[RISOLTO] firma digitale .cer: come si usa?

Message

exebeje · Post by **exebeje** » Tue Oct 21, 2008 12:09 pm

Salve gente, scusate la niubbaggine, ma non ho mai avuto il "piacere" di entrare nel magico mondo delle firme digitali perchè pensavo (vedi la niubbaggine) che con linux la cosa poteva tranquillamente essere ignorata.
Invece....... ho aperto un conto bancario online e ora sono costretto ad installare il loro certificato "firmetta.cer" per leggere le mail.
Spulciando un po' nel foro ho visto poca roba e scusate se non mi documento 3 giorni prima di chiedervi: come posso farla riconoscere al mio sistema? Se non ho capito male devo solo mettere il .cer da qualche parte e settare in qualche modo il path per questi certificati, ma dove?

Grazie e...... god save the nOOb ^^

Kind_of_blue · Post by **Kind_of_blue** » Tue Oct 21, 2008 1:02 pm

Purtroppo gli howto sono su gentoo wiki ... che per il momento è down.

per che cosa ti serve? Gnome/Kde/altro?

exebeje · Post by **exebeje** » Tue Oct 21, 2008 1:37 pm

mi serve solo ed esclusivamente per leggere le mail che mi inviano dalla banca. Quindi a questo punto mi chiedo: devo impostare una variabile di sistema (o un path o qualcosa di "globale") o modificare il .conf di firefox (/opt/firefox/browserconfig.properties forse??)?

p.s: bella firma!! Arthur Dent is my way!!!

morellik · Post by **morellik** » Tue Oct 21, 2008 4:07 pm

Io credo vada semplicemente importato in firefox o in thunderbird. Per lo meno è quello che ho fatto con la mia banca.
Ho importato la loro chiave pubblica in firefox ed il gioco è fatto.

exebeje · Post by **exebeje** » Tue Oct 21, 2008 4:19 pm

sì hai ragione, dovrebbe bastare fare così. Peccato che non riesco (e come me un bel po' di altri utenti della stessa banca, per quanto dicono sul foro). Per adesso stavo provando a far riconoscere il certificato da firefox tramite il menu Modifica ---> Preferenze ---> Avanzate ---> Mostra Certificati. A questo punto dovrebbe bastare selezionare il file .cer in "certificati altrui" ma......

"Il certificato non può essere verificato e non verrà importato. L'emittente del certificato potrebbe essere sconosciuto o non fidato, il certificato potrebbe essere scaduto, revocato o non approvato."

La cosa più assurda è che molti hanno risolto semplicemente provando e riprovando..... senza modificare niente "può capitare" che prima o poi lo accetti

In ogni caso sembra ci siano regole un po' più rigorose per Thunderbird, che sto emergendo adesso

randomaze · Post by **randomaze** » Tue Oct 21, 2008 4:28 pm

Moved from Forum italiano (Italian) to Forum di discussione italiano.

djinnZ · Post by **djinnZ** » Tue Oct 21, 2008 6:26 pm

Vedi che alcuni algoritmi/protocolli sono disabilitati (tipo ssh 2.0 usato dalla PA) e l'unico modo per farli andare è via about:config.

exebeje · Post by **exebeje** » Tue Oct 21, 2008 9:50 pm

scusa non ho capito bene..... io ssh ce l'ho installato e funzionante ma dal mio about:config non riesco a trovare nessuna voce a riguardo..... cosa dovrei cercare/trovare/modificare in about:config?

e poi che roba è che un certificato mi chiama in causa ssh?? vorrà mica penetrarmi????

nel frattempo s'è emerso thunderbird..... provo anche con iddu nel frattempo

djinnZ · Post by **djinnZ** » Tue Oct 21, 2008 9:56 pm

avvii firefox, digiti about:config, prometti di stare attento (i tizi della fondazione mozilla stanno veramente iniziando ad esagerare per me) e vai ad abilitare le chiavi security.vattelappesca che ti servono.
Visto che su quell'altro sistema operativo pare funzioni non sarebbe una cattiva idea vedere nelle proprietà della chiave se è indicato il cifrario.
Idem con patate per TB.
Documentati bene prima di fare danni.

exebeje · Post by **exebeje** » Tue Oct 21, 2008 10:31 pm

ok ci proverò domani che qui non ho "altro sistema quasi-operativo" per vedere che roba è sto certificato che mi han mandato, ma anche con Thunderbird è la stessa identica cosa che con firefox (ed era anche immaginabile), stesso messaggio di errore, stessa impossibilità di fargli accettare il certificato come valido anche se specificando a mano "considera affidabile tale certificato"..... succede che dai OK e lui si dimentica tutto e torna esattamente come prima delle modifiche +_+
ma non è che mi manca qualcosa a livello kernel piuttosto che about:config?

djinnZ · Post by **djinnZ** » Wed Oct 22, 2008 12:22 pm

Il default di genkernel è abilitare tutti gli algoritmi di certificazione nel dubbio metti tutto quel che manca modulare.
Ma continuo a pensare che sia qualcosa legato alle restrizioni sui protocolli deprecati (perchè non abbastanza sicuri).

Per esempio per far funzionare il vecchio accesso all'inail dovevo impostare a true security.enable_ssl2 e security.ssl2.des64 o rc2_40 ora non ricordo, in caso contrario mi diceva sempre che il certificato non era valido.

Altrimenti prova con aggiungi eccezione nella sceda dei certificati (opzioni->avanzate->cifratura), ovviamente credo che vada importato come certificato server.

CarloJekko · Post by **CarloJekko** » Wed Oct 22, 2008 8:08 pm

Kind_of_blue wrote:Purtroppo gli howto sono su gentoo wiki ... che per il momento è down.

per che cosa ti serve? Gnome/Kde/altro?

Prova con la copia cache di google, è una manna !!!

t-storm · Post by **t-storm** » Fri Oct 24, 2008 1:27 pm

Io la butto lì, un po' alla cieca

"Il certificato non può essere verificato e non verrà importato. L'emittente del certificato potrebbe essere sconosciuto o non fidato, il certificato potrebbe essere scaduto, revocato o non approvato."

Chi ha emesso il certificato? Dal messaggio sembra che sia il certificato del certificatore a non essere riconosciuto. Non tutti gli enti certificatori italiani sono riconosciuti dai browser. Dovresti trovare il certificato dell'ente certificatore, importarlo in firefox nel tab "authority" poi importare il tuo.
Un elenco dei certificati degli enti certificatori può essere recuperato dall'url http://www.cnipa.gov.it/site/_files/lis ... icati.html.
Comunque dovresti in qualche modo dal tuo certificato risalire all'ente certificatore.

exebeje · Post by **exebeje** » Mon Oct 27, 2008 5:56 pm

sono riuscito effettivamente a farlo riconoscere come certificato di "autorità" e non come certificato di "siti altrui", questo però dopo aver abilitato tutte le voci in about:config con filtro per "sha" e "rsa" che sono gli algoritmi di cifratura contenuti nel certificato stesso (cosa verificata da winzozz). Insomma, non so esattamente quale fosse la voce da abilitare ma...... va bene lo stesso

djinnZ · Post by **djinnZ** » Thu Oct 30, 2008 10:25 am

Prova a disabilitarle progressivamente per trovare quella necessaria.
Vi sono serie motivazioni alla disabilitazione di quei protocolli (pishing, man in the middle e defacement).

Da qualche parte nella documentazione o nel forum inglese di mozilla c'è un elenco sistematico ed accurato del perchè ogni singola voce è disabilitata per default.

Personalmente quando mi sono reso conto di una cosa simile ho scritto una "simpatica letterina" alla banca (anticipata a mezzo email) richiedendo l'adeguamento a minimi standard di compatibilità e sicurezza o avrei cambiato.
Dopo una settimana, senza attendere risposta, ho chiuso il conto e sono passato ad un'altra banca (dove non "risparmiavo" usando il conto online).

Con le banche e con molti funzionari non si può essere civili ed educati, si deve essere brutali (non mi accontenti? cambio, e dico a tutti quelli che conosco perchè, poi vediamo quanto a lungo sopravvive lo sportello e conservi il posto).