ciao a tutti,
nel mio ufficio stiamo utilizzando un'applicazione web per la gestione dei clienti, dettagli della loro documentazione, etc... Ho installato un certificato di sicurezza (un file .cer generato da uno strumento chiamato makecert della microsoft) e quando mi collego digito "https" in modo tale che, mi spiegava il tecnico-programmatore, i dati viaggiano protetti e crittografati.
Mi è sorto un dubbio: ho provato a disinstallare il certificato e con grande stupore... la connessione con "https" funziona uguale e mi autentico senza problemi!

A questo punto vi chiedo:
- basta veramente digitare https: per avere una connessione protetta?
- Come è possibile che senza quel certificato mi posso loggare con successo? Allora non serviva a niente installarlo.

Grazie in anticipo per le eventuali risposte

ciao ciao

- basta veramente digitare https: per avere una connessione protetta?
- Come è possibile che senza quel certificato mi posso loggare con successo? Allora non serviva a niente installarlo.
Per cifrare il contenuto della connessione basta usare il protocollo https.
Il certificato sul client può servire per il riconoscimento del client stesso (visto che è autogenerato). A quanto pare però l'applicazione remota non verifica l'autenticità del client visto che funziona anche senza certificato, magari non è ancora configurata del tutto...

sì esatto magari è ancora in fase di test cioè non è "consolidata", oppure è proprio un baco per un errore di configurazione.
ad ogni modo il client dovrebbe, a far bene, accettare i certificati solo per la sessione corrente in questo modo ogni volta viene riscaricato e si è sicuri d'usare la versione corretta del certificato :)

ciao ragazzi
riutilizzo questo post per fare una domanda:
ha realmente qualche vantaggio in fatto di sicurezza che io mi colleghi al mio nas casalingo in https anziché in http?
Io sul mio router ho forwardato solo la porta in https in questo modo è impossibile collegarmi al nas dall'esterno in http. E' un accorgimento di sicurezza valido? Ovviamente il nas non mi chiede alcun certificato, si tratta di un QNAP. Sapete se posso installarvi io un certificato?
Ciao

ciao ragazzi
riutilizzo questo post per fare una domanda:
ha realmente qualche vantaggio in fatto di sicurezza che io mi colleghi al mio nas casalingo in https anziché in http?
Io sul mio router ho forwardato solo la porta in https in questo modo è impossibile collegarmi al nas dall'esterno in http. E' un accorgimento di sicurezza valido? Ovviamente il nas non mi chiede alcun certificato, si tratta di un QNAP. Sapete se posso installarvi io un certificato?
Ciao

se è preddisposto per consentire l'uso del protocollo https dovrebbe anche chiedere un'autenticazione perchè altrimenti qualsiasi individuo che puntasse al tuo ip potrebbe accedere al nas di conseguenza senza login avere una connessione https o http è assolutamente uguale :)

se proprio non vuoi l'autenticazione allora ti consiglio caldamente di non dare la possibilità di accesso dall'esterno della lan :)

Non basta cambiare la porta dalla 80 alla 443 per attivare la crittografia nel protocollo HTTPS. Che il browser digitando https://indirizzodelnas si connetta, e' come digitare http://indirizzodelnas:443 ma cio' non attiva, non essendoci alcuno scambio chiave, nessuna crittografia.

Non basta cambiare la porta dalla 80 alla 443 per attivare la crittografia nel protocollo HTTPS. Che il browser digitando https://indirizzodelnas si connetta, e' come digitare http://indirizzodelnas:443 ma cio' non attiva, non essendoci alcuno scambio chiave, nessuna crittografia.

non ci avevo pensato! Grazie per l'ottimo appunto, a questo punto non so come sfruttare questa caratteristica del mio nas,,, :(

non ci avevo pensato! Grazie per l'ottimo appunto, a questo punto non so come sfruttare questa caratteristica del mio nas,,, :(

come dicevo, usando l'autenticazione.