A partire da questa pagina wiki, si sviluppa sia la struttura di pagine relative alle istruzioni dedicate agli utenti del Servizio, sia la struttura di pagine "private" contenente documentazione interna.
Il traffico di rete può essere di fatto sempre "spiato". È quindi essenziale la crittografia tra due end-point.
Ci sono due grandi famiglie di protocolli che forniscono canali di comunicazione cifrati tra due endpoint, garantendo confidenzialità e integrità dei dati: TLS (ex SSL) ed SSH.
Tutti i nostri servizi informatici che richiedono sicurezza delle connessioni ed integrità dei dati (come ad esempio questa pagina wiki che state leggendo. Ci siete arrivati con il link https://) che funziona utilizzano certificati X.509.
I certificati X.509 sono firmati da una Certification Authority altrimenti indicata come CA, che garantisce, attraverso opportune catene di riconoscimento, l'identità del servizio e/o dell'utente.
L'INFN, attraverso il GARR, ed in particolare il suo servizio TCS, utilizza a partire dal gennaio 2025 certificati emessi dalla CA HARICA (Hellenic Academic and Research Institutions CA)
Normalmente la catena di firma di una certificato firmato da una CA commerciale è già all'interno dei vari software. Può però succedere che versioni non aggiornate del software non siano a conoscenza del cambio di catena di firma (cosa che ogni tanto avviene).
In questi casi è necessario installare il certificato della CA "radice" e delle CA intermedie. Nel nostro caso,
In formato PEM HARICA-TLS-Root-2021-RSA.pem e HARICA-GEANT-TLS-RSA-1.pem, o in formato testo HARICA-TLS-Root-2021-RSA e HARICA-GEANT-TLS-RSA-1
SSH (Secure Shell) è un protocollo di rete che consente l’accesso remoto sicuro e il trasferimento di dati tra client e server. Si basa sulla crittografia asimmetrica, in cui ogni utente possiede una coppia di chiavi: una chiave privata (segreta) e una chiave pubblica (condivisa con il server). Il server verifica l’identità del client tramite la sua chiave pubblica. A sua volta, anche il server possiede una propria coppia di chiavi: il client usa la chiave pubblica del server (tipicamente memorizzata in known_hosts) per verificarne l’identità ed evitare attacchi man-in-the-middle.
SSH-CA (SSH Certificate Authority) introduce un modello centralizzato basato su certificati: una autorità di certificazione (CA) firma le chiavi pubbliche di client e server. I server si fidano delle chiavi dei client firmate dalla CA, evitando di doverle configurare manualmente. Allo stesso modo, i client possono verificare automaticamente l’identità dei server tramite chiavi host firmate dalla CA, eliminando la necessità di gestire manualmente il file known_hosts. Questo approccio semplifica la gestione e migliora la scalabilità e la sicurezza in infrastrutture complesse.