Certificati SSL Self-Signed in SBS 2008
In SBS 2008 è cambiato il modo di gestire i certificati self-signed utilizzati per accedere a Owa e al Remote Web Workplace.
Con SBS 2003 il certificato usato da IIS era di questo tipo:
Come si può notare i nomi Issued to e Issued by e bastava usare il pulsante Install Certificate… per installare il certificato nel proprio computer e non essere più disturbati dalla noiosa maschera di notifica di un problema al certificato.
Con SBS 2008 invece viene installata una Certificate Authority (CA) di default che rilasca tutti i certificati necessari alla struttura. In questo caso il certificato non è del tipo Self-Signed e appare in questo modo:
E’ possibile notare che in questo caso il certificato è stato rilasciato dalla CA dominio-SRV-SBS-CA per il nome remote.dominio.it. Visto che tutti i certificati saranno rilasciati da questa CA basterà installare il suo certificato per riconoscerli automaticamente.
Il wizard Internet Management Address Wizard (IAMW) al termine dell’esecuzione genera un pacchetto di installazione del certificato (della CA) e lo rende disponibili tramite uno dei seguenti percorsi:
- C:\users\Public\Public Downloads
- \\servername\Public\Public Downloads
- \\sites\Public\Public Downloads
Il pacchetto contiene sia il certificato sia l’applicazione InstallCertificate.exe che può essere usata per installarlo. Il pacchetto può essere scaricato sia in formato compresso che non compresso:
Questo è un esempio di come appare il certificato incluso nel pacchetto:
Se installate il certificato manualmente senza usare l’apposita applicazione dovete ricordarvi di scegliere lo store Trusted Root Certification Authorities.
Per un approfondimento vi rimando al post How Do I Distribute the SBS 2008 Self-Signed SSL Certificate to My Users? sul Blog ufficiale di SBS.
Personalmente non sono così d’accordo in merito all’uso di certificati SSL self signed per il semplice motivo che l’autorità di certificazione presente è del tutto assente (riporta il nome dell’emittente, una persona qualsiasi, quale sicurezza c’è per il visitatore/cliente che si rivolge al proprio sito?).
Anche nel caso il certificato SSL self signed fosse utilizzato in maniera personale il rischio che non venga riconosciuto, o peggio venga “spezzato” da hackers o malware, è molto alta.
Dopotutto, se si cerca sul web, ci sono rivenditori di certificati SSL che vendono soluzioni annuali a meno di 30 euro!!!
Qui non si sta parlando di utilizzare i certificati self-signed per un sito aperto a tutti o un e-commerce ma esclusivamente per pubblicare all’esterno Owa e l’RWW per i dipendenti aziendali.
Inoltre da SBS 2008 non si parla più propriamente di certificato self-signed ma certificato rilasciato da una autorità di certificazione (CA) installata di default su SBS 2008, il certificato di tale CA è installato su tutti i client del dominio che ne conoscono quindi l’identità.
Un certificato self-signed di per se non è più debole di un certificato rilasciato da un ente conosciuto a livello mondiale, semmai il problema potrebbe essere che non esiste il concetto di revoca (ma non si applica questo contesto).
Concludendo mi sento di affermare che per pubblicare OWA e RWW di un SBS 2008 non si corrono rischi extra usando il certificato rilasciato dalla CA interna piuttosto che l’utilizzo di un certificato rilasciato da CA autorevoli. Ovviamente se parliamo di sito internet o e-commerce è ovvio che non ha senso parlare di certificato self-signed.