catalogato erroneamente come mia richiesta di assistenza. E' un tentativo di attacco. Non ho elementi sufficienti per affermare con ragionevole certezza se siamo nel caso 1 o nel caso 2. Posso però affermare con certezza che se siamo nel caso 1 allora l'assistenza clienti ed il processo di gestione di queste tematiche da parte di Aruba lascia molto a desiderare (eufemismo). Successivamente alla pubblicazione del mio post ci sono state varie interazioni che hanno chiarito la vicenda. In breve: eravamo nel caso 1: il mail sospetto non era

Esperienza (poco consolante) con la PEC

Il 20 Novembre ricevo un email da Aruba, il provider della mia PEC personale. Caso da manuale di email da trattare con attenzione, perché: Non avevo inviato nessuna richiesta ad Aruba. Mi invitava ad aprire un allegato PDF. Ovviamente mi sono comportato come dico sempre di fare nei corsi di sensibilizzazione sulla sicurezza informatica : non ho scaricato l'allegato e mi sono collegato alla mia area personale Aruba (senza seguire nessun link nell'email). Se il messaggio fosse stato autentico, infatti, nella mia area personale ci sarebbe stata una copia della richiesta. Come mi aspettavo, nella mia area personale non c'era nessuna richiesta da parte mia.  Visto che neanche 24 ore prima era stata resa pubblica una intrusione molto grave in un provider PEC , invece di archiviare l'email e segnalarlo come spam ho speso qualche minuto per approfondire. Ho analizzato gli header del messaggio email per verificare il cammino seguito dal messaggio (informazioni