1 Nov
2016
1 Nov
'16
1:26 p.m.
Buon pomeriggio,
ho installato Ubuntu serser su un pc al quale ho aggiunto ownCloud server.
Non ho un IP statico pubblico ma nemmeno mi serve in quanto uso il cloud
solo in locale.
In pratica il server è collegato tramite lan al modem/router che uso
anche per navigare il internet, tramite il wireless sono collegati 2 pc
e un android.
Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso
creare un certificato SSL per collegarmi al cloud con https?
Buona festa
grazie
andrea
--
GnuPG - ID chiave pubblica: 0x855121BB
SIP - congiu.andr(a)ekiga.net
1 Nov
1 Nov
3:14 p.m.
On 2016-11-01 12:26, Andrea Congiu wrote:
Tutto funziona, però mi chiedevo, pur lavorando solo
in locale ha senso
creare un certificato SSL per collegarmi al cloud con https?
Dipende dal tuo threat model. Da chi cerchi di difenderti? Quanto sono
preziosi i dati scambiati con il server?
Nella stragrande maggioranza dei casi direi che non è necessario usare
HTTPS in locale.
Immagino che la tua rete WiFi sia WPA2-PSK protetta e che la chiave
pre-shared abbastanza difficile da indovinare. Questo dovrebbe
proteggerti da vicini troppo invadenti.
Se un tuo partner/coinquilino/ospite è sulla stessa rete WiFi (cioè è in
possesso della password WiFi) allora non sarebbe troppo difficile
loggare e decifrare il tuo traffico. Se questo è una situazione vorresti
evitare, allora avrrebbe la pena di usare HTTPS.
Nei scenari dove sei un target di alto valore per qualche ente (servizi
segreti, ex amante tradita che lavora per il tuo provider e ha accesso a
delle backdoor nel tuo router, ...) allora sarebbe saggio assumere che
la tua rete locale non è veramente locale, e aggiungendo un altro strato
di sicurezza non sarebbe sbagliato.
Se fosse completamente indolora abilitare e usare HTTPS per un server in
locale, ti consiglierei di farlo. Ma se le tue esigenze di sicurezza
sono quelle di un pinco pallino qualunque (senza offesa!) allora forse
non vale la pena di farlo...
I miei 2¢,
Thomas
4:47 p.m.
Ciao e grazie per le risposte, anche a Daniele.
Il mio modem/ruoter ha una password di una trentina di caratteri casuali
compresi quelli speciali, nessuno è in possesso della password e i dati
non contengono nulla di sensibile.
Ho comunque creato un certificato autofirmato e funziona parzialmente,
ogni volta che mi collego mi dice che il sito non è sicuro, e se metto
l'eccezione funziona ma la seccatura che la spunta per l'eccezione
permanente non è abilitata.
Grazie a tutti
saluti
andrea
Il 01/11/2016 15:14, Thomas Pircher ha scritto:
On 2016-11-01 12:26, Andrea Congiu wrote:
--
GnuPG - ID chiave pubblica: 0x855121BB
SIP - congiu.andr(a)ekiga.net
Tutto funziona, però mi chiedevo, pur lavorando
solo in locale ha senso
creare un certificato SSL per collegarmi al cloud con https?
Dipende dal tuo threat model. Da chi cerchi di difenderti? Quanto sono
preziosi i dati scambiati con il server?
Nella stragrande maggioranza dei casi direi che non è necessario usare
HTTPS in locale.
Immagino che la tua rete WiFi sia WPA2-PSK protetta e che la chiave
pre-shared abbastanza difficile da indovinare. Questo dovrebbe
proteggerti da vicini troppo invadenti.
Se un tuo partner/coinquilino/ospite è sulla stessa rete WiFi (cioè è
in possesso della password WiFi) allora non sarebbe troppo difficile
loggare e decifrare il tuo traffico. Se questo è una situazione
vorresti evitare, allora avrrebbe la pena di usare HTTPS.
Nei scenari dove sei un target di alto valore per qualche ente
(servizi segreti, ex amante tradita che lavora per il tuo provider e
ha accesso a delle backdoor nel tuo router, ...) allora sarebbe saggio
assumere che la tua rete locale non è veramente locale, e aggiungendo
un altro strato di sicurezza non sarebbe sbagliato.
Se fosse completamente indolora abilitare e usare HTTPS per un server
in locale, ti consiglierei di farlo. Ma se le tue esigenze di
sicurezza sono quelle di un pinco pallino qualunque (senza offesa!)
allora forse non vale la pena di farlo...
I miei 2¢,
Thomas
_______________________________________________
http://lists.lugbz.org/cgi-bin/mailman/listinfo/lugbz-list
5:21 p.m.
On 2016-11-01 15:47, Andrea Congiu wrote:
ogni volta che mi collego mi dice che il sito non è
sicuro, e se metto
l'eccezione funziona ma la seccatura che la spunta per l'eccezione
permanente non è abilitata.
Riferivo anche a questo quando dicevo che un certificato locale non è
senza problemi.
Quello che potresti fare è creare la tua certification authority (CA)
locale, ed importare il root certificato nei tuoi computer + android.
Poi crei la chiave ed il certificate sign request (CSR) per il tuo cloud
server.
Infine con il CSR ed la tua CA generi un certificato (CRT) per il tuo
cloud server. Questo certificato verrà accettato dai tuoi computer
perché si fidono della tua CA.
Non è la cosa più piacevole da fare, e la documentazione di openssl non
proprio un piacere da leggere, ma è certamente fattibile.
Th
3:19 p.m.
Il 1 novembre 2016 13:26:36 CET, Andrea Congiu <congiu.andr(a)gmail.com> ha scritto:
Tutto funziona, però mi chiedevo, pur lavorando solo in
locale ha senso
creare un certificato SSL per collegarmi al cloud con https?
Ciao!
Un motivo per cui potrebbe valerne la pena è che se ti trovi ospite di un'altra rete
wireless che condivide la stessa classe di indirizzi di casa tua il tuo telefono andrà a
cercare l'IP del tuo server casalingo, e se lì ci dovesse essere qualche server web in
ascolto questo riceverebbe la tua password. Teoricamente questo potrebbe succedere anche
quando sei collegato alla tua rete mobile, ma non credo che usiate le stesse classi di IP
con il tuo operatore :-)
Se puoi aggiungere un certificato auto firmato al tuo sistema android (e ancora meglio se
puoi farne il "pinning" nella app che usi per sincronizzare i dati) non corri
questo rischio.
Ciao,
Daniele
--
1781
days inactive
1781
days old
4 comments
3 participants
participants (3)
-
Andrea Congiu -
Daniele Gobbetti -
Thomas Pircher