Ho ricevuto una domanda sui certificati, in vista della provetta di fine corso "Reti di Calcolatori". Domanda che coinvolge alcuni dei molti (molti, molti...) aspetti e problemi che purtroppo non è stato possibile approfondire nel corso e quindi non fanno parte del programma di esame. Aspetti e problemi che comunque sono, secondo me, interessanti...pertanto ho deciso di discuterli qui.
Sono proprietaria di un sito il cui nome è stato realizzato con il non custom domain, mi faccio certificare da una Certification Authority la quale mi da una chiave pubblica, una privata e il certificato in cui associa il mio DNS name a tale chiave pubblica.
Dopo qualche tempo decido di passare alla versione di webhosting che mi consente di scegliere il nome che desidero per il mio sito.
Se faccio ciò vuol dire che dovrò tornare dalla CA per farmi dare un nuovo certificato, cambierà anche la chiave pubblica associata a questo nuovo nome? Oppure posso comunque tenere quella precedente?
La risposta è intricata.
In generale, ogni volta che un SubjectFisico desidera un nuovo certificato occorre che acquisisca una nuova coppia di chiavi. Abbiamo visto a lezione: le chiavi sono costruite e rilasciate dalla CA, non dal SubjectFisico. Quindi se la domanda è "quando un sito cambia nome può usare le stesse chiavi di prima?" allora la risposta è "no".
Cosa accade con i non custom domain dipende dalla forma del nome.
In Google Sites con non custom domain il nome è lo stesso per tutti i siti del mondo:
sites.google.com/.....
Nella vecchia versione di Google Sites era disponibile solo http, in quella nuova è disponibile solo https. Se andate su un sito Google Sites nuova versione, trovate quindi lo stesso certificato per tutti i siti (non ho nessuno sottomano da indicarvi: il mio sito personale è su Google Sites nuova versione ma ha un custom domain; il sito del Machine Learning Lab è su Google Sites vecchia versione).
La gestione più comune dei non custom domain, comunque, è quella della forma usata, ad esempio, da Blogger, cioè da questo sito che state leggendo:
https://bartoli-alberto.blogspot.com/
La parte in blu è diversa per ogni sito ospitato da Blogger. E' un non custom domain perché la struttura è la stessa per tutti i siti ospitati da Blogger.
A questo punto la cosa si complica. Il sito è https ma io non sono andato da nessuna CA e non ho nessuna coppia chiave pubblica-chiave privata.
Quindi Blogger crea automaticamente una coppia di chiavi diversa per ogni sito che ospita? No. Blogger usa la stessa coppia di chiavi per tutti i siti che ospita.
Allora su Blogger ci sono tanti certificati diversi (uno per ogni sito ospitato) che hanno Subject diverso e stessa chiave pubblica? No. C'è un solo certificato valido per tutti i siti: il Subject di quel certificato ha una forma particolare:
*.blogspot.com.
dove '*' viene interpretato dal browser come "qualsiasi sequenza di caratteri" (ok, non chiediamoci "e se io volessi usare come nome proprio *?"). Pertanto, quando il browser riceve il certificato e verifica che il Subject contenga lo stesso DNS name che trova nell'URL, la verifica ha successo. Quindi quel certificato, e la corrispondente singola coppia di chiavi che è stata messa una volta per tutte sul web server di Blogger, vale per tutti i siti ospitati su Blogger.
Bello e semplice....solo che la cosa si complica ulteriormente.
Andando a vedere il certificato inviato dal web server , si scopre che il Subject non ha nulla a che vedere con blogspot.com:
E allora? I certificati ed il procedimento di verifica prevedono la presenza di un ulteriore campo che si chiama SubjectAltName ed il cui valore contiene altri nomi che possono essere associati a quel certificato (cioè nomi DNS che possono essere usati dai server che presentano quel certificato). In quel certificato si trovano molti nomi tra i quali, appunto, "*.blogspot.com".
Piccole riflessioni finali.
Sono proprietaria di un sito il cui nome è stato realizzato con il non custom domain, mi faccio certificare da una Certification Authority la quale mi da una chiave pubblica, una privata e il certificato in cui associa il mio DNS name a tale chiave pubblica.
Dopo qualche tempo decido di passare alla versione di webhosting che mi consente di scegliere il nome che desidero per il mio sito.
Se faccio ciò vuol dire che dovrò tornare dalla CA per farmi dare un nuovo certificato, cambierà anche la chiave pubblica associata a questo nuovo nome? Oppure posso comunque tenere quella precedente?
La risposta è intricata.
In generale, ogni volta che un SubjectFisico desidera un nuovo certificato occorre che acquisisca una nuova coppia di chiavi. Abbiamo visto a lezione: le chiavi sono costruite e rilasciate dalla CA, non dal SubjectFisico. Quindi se la domanda è "quando un sito cambia nome può usare le stesse chiavi di prima?" allora la risposta è "no".
Cosa accade con i non custom domain dipende dalla forma del nome.
In Google Sites con non custom domain il nome è lo stesso per tutti i siti del mondo:
sites.google.com/.....
Nella vecchia versione di Google Sites era disponibile solo http, in quella nuova è disponibile solo https. Se andate su un sito Google Sites nuova versione, trovate quindi lo stesso certificato per tutti i siti (non ho nessuno sottomano da indicarvi: il mio sito personale è su Google Sites nuova versione ma ha un custom domain; il sito del Machine Learning Lab è su Google Sites vecchia versione).
La gestione più comune dei non custom domain, comunque, è quella della forma usata, ad esempio, da Blogger, cioè da questo sito che state leggendo:
https://bartoli-alberto.blogspot.com/
La parte in blu è diversa per ogni sito ospitato da Blogger. E' un non custom domain perché la struttura è la stessa per tutti i siti ospitati da Blogger.
A questo punto la cosa si complica. Il sito è https ma io non sono andato da nessuna CA e non ho nessuna coppia chiave pubblica-chiave privata.
Quindi Blogger crea automaticamente una coppia di chiavi diversa per ogni sito che ospita? No. Blogger usa la stessa coppia di chiavi per tutti i siti che ospita.
Allora su Blogger ci sono tanti certificati diversi (uno per ogni sito ospitato) che hanno Subject diverso e stessa chiave pubblica? No. C'è un solo certificato valido per tutti i siti: il Subject di quel certificato ha una forma particolare:
*.blogspot.com.
dove '*' viene interpretato dal browser come "qualsiasi sequenza di caratteri" (ok, non chiediamoci "e se io volessi usare come nome proprio *?"). Pertanto, quando il browser riceve il certificato e verifica che il Subject contenga lo stesso DNS name che trova nell'URL, la verifica ha successo. Quindi quel certificato, e la corrispondente singola coppia di chiavi che è stata messa una volta per tutte sul web server di Blogger, vale per tutti i siti ospitati su Blogger.
Bello e semplice....solo che la cosa si complica ulteriormente.
Andando a vedere il certificato inviato dal web server , si scopre che il Subject non ha nulla a che vedere con blogspot.com:
Piccole riflessioni finali.
- Spero siate ancora più convinti del fatto che tra lo strumento "crittografia" e le sue applicazioni reali c'è una distanza enorme: "Whenever anyone says that a problem is easily solved by cryptography, it shows that he doesn’t understand it".
- Alla fine del corso, il significato del post "Come organizzo lo studio di Internet" acquista forse un nuovo significato.
Commenti