Email

Come rendere più sicuro l’accesso Web e Mobile alle email archiviate grazie alla crittografia TLS

21 Marzo 2018

Al giorno d'oggi gli amministratori di sistema nelle PMI devono permettere ai loro utenti di accedere sempre, comunque e in maniera sicura a tutti i loro dati e servizi, indipendentemente da dove si trovino o dai mezzi che scelgono di usare.

Una volta, a questo scopo, si usavano le VPN, nonostante la difficoltà nella loro configurazione e mantenimento.

Ora, a causa della grande diffusione degli smartphone e dell'abitudine di usarli per l'accesso a tutti i servizi, gli utenti sono abituati a usare sempre il proprio dispositivo (Bring Your Own Device, BYOD).
 

Del resto molti servizi offrono un accesso via web semplice ed efficiente, che ha il vantaggio dell'indipendenza della piattaforma usata per l'accesso lato client, così come minori restrizioni per gli amministratori che devono fornire il servizio.

Accesso via web sicuro e user friendly

 
Per rendere l'accesso via web il più possibile sicuro senza sacrificare la facilità d'uso bisogna tenere conto di due caratteristiche:
 

  • l'accesso deve essere criptato;
  • il client e i web-browser devono accettare i certificati di sicurezza forniti.

 
I web browser moderni contrassegnano come "non sicuri" tutti i siti web che trasmettono in chiaro dati come password o informazioni delle carte di credito.

È molto probabile che in futuro tutti i siti web che accettano connessioni non criptate, indipendentemente dal contenuto, saranno considerati non sicuri.

Anche adesso, la trasmissione non criptata di dati attraverso reti wireless pubbliche rappresenta un rischio di sicurezza che può essere contrastato solo forzando, lato server, l'uso di connessioni criptate.
 

Certificati per la crittografia TLS

 
Di conseguenza è consigliabile per gli amministratori l'uso della crittografia TLS (e dei relativi certificati) per mettere in sicurezza i servizi che forniscono ai loro utenti.

I certificati generati durante l'installazione o comunque auto-generati non sono solitamente considerati affidabili (almeno non senza conferma da parte dell'utente) e sarebbe meglio non usarli. È preferibile usare piuttosto quelli firmati da un'autorità di certificazione (Certificate Authorities, CA).

Infatti, certificati di questo tipo sono accettati automaticamente sulla base delle informazioni già presenti nei browser e nei sistemi operativi al momento dell'installazione.
 
Per creare un certificato presso una Certificate Authority, indipendentemente dal servizio che si vuole fornire, la procedura è la stessa:
 

  • vengono generate una chiave pubblica e una chiave privata. Quindi viene creata una richiesta di firma certificato (Certificate Signing Request – CSR) che contiene la chiave pubblica;
  • la CSR viene trasmessa alla Certificate Authority (CA), di solito tramite il sito web della CA stessa;
  • la CA genera il certificato a partire dalla CSR (se necessario, dopo alcune verifiche che possono comportare una telefonata o la richiesta di documenti aggiuntivi).;
  • il certificato viene firmato e inviato al richiedente.

A questo punto, il certificato fornito dalla CA può essere usato per mettere in sicurezza uno o più servizi.
 

Proteggere interi domini con Wildcard Certificates

 
Oltre a certificati che garantiscono l'identità di un singolo servizio o server, ci sono anche "Wildcard Certificates" che garantiscono l'identità di interi domini, compresi i domini di secondo livello. Un certificato Wildcard non copre solo il dominio "esempio.it" ma tutti i possibili nomi host di quel dominio (*.esempio.it)

Questo tipo di certificati sono molto utili agli amministratori che vogliono mettere al sicuro un numero cospicuo di servizi che girano su server diversi, ma se il certificato, per qualche motivo, viene compromesso, sarà necessario sostituirlo su tutti i server che lo usano.

Nel caso di compromissione di un certificato installato su un server singolo, invece, la sostituzione è necessaria sul solo server compromesso.
 

MailStore sceglie la comunicazione criptata

Dalla versione 10.2 di MailStore Server e di MailStore Service Provider Edition (SPE), MailStore  ha iniziato a muoversi verso la comunicazione criptata.

In futuro, la comunicazione criptata sarà la sola possibile con i prodotti MailStore . Per esempio all'interfaccia web di MailStore  (MailStore Web Access) si potrà accedere solo in HTTPS. Anche nella versione attuale di MailStore Server si riceve una notifica quando si accede in HTTP (non criptato). Per la versione SPE, l'accesso non criptato non è possibile già da ora.
 
La sostituzione dei certificati auto-generati con quelli forniti da un'autorità di certificazione è spiegata in questo articolo per MailStore Server. Per MailStore Service Provider Edition è possibile trovare informazioni in questi due articoli:

 
Tratto dal blog di MailStore.

Se vuoi mettere al sicuro la posta elettronica dei tuoi clienti con MailStore, provalo subito!

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative