> Mi dispiace contraddirti ma una CA è una CA, una PKI infrastructure, > nel momento che gestisce certificati X.509, non ha molta importanza se > emetta certificati client, server, o network, ecc. e il riutilizzo, > come suggerisce Yersinia, della stessa PKI infrastructure per scopi > diversi, è attualmente un'ottima idea.
Stavolta spiace a me contraddirti. Una PKI infrastucture gestisce certificati X.509, ma non sono tutte uguali. Possa avre una CA interamente gestita su un PC utilizzando gli script di openssl oppure una infrastuttura che deve rispettare precisi vincoli in termini di rispondenza a standard di sicurezza. > > Stai piuttosto attento a non confondere due cose ben diverse: > > 1) la struttura tecnica richiesta dal sistema di PEC - che come dici > tu, deve rispettare certe direttive > 2) la struttura di PKI sottostante che gestisce la generazione > (controllo, revoca, ecc.) dei certificati digitali usati per gli > utenti Stai attento tu a non confondere due cose diverse. Il CNIPA ha due liste certificatori accreditati: una per le firme digitali, una per i gestori della PEC. E le due liste non coincidono. > > Sono due cose ben diverse. Infatti puoi benissimo riutilizzare la > stessa infrastruttura PKI per generare qualsiasi tipo di certificato > X.509. Infatti è esattamente quello che facciamo noi - abbiamo la > nostra CA aziendale che è "firmata" da GeoTrust/Verisign - quindi è > riconosciuta da qualsiasi applicazione, browser, dispositivo mobile, > persino routers e firewall... ecc. Cioè per emettere certificati di autenticazione SSL... > Dal momento che emetti i certificati rispettando correttamente le > specifiche X.509, essi funzionano bene sui nostri web server, nei > nostri laptop che si autenticano via 802.1x nella rete aziendale, nei > nostri collegamenti VPN site2site, come firma digitale nelle nostre > email aziendali, e nei vostri telefoni cellulari quando installate una > applicazione firmata digitalmente :-) eccetera... > ...o per emettere certificati per la firma digitale delle applicazioni, non certo per emettere certificati qualificati secondo la normativa vigente in tema di firme elettroniche. > Potrebbe benissimo funzionare per emettere certificati client per PEC. > Non vedo perché no :-) > Ho l'impressione che ci sia solo un equivoco. Yersinia, parlava nella suo primo messaggio dei certificatori di firma digitale, non dei gestori della PEC. Probabilmente l'equivoco nasce dal fatto che tutti i certificatori sono anche gestori di PEC. Non è invece vero il contrario. La mia risposta voleva solo sottolineare la firma digitale (quella a norma di legge) e i certificati SSL, pur utilizzando gli stessi standard tecnici, sono due ambiti applicativi completamente diversi per finalità e impatti tecnici. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
