none
IIS e SSL RRS feed

  • Domanda

  • Salve a tutti, ho creato un applicazione web che deve essere utilizzata dai lavoratori della mia azienda che però hanno bisogno di utilizzarla dall'esterno della rete aziendale, quindi ho deciso di creare un applicazione web (.net .aspx) che ho installato su IIS.

    IIS versione 8.5 e windows server 2012, ho impostato il protocollo https e ho abilitato basic authentication, quindi ho creato i vari utenti sotto windows server, ho creato anche un certificato self-signed installato su client e server (anche se non ho capito bene a cosa serve) e tutto funziona correttamente.

    Quando però accedo all'applicazione da web i browser avvertono l'utente che il server non è sicuro (questo perchè non abbiamo un certificato ssl sicuro...magari in futuro lo compreremo).

    Io però vorrei essere sicuro che i client siano sicuri, cioè che interagiscano con il server tramite un canale sicuro e cifrato per evitare che qualcuno posso recuperare informazioni dalla rete pubblica mentre l'applicazione è in uso.

    Da quello che ho capito il certificato serve a garantire che il server è affidabile ma per fare il contrario,? Cioè se voglio garantire che il client abbia una comunicazione con il server protetta basta installare sul client un certificato self-signed?

    Ho provato a installare sul client il certificato self-signed che ho creato con IIS ma comunque tutti i browser dicono che il server non è sicuro.

    Spero di essere stato chiaro, grazie per il chiarimento

    mercoledì 11 maggio 2016 16:06

Risposte

  • è corretta la risposta di aperilli: anche con il solo certificato sul server, la comunicazione tra server e client e viceversa risulta comunque crittografata. non è necessario avere anche un certificato lato client (che potrebbe servire se necessitasse l'autenticazione basata su certificato). la segnalazione di comunicazione non sicura che si riceve sul browser del client è dovuta esclusivamente al fatto che il certificato del server non viene completamente validato in base agli standard ossia il certificato del server non soddisfa uno di questi requisiti:

    1) il certificato deve essere trustato da una autorità di certificazione valida presente sia sul serve sia sul client;

    2) il certificato non deve essere stato revocato o presente nella CRL (certificate revocation list) pubblicata dalla CA

    3) il certificato deve essere in corso di validità ossia la data in ciu il client contatta quel web server deve essere compresa tra la data di inizio validità e quella di fine validità del certificato stesso

    4) il certificato deve avere come common name lo stesso nome di dominio di secondo livello sul quale è pubblicato il web server (es: www.dominio.com) oppure l'indirizzo ip pubblico usato se non esiste un alis sul dns per raggiungere il webserver

    detto questo, rimane comunque essenziale che con il solo certificato lato server, anche se questo non viene rietenuto valido e presenta l'alert sul browser del client, la comunicazione tra le due macchine è comunque criptata.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    lunedì 16 maggio 2016 12:56
    Moderatore

Tutte le risposte

  • Ciao,

    anche se il certificato del server non é riconosciuto la comunicazione é sicura. Puoi autenticare i client con un certificato puoi seguire questa guida: https://technet.microsoft.com/en-us/library/cc732996.aspx


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 11 maggio 2016 17:52
  • Ciao Massimo, hai valutato l'utilizzo di un firewall con relativa VPN per evitare di esporre il server web intranet?

    Saluti
    Nino

    giovedì 12 maggio 2016 05:49
    Moderatore
  • Grazie, provo a documentarmi in merito e vi faccio sapere.
    giovedì 12 maggio 2016 15:46
  • è corretta la risposta di aperilli: anche con il solo certificato sul server, la comunicazione tra server e client e viceversa risulta comunque crittografata. non è necessario avere anche un certificato lato client (che potrebbe servire se necessitasse l'autenticazione basata su certificato). la segnalazione di comunicazione non sicura che si riceve sul browser del client è dovuta esclusivamente al fatto che il certificato del server non viene completamente validato in base agli standard ossia il certificato del server non soddisfa uno di questi requisiti:

    1) il certificato deve essere trustato da una autorità di certificazione valida presente sia sul serve sia sul client;

    2) il certificato non deve essere stato revocato o presente nella CRL (certificate revocation list) pubblicata dalla CA

    3) il certificato deve essere in corso di validità ossia la data in ciu il client contatta quel web server deve essere compresa tra la data di inizio validità e quella di fine validità del certificato stesso

    4) il certificato deve avere come common name lo stesso nome di dominio di secondo livello sul quale è pubblicato il web server (es: www.dominio.com) oppure l'indirizzo ip pubblico usato se non esiste un alis sul dns per raggiungere il webserver

    detto questo, rimane comunque essenziale che con il solo certificato lato server, anche se questo non viene rietenuto valido e presenta l'alert sul browser del client, la comunicazione tra le due macchine è comunque criptata.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    lunedì 16 maggio 2016 12:56
    Moderatore
  • Quindi non è necessario installare il certificato (self-signed creato e installato su IIS) sul client.

    Ma è possible non mostrare il messaggio che compare su tutti i browser? Agendo sul browser posso disabilitare questa funzione (non intendo farlo da aspent)? Intendo dire ce qualche opzione da impostare sul browser delle workstation degli utenti?

    lunedì 16 maggio 2016 15:40
  • No, se ci fosse un'opzione per aggirare il warning di un certificato non riconosciuto sarebbe la piú usata dagli scammers :)

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli lunedì 16 maggio 2016 15:48
    lunedì 16 maggio 2016 15:48
  • dovresti comunque dirmi quale delle 4 condizioni che ti ho scritto sopra risulta non verificata e dovresti, conseguentemente usare un certificato che soddisfi tutte quelle condizioni e sia installato sul server oltre ad installare il certificato padre di questo anche sui clients affinchè non sia interrotta la catena di certificazione.

    ovviamente vale quello che ha scritto aperelli ossia non puoi agire sui clients, puoi solo agire lato server installare un certificato più adatto rispetto a quello attuale.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org



    lunedì 16 maggio 2016 15:52
    Moderatore
  • Quindi non è necessario installare il certificato (self-signed creato e installato su IIS) sul client.

    Ma è possible non mostrare il messaggio che compare su tutti i browser? Agendo sul browser posso disabilitare questa funzione (non intendo farlo da aspent)? Intendo dire ce qualche opzione da impostare sul browser delle workstation degli utenti?

    Se vuoi evitare il warning, dovresti mettere la tua personale CA (quella che ha emesso il certificato self signed) nelle root certification authority; a questo punto il tuo certificato diventerà attendibile, certo non potrà mai avere la barra verde...

    https://blogs.technet.microsoft.com/sbs/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista/

    ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    lunedì 16 maggio 2016 19:48
    Moderatore