====== Servizio Calcolo e Reti ======

A partire da questa pagina wiki, si sviluppa sia la struttura di pagine relative alle istruzioni dedicate agli utenti del Servizio, sia la struttura di pagine "private" contenente documentazione interna.

  * [[strutture:le:scr:howto:home|How To (come faccio per...)]]
  * [[strutture:le:scr:private:home|Documentazione interna]]


====== Connessioni cifrate e sicure ======

Il traffico di rete può essere di fatto sempre "spiato". È quindi **essenziale** la crittografia tra due end-point.

Ci sono due grandi famiglie di protocolli che forniscono canali di comunicazione cifrati tra due endpoint, garantendo confidenzialità e integrità dei dati: **TLS** (ex SSL) ed **SSH**.

===== TLS - CERTIFICATI X.509 =====

Tutti i nostri servizi informatici che richiedono sicurezza delle connessioni ed integrità dei dati (come ad esempio questa pagina wiki che state leggendo. Ci siete arrivati con il link [[https://wiki.infn.it/strutture/le/scr/home|https://]]) che funziona utilizzano certificati X.509.

I certificati X.509 sono firmati da una //**Certification Authority**// altrimenti indicata come //**CA**//, che garantisce, attraverso opportune catene di riconoscimento, l'identità del servizio e/o dell'utente.


==== TCS GARR & HARICA ====

L'INFN, attraverso il GARR, ed in particolare il suo servizio [[https://tcs-docs.aai.garr.it|TCS]], utilizza a partire dal gennaio 2025 certificati emessi dalla CA HARICA (Hellenic Academic and Research Institutions CA)

Normalmente la catena di firma di una certificato firmato da una **CA** commerciale è già all'interno dei vari software. Può però succedere che versioni non aggiornate del software non siano a conoscenza del cambio di catena di firma (cosa che ogni tanto avviene).

In questi casi è necessario installare il certificato della **CA** "radice" e delle CA intermedie. Nel nostro caso,

In formato PEM [[https://repo.harica.gr/certs/HARICA-TLS-Root-2021-RSA.pem|HARICA-TLS-Root-2021-RSA.pem]] e [[https://repo.harica.gr/certs/HARICA-GEANT-TLS-R1.pem|HARICA-GEANT-TLS-RSA-1.pem]], o in formato testo [[https://repo.harica.gr/certs/HARICA-TLS-Root-2021-RSA.txt|HARICA-TLS-Root-2021-RSA]] e 
[[https://repo.harica.gr/certs/HARICA-GEANT-TLS-R1.txt|HARICA-GEANT-TLS-RSA-1]]

===== SSH =====

**SSH (Secure Shell)** è un protocollo di rete che consente l’accesso remoto sicuro e il trasferimento di dati tra client e server. Si basa sulla **crittografia asimmetrica**, in cui ogni utente possiede una coppia di chiavi: una **chiave privata** (segreta) e una **chiave pubblica** (condivisa con il server). Il server verifica l’identità del client tramite la sua chiave pubblica. A sua volta, **anche il server possiede una propria coppia di chiavi**: il client usa la chiave pubblica del server (tipicamente memorizzata in //known_hosts//) per verificarne l’identità ed evitare attacchi man-in-the-middle.

**SSH-CA (SSH Certificate Authority)** introduce un modello centralizzato basato su certificati: una **autorità di certificazione (CA)** firma le chiavi pubbliche di client e server. I server si fidano delle chiavi dei client firmate dalla CA, evitando di doverle configurare manualmente. Allo stesso modo, i client possono verificare automaticamente l’identità dei server tramite **chiavi host firmate dalla CA**, eliminando la necessità di gestire manualmente il file known_hosts. Questo approccio semplifica la gestione e migliora la scalabilità e la sicurezza in infrastrutture complesse.