Al giorno d'oggi gli amministratori di sistema nelle PMI devono permettere ai loro utenti di accedere sempre, comunque e in maniera sicura a tutti i loro dati e servizi, indipendentemente da dove si trovino o dai mezzi che scelgono di usare.
Una volta, a questo scopo, si usavano le VPN, nonostante la difficoltà nella loro configurazione e mantenimento.
Ora, a causa della grande diffusione degli smartphone e dell'abitudine di usarli per l'accesso a tutti i servizi, gli utenti sono abituati a usare sempre il proprio dispositivo (Bring Your Own Device, BYOD).
Del resto molti servizi offrono un accesso via web semplice ed efficiente, che ha il vantaggio dell'indipendenza della piattaforma usata per l'accesso lato client, così come minori restrizioni per gli amministratori che devono fornire il servizio.
Accesso via web sicuro e user friendly
Per rendere l'accesso via web il più possibile sicuro senza sacrificare la facilità d'uso bisogna tenere conto di due caratteristiche:
- l'accesso deve essere criptato;
- il client e i web-browser devono accettare i certificati di sicurezza forniti.
I web browser moderni contrassegnano come "non sicuri" tutti i siti web che trasmettono in chiaro dati come password o informazioni delle carte di credito.
È molto probabile che in futuro tutti i siti web che accettano connessioni non criptate, indipendentemente dal contenuto, saranno considerati non sicuri.
Anche adesso, la trasmissione non criptata di dati attraverso reti wireless pubbliche rappresenta un rischio di sicurezza che può essere contrastato solo forzando, lato server, l'uso di connessioni criptate.
Certificati per la crittografia TLS
Di conseguenza è consigliabile per gli amministratori l'uso della crittografia TLS (e dei relativi certificati) per mettere in sicurezza i servizi che forniscono ai loro utenti.
I certificati generati durante l'installazione o comunque auto-generati non sono solitamente considerati affidabili (almeno non senza conferma da parte dell'utente) e sarebbe meglio non usarli. È preferibile usare piuttosto quelli firmati da un'autorità di certificazione (Certificate Authorities, CA).
Infatti, certificati di questo tipo sono accettati automaticamente sulla base delle informazioni già presenti nei browser e nei sistemi operativi al momento dell'installazione.
Per creare un certificato presso una Certificate Authority, indipendentemente dal servizio che si vuole fornire, la procedura è la stessa:
- vengono generate una chiave pubblica e una chiave privata. Quindi viene creata una richiesta di firma certificato (Certificate Signing Request – CSR) che contiene la chiave pubblica;
- la CSR viene trasmessa alla Certificate Authority (CA), di solito tramite il sito web della CA stessa;
- la CA genera il certificato a partire dalla CSR (se necessario, dopo alcune verifiche che possono comportare una telefonata o la richiesta di documenti aggiuntivi).;
- il certificato viene firmato e inviato al richiedente.
A questo punto, il certificato fornito dalla CA può essere usato per mettere in sicurezza uno o più servizi.
Proteggere interi domini con Wildcard Certificates
Oltre a certificati che garantiscono l'identità di un singolo servizio o server, ci sono anche "Wildcard Certificates" che garantiscono l'identità di interi domini, compresi i domini di secondo livello. Un certificato Wildcard non copre solo il dominio "esempio.it" ma tutti i possibili nomi host di quel dominio (*.esempio.it)
Questo tipo di certificati sono molto utili agli amministratori che vogliono mettere al sicuro un numero cospicuo di servizi che girano su server diversi, ma se il certificato, per qualche motivo, viene compromesso, sarà necessario sostituirlo su tutti i server che lo usano.
Nel caso di compromissione di un certificato installato su un server singolo, invece, la sostituzione è necessaria sul solo server compromesso.
MailStore sceglie la comunicazione criptata
Dalla versione 10.2 di MailStore Server e di MailStore Service Provider Edition (SPE), MailStore ha iniziato a muoversi verso la comunicazione criptata.
In futuro, la comunicazione criptata sarà la sola possibile con i prodotti MailStore . Per esempio all'interfaccia web di MailStore (MailStore Web Access) si potrà accedere solo in HTTPS. Anche nella versione attuale di MailStore Server si riceve una notifica quando si accede in HTTP (non criptato). Per la versione SPE, l'accesso non criptato non è possibile già da ora.
La sostituzione dei certificati auto-generati con quelli forniti da un'autorità di certificazione è spiegata in questo articolo per MailStore Server. Per MailStore Service Provider Edition è possibile trovare informazioni in questi due articoli:
- https://help.MailStore.com/en/spe/Replace_Self-signed_SSL_Certificates
- https://help.MailStore.com/en/spe/Working_with_SSL_Certificate
Tratto dal blog di MailStore.
Se vuoi mettere al sicuro la posta elettronica dei tuoi clienti con MailStore, provalo subito!