> > Sulla sua richiesta c'è un po' di confusione. Le CA normalmente hanno > la possibilità di rilasciare diversi tipi di certificato. I > certificati rilasciati tipicamente per server https sono rilasciati da > CA root o da CA "trustate" da CA root (questo è vero per le CA AIPA > che conosco quali postecom, BNL Multiservizi ed altri). > Proprio in questo può esserci un problema di immagine, soprattutto se la CA accreditata è un ente pubblico. Quest'ultimo infatti spesso, sempre, introduce accanto alla CA per la firma digitale, quella "accreditata", una CA per i servizi "web" - applicativa. Le due CA potrebbero condividere le medesime scelte progettuali, di disegno, architettura e sicurezza, con i relativi costi : potrebbe essere difficile giustificare che per i servizi web istituzionali risulti necessario affidarsi a CA root esterne, con addizionali costi, avendone di principio la piena leicità per la comprovata aderenza alle norme in tema di emissione di certificati digitali. In fin dei conti vi sarebbero 8/9 milioni di buoni motivi, per adoperare la propria CA :=). Per un ente pubblico poi forse non sarebbero rispettati i principi della sana e prudente gestione, tenendo presente che l'iter per diventare una root CA ha dei costi diretti notevolmente più bassi, di ordini di grandezza se non inesistenti del tutto, che diventare una CA accreditata presso il CNIPA.
Riporto alla mailing list qualora fosse interessato al tema qualcun altro. Saluti Elia ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
