Cerchiamo di non fare confusione. Una cosa sono le CA che emettono certificati SSL per web server, altro le CA che emettono certificati per firme digitali. Queste ultime devono sottostare alla normativa italiana sulle firme digitali, in particolare devono emettere certificati digitali secondo le prescrizione tecniche dei decreti attuativi in materia.
Per i certificati SSL invece, non esiste alcuna indicazione per la pubblica amministrazione. Faccio presente che per accreditare un certificato di CA all'interno di un broswer (IE o firefox), bisogna pagare (non poco) i produttori del broswer. Saluti Luigi Il giorno 8 maggio 2009 12.47, yersinia <[email protected]> ha scritto: > > > > Sulla sua richiesta c'? un po' di confusione. Le CA normalmente hanno > > la possibilit? di rilasciare diversi tipi di certificato. I > > certificati rilasciati tipicamente per server https sono rilasciati da > > CA root o da CA "trustate" da CA root (questo ? vero per le CA AIPA > > che conosco quali postecom, BNL Multiservizi ed altri). > > > Proprio in questo pu? esserci un problema di immagine, soprattutto se > la CA accreditata ? un ente pubblico. Quest'ultimo infatti spesso, > sempre, introduce > accanto alla CA per la firma digitale, quella "accreditata", una CA > per i servizi "web" - applicativa. Le due CA potrebbero condividere le > medesime scelte progettuali, di disegno, architettura e sicurezza, con > i relativi costi : potrebbe essere difficile giustificare che per i > servizi web istituzionali risulti necessario affidarsi a CA root > esterne, con addizionali costi, avendone di principio la piena leicit? > per la comprovata aderenza alle norme in tema di emissione di > certificati digitali. In fin dei conti vi sarebbero 8/9 milioni di > buoni motivi, per adoperare la propria CA :=). Per un ente pubblico > poi forse non sarebbero rispettati i principi della sana e prudente > gestione, tenendo presente che l'iter per diventare una root CA ha dei > costi diretti notevolmente pi? bassi, di ordini di grandezza se non > inesistenti del tutto, che diventare una CA accreditata presso il > CNIPA. > > Riporto alla mailing list qualora fosse interessato al tema qualcun altro. > > Saluti > > Elia > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
