Strumenti per la connessione sicura

Durante l'installazione di Server Dr.Web vengono creati i seguenti strumenti che forniscono una connessione sicura tra i componenti della rete antivirus.

1.Chiave di cifratura privata di Server drwcsd.pri.

Viene conservata sul Server e non viene trasmessa ad altri componenti della rete antivirus.

Se la chiave privata viene persa, è necessario ripristinare manualmente la connessione tra i componenti della rete antivirus (ovvero creare tutte le chiavi e tutti i certificati, e inoltre propagarli su tutti i componenti della rete).

La chiave privata viene utilizzata nei seguenti casi:

a)Creazione delle chiavi pubbliche e dei certificati.

La chiave di cifratura pubblica e il certificato vengono creati automaticamente dalla chiave privata durante l'installazione di Server. In tale caso è possibile sia creare una nuova chiave privata che utilizzarne una esistente (per esempio, quella dall'installazione precedente di Server). Inoltre, le chiavi di cifratura e i certificati possono essere creati in qualsiasi momento tramite l'utility di server drwsign (v. documento Allegati, p. H9.1. Utility di generazione delle chiavi e dei certificati digitali).

Informazioni sulle chiavi pubbliche e sui certificati sono riportate di seguito.

b)Autenticazione di Server.

L'autentificazione di Server dai client remoti viene effettuata in base alla firma digitale elettronica (una volta nel corso di ciascuna connessione).

Il Server effettua la firma digitale di un messaggio tramite la chiave privata e invia il messaggio al client. Il client verifica la firma del messaggio ricevuto tramite il certificato.

c)Decifratura dei dati.

In caso di cifratura del traffico tra il Server e i client la decifratura dei dati inviati dal client viene effettuata sul Server tramite la chiave privata.

2.Chiave di cifratura pubblica di Server drwcsd.pub.

È disponibile per tutti i componenti della rete antivirus. La chiave pubblica può sempre essere generata dalla chiave privata (v. sopra). A ciascuna generazione da una stessa chiave privata risulta una stessa chiave pubblica.

A partire dalla versione 11 di Server, la chiave pubblica viene utilizzata per la comunicazione con i client delle versioni precedenti. Le altre funzionalità sono state trasferite al certificato che, tra le altre cose, contiene la chiave di cifratura pubblica.

3.Certificato di Server drwcsd-certificate.pem.

È disponibile per tutti i componenti della rete antivirus. Il certificato contiene la chiave di cifratura pubblica. Il certificato può essere generato dalla chiave privata (v. sopra). A ciascuna generazione da una stessa chiave privata risulta un nuovo certificato.

I client connessi al Server sono legati a un certificato specifico perciò se il certificato viene perso su un client, è possibile ripristinarlo solo se lo stesso certificato viene utilizzato da qualche altro componente della rete: in tale caso il certificato può essere copiato sul client dal Server o dall'altro client.

Il certificato viene utilizzato nei seguenti casi:

a)Autenticazione di Server.

L'autentificazione di Server dai client remoti viene effettuata in base alla firma digitale elettronica (una volta nel corso di ciascuna connessione).

Il Server effettua la firma digitale di un messaggio tramite la chiave privata e invia il messaggio al client. Il client verifica la firma del messaggio ricevuto tramite il certificato (in particolare, tramite la chiave pubblica indicata nel certificato). Nelle versioni precedenti di Server per questo scopo veniva utilizzata direttamente la chiave pubblica.

Per questo scopo è necessaria la presenza sul client di uno o più certificati attendibili dai Server a cui il client può connettersi.

b)Cifratura dei dati.

In caso di cifratura del traffico tra il Server e i client la cifratura dei dati viene effettuata dal client tramite la chiave pubblica.

c)Realizzazione di una sessione TLS tra il Server e i client remoti.

d)Autenticazione di Server proxy.

L'autentificazione dei Server proxy Dr.Web dai client remoti viene effettuata in base alla firma digitale elettronica (una volta nel corso di ciascuna connessione).

Il Server proxy firma i suoi certificati con la chiave privata e il certificato del Server Dr.Web. Un client che si fida del certificato del Server Dr.Web si fiderà automaticamente dei certificati con esso firmati.

4.Chiave privata di web server.

Viene conservata sul Server e non viene trasmessa ad altri componenti della rete antivirus. I dettagli di utilizzo sono indicati di seguito.

5.Certificato di web server.

È disponibile per tutti i componenti della rete antivirus.

Viene utilizzato per la realizzazione di una sessione TLS tra il web server e il browser (attraverso HTTPS).

All'installazione di Server viene generato sulla base della chiave privata di web server un certificato auto-firmato che non verrà accettato dai browser in quanto non è stato rilasciato da una nota autorità di certificazione.

Affinché una connessione sicura (HTTPS) sia disponibile, è necessario eseguire una delle seguenti azioni:

Aggiungere il certificato auto-firmato a quelli attendibili o alle eccezioni per tutte le postazioni e i browser su cui si apre il Pannello di controllo.

Ottenere un certificato firmato da una nota autorità di certificazione.