Entries filed under Network

Linux, Apache ed OpenSSL

Posted on April 20, 2014 Comments

Abbiamo in un post passato parlato in breve di OpenSSL e del grave bug conosciuto come Heartbleed.

Ora descriveremo in breve come creare un certificato SSL su Apache installato su Linux (distro Debian).

Cominciamo con installare Apache

sudo apt-get install apache2

dopodichè abilitare SSL e riavviare apache:


sudo a2ensite default-ssl

sudo a2enmod ssl

sudo service apache2 restart

Creiamo una cartella in cui conservare i certificati, (i.e. etc/apache2/ssl), ed usiamo openssl per creare key e certificato:

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

Saranno chieste delle informazioni come ad esempio lo stato, il nome del server (anche l’ip va bene) ecc.

Aprire con Vim il file default-ssl:


vim /etc/apache2/sites-available/default-ssl

ed all’interno della sezione che comincia con <VirtualHost default:443>,

aggiungere:


ServerName yourdomain.it:443

ed accertarsi che ci siano nel file le seguenti tre linee:


SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key

Notate che per cercare in VIM basta digitare / (slash) e la parola da cercare.

attiviamo SSL per il nuovo virtual host e ricarichiamo apache:


sudo a2ensite default

sudo service apache2 reload

 

That’s all. Ovviamente se nessuna autorità vi certifica il sito (CA= certification authority), gli utenti riceveranno l’avviso di sito con certificato non autorizzato/scaduto.

Heartbleed: quando una falla fa tremare il mondo…

Posted on April 20, 2014 Comments

Negli ultimi giorni il mondo di Internet ha tremato. Una falla nel famosissimo protocollo SSL ha aperto immense vulnerabilità in gran parte dei siti web.

OpenSSL implementa SSL con codice open source e dopo i problemi già avuti in passato con questo protocollo e Debian, ora si passa a qualcosa di più serio: attacchi completamente intracciabili. Si legge in giro che oltre il 60% dei siti web sia (o sia stato) vulnerabile all’attacco. Questo vuol dire che in 60% dei siti web, un hacker che conosceva la falla poteva entrare, fare ciò che voleva ed uscirsene, il tutto senza nessuna traccia.

Ed allora… si riapre la faida: quanto il software open source è sicuro dato che è “open”. Gli equilibri non si sono mossi. I sostenitori dell’open continuano a dire che il lavoro di tante mente può solo generare prodotti migliori e che proprio il fatto che sia open renda più sicuri gli algoritmi perché:

1) Sono ipertestati.

2) E’ molto più veloce il fix di bug.

I contrari ora invece trovano terreno fertile: Snowden ha dichiarato che questo bug era noto all’NSA da almeno due anni…

La sicurezza affidata all’open source… è davvero così sicura?