Email

Come rendere più sicuro l’accesso Web e Mobile alle email archiviate grazie alla crittografia TLS

21 Marzo 2018

Al giorno d'oggi gli amministratori di sistema nelle PMI devono permettere ai loro utenti di accedere sempre, comunque e in maniera sicura a tutti i loro dati e servizi, indipendentemente da dove si trovino o dai mezzi che scelgono di usare.

Una volta, a questo scopo, si usavano le VPN, nonostante la difficoltà nella loro configurazione e mantenimento.

Ora, a causa della grande diffusione degli smartphone e dell'abitudine di usarli per l'accesso a tutti i servizi, gli utenti sono abituati a usare sempre il proprio dispositivo (Bring Your Own Device, BYOD).
 

Del resto molti servizi offrono un accesso via web semplice ed efficiente, che ha il vantaggio dell'indipendenza della piattaforma usata per l'accesso lato client, così come minori restrizioni per gli amministratori che devono fornire il servizio.

Accesso via web sicuro e user friendly

 
Per rendere l'accesso via web il più possibile sicuro senza sacrificare la facilità d'uso bisogna tenere conto di due caratteristiche:
 

  • l'accesso deve essere criptato;
  • il client e i web-browser devono accettare i certificati di sicurezza forniti.

 
I web browser moderni contrassegnano come "non sicuri" tutti i siti web che trasmettono in chiaro dati come password o informazioni delle carte di credito.

È molto probabile che in futuro tutti i siti web che accettano connessioni non criptate, indipendentemente dal contenuto, saranno considerati non sicuri.

Anche adesso, la trasmissione non criptata di dati attraverso reti wireless pubbliche rappresenta un rischio di sicurezza che può essere contrastato solo forzando, lato server, l'uso di connessioni criptate.
 

Certificati per la crittografia TLS

 
Di conseguenza è consigliabile per gli amministratori l'uso della crittografia TLS (e dei relativi certificati) per mettere in sicurezza i servizi che forniscono ai loro utenti.

I certificati generati durante l'installazione o comunque auto-generati non sono solitamente considerati affidabili (almeno non senza conferma da parte dell'utente) e sarebbe meglio non usarli. È preferibile usare piuttosto quelli firmati da un'autorità di certificazione (Certificate Authorities, CA).

Infatti, certificati di questo tipo sono accettati automaticamente sulla base delle informazioni già presenti nei browser e nei sistemi operativi al momento dell'installazione.
 
Per creare un certificato presso una Certificate Authority, indipendentemente dal servizio che si vuole fornire, la procedura è la stessa:
 

  • vengono generate una chiave pubblica e una chiave privata. Quindi viene creata una richiesta di firma certificato (Certificate Signing Request – CSR) che contiene la chiave pubblica;
  • la CSR viene trasmessa alla Certificate Authority (CA), di solito tramite il sito web della CA stessa;
  • la CA genera il certificato a partire dalla CSR (se necessario, dopo alcune verifiche che possono comportare una telefonata o la richiesta di documenti aggiuntivi).;
  • il certificato viene firmato e inviato al richiedente.

A questo punto, il certificato fornito dalla CA può essere usato per mettere in sicurezza uno o più servizi.
 

Proteggere interi domini con Wildcard Certificates

 
Oltre a certificati che garantiscono l'identità di un singolo servizio o server, ci sono anche "Wildcard Certificates" che garantiscono l'identità di interi domini, compresi i domini di secondo livello. Un certificato Wildcard non copre solo il dominio "esempio.it" ma tutti i possibili nomi host di quel dominio (*.esempio.it)

Questo tipo di certificati sono molto utili agli amministratori che vogliono mettere al sicuro un numero cospicuo di servizi che girano su server diversi, ma se il certificato, per qualche motivo, viene compromesso, sarà necessario sostituirlo su tutti i server che lo usano.

Nel caso di compromissione di un certificato installato su un server singolo, invece, la sostituzione è necessaria sul solo server compromesso.
 

MailStore sceglie la comunicazione criptata

Dalla versione 10.2 di MailStore Server e di MailStore Service Provider Edition (SPE), MailStore  ha iniziato a muoversi verso la comunicazione criptata.

In futuro, la comunicazione criptata sarà la sola possibile con i prodotti MailStore . Per esempio all'interfaccia web di MailStore  (MailStore Web Access) si potrà accedere solo in HTTPS. Anche nella versione attuale di MailStore Server si riceve una notifica quando si accede in HTTP (non criptato). Per la versione SPE, l'accesso non criptato non è possibile già da ora.
 
La sostituzione dei certificati auto-generati con quelli forniti da un'autorità di certificazione è spiegata in questo articolo per MailStore Server. Per MailStore Service Provider Edition è possibile trovare informazioni in questi due articoli:

 
Tratto dal blog di MailStore.

Se vuoi mettere al sicuro la posta elettronica dei tuoi clienti con MailStore, provalo subito!

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative