# [RISOLTO] firma digitale .cer: come si usa?

## exebeje

Salve gente, scusate la niubbaggine, ma non ho mai avuto il "piacere" di entrare nel magico mondo delle firme digitali perchè pensavo (vedi la niubbaggine) che con linux la cosa poteva tranquillamente essere ignorata.

Invece....... ho aperto un conto bancario online e ora sono costretto ad installare il loro certificato "firmetta.cer" per leggere le mail.

Spulciando un po' nel foro ho visto poca roba e scusate se non mi documento 3 giorni prima di chiedervi: come posso farla riconoscere al mio sistema? Se non ho capito male devo solo mettere il .cer da qualche parte e settare in qualche modo il path per questi certificati, ma dove?

Grazie e...... god save the nOOb ^^Last edited by exebeje on Mon Oct 27, 2008 5:56 pm; edited 1 time in total

----------

## Kind_of_blue

Purtroppo gli howto sono su gentoo wiki ... che per il momento è down.

per che cosa ti serve? Gnome/Kde/altro?

----------

## exebeje

mi serve solo ed esclusivamente per leggere le mail che mi inviano dalla banca. Quindi a questo punto mi chiedo: devo impostare una variabile di sistema (o un path o qualcosa di "globale") o modificare il .conf di firefox (/opt/firefox/browserconfig.properties forse??)?   :Rolling Eyes: 

p.s: bella firma!! Arthur Dent is my way!!!   :Laughing: 

----------

## morellik

Io credo vada semplicemente importato in firefox o in thunderbird. Per lo meno è quello che ho fatto  con la mia banca.

Ho importato la loro chiave pubblica in firefox ed il gioco è fatto.

----------

## exebeje

sì hai ragione, dovrebbe bastare fare così. Peccato che non riesco (e come me un bel po' di altri utenti della stessa banca, per quanto dicono sul foro). Per adesso stavo provando a far riconoscere il certificato da firefox tramite il menu Modifica ---> Preferenze ---> Avanzate ---> Mostra Certificati. A questo punto dovrebbe bastare selezionare il file .cer in "certificati altrui" ma......

     "Il certificato non può essere verificato e non verrà importato. L'emittente del certificato potrebbe essere sconosciuto o non fidato, il certificato potrebbe essere scaduto, revocato o non approvato."

La cosa più assurda è che molti hanno risolto semplicemente provando e riprovando..... senza modificare niente "può capitare" che prima o poi lo accetti   :Shocked: 

In ogni caso sembra ci siano regole un po' più rigorose per Thunderbird, che sto emergendo adesso   :Rolling Eyes: 

----------

## randomaze

Moved from Forum italiano (Italian) to Forum di discussione italiano.

----------

## djinnZ

Vedi che alcuni algoritmi/protocolli sono disabilitati (tipo ssh 2.0 usato dalla PA) e l'unico modo per farli andare è via about:config.

----------

## exebeje

scusa non ho capito bene..... io ssh ce l'ho installato e funzionante ma dal mio about:config non riesco a trovare nessuna voce a riguardo..... cosa dovrei cercare/trovare/modificare in about:config?   :Rolling Eyes:  e poi che roba è che un certificato mi chiama in causa ssh?? vorrà mica penetrarmi????  :Evil or Very Mad: 

nel frattempo s'è emerso thunderbird..... provo anche con iddu nel frattempo

----------

## djinnZ

avvii firefox, digiti about:config, prometti di stare attento (i tizi della fondazione mozilla stanno veramente iniziando ad esagerare per me) e vai ad abilitare le chiavi security.vattelappesca che ti servono.

Visto che su quell'altro sistema operativo pare funzioni non sarebbe una cattiva idea vedere nelle proprietà della chiave se è indicato il cifrario.

Idem con patate per TB.

Documentati bene prima di fare danni.

----------

## exebeje

ok ci proverò domani che qui non ho "altro sistema quasi-operativo" per vedere che roba è sto certificato che mi han mandato, ma anche con Thunderbird è la stessa identica cosa che con firefox (ed era anche immaginabile), stesso messaggio di errore, stessa impossibilità di fargli accettare il certificato come valido anche se specificando a mano "considera affidabile tale certificato"..... succede che dai OK e lui si dimentica tutto e torna esattamente come prima delle modifiche +_+

ma non è che mi manca qualcosa a livello kernel piuttosto che about:config?   :Rolling Eyes: 

----------

## djinnZ

Il default di genkernel è abilitare tutti gli algoritmi di certificazione nel dubbio metti tutto quel che manca modulare.

Ma continuo a pensare che sia qualcosa legato alle restrizioni sui protocolli deprecati (perchè non abbastanza sicuri).

Per esempio per far funzionare il vecchio accesso all'inail dovevo impostare a true security.enable_ssl2 e security.ssl2.des64 o rc2_40 ora non ricordo, in caso contrario mi diceva sempre che il certificato non era valido.

Altrimenti prova con aggiungi eccezione nella sceda dei certificati (opzioni->avanzate->cifratura), ovviamente credo che vada importato come certificato server.

----------

## CarloJekko

 *Kind_of_blue wrote:*   

> Purtroppo gli howto sono su gentoo wiki ... che per il momento è down.
> 
> per che cosa ti serve? Gnome/Kde/altro?

 

Prova con la copia cache di google, è una manna !!!

----------

## t-storm

Io la butto lì, un po' alla cieca

 *Quote:*   

> "Il certificato non può essere verificato e non verrà importato. L'emittente del certificato potrebbe essere sconosciuto o non fidato, il certificato potrebbe essere scaduto, revocato o non approvato." 

 

Chi ha emesso il certificato? Dal messaggio sembra che sia il certificato del certificatore a non essere riconosciuto. Non tutti gli enti certificatori italiani sono riconosciuti dai browser. Dovresti trovare il certificato dell'ente certificatore, importarlo in firefox nel tab "authority" poi importare il tuo.

Un elenco dei certificati degli enti certificatori può essere recuperato dall'url http://www.cnipa.gov.it/site/_files/lista%20dei%20certificati.html.

Comunque dovresti in qualche modo dal tuo certificato risalire all'ente certificatore.

----------

## exebeje

sono riuscito effettivamente a farlo riconoscere come certificato di "autorità" e non come certificato di "siti altrui", questo però dopo aver abilitato tutte le voci in about:config con filtro per "sha" e "rsa" che sono gli algoritmi di cifratura contenuti nel certificato stesso (cosa verificata da winzozz). Insomma, non so esattamente quale fosse la voce da abilitare ma...... va bene lo stesso  :Wink: 

----------

## djinnZ

Prova a disabilitarle progressivamente per trovare quella necessaria.

Vi sono serie motivazioni alla disabilitazione di quei protocolli (pishing, man in the middle e defacement).

Da qualche parte nella documentazione o nel forum inglese di mozilla c'è un elenco sistematico ed accurato del perchè ogni singola voce è disabilitata per default.

Personalmente quando mi sono reso conto di una cosa simile ho scritto una "simpatica letterina" alla banca (anticipata a mezzo email) richiedendo l'adeguamento a minimi standard di compatibilità e sicurezza o avrei cambiato.

Dopo una settimana, senza attendere risposta, ho chiuso il conto e sono passato ad un'altra banca (dove non "risparmiavo" usando il conto online).

Con le banche e con molti funzionari non si può essere civili ed educati, si deve essere brutali (non mi accontenti? cambio, e dico a tutti quelli che conosco perchè, poi vediamo quanto a lungo sopravvive lo sportello e conservi il posto).

----------

