1. Chi siamo
  2. Servizi
  3. Aiuto
  4. Howto
  5. Amici
  6. Donazioni
  7. ||
  8. it
  9. en
  10. es
  11. de
  12. fr
  13. pt
  14. cat
My Account Login

Come verificare il certificato della nostra CA

Una volta scaricato il nostro certificato, è opportuno verificarne la validità prima di installarlo. Questo ti garantirà contro il caso in cui un'entità esterna stia intercettando la tua connessione e ti fornisca un certificato falso (pensiamo ad esempio a qualsiasi apparato repressivo dello stato).

Abbiamo firmato la nostra CA con la nostra chiave PGP, di modo che è possibile verificare che il certificato scaricato è proprio quello giusto. Dovresti quindi usare il Web of Trust di PGP per verificare che la chiave PGP associata all'indirizzo info@autistici.org sia proprio la nostra.
Per effettuare la verifica con la nostra chiave PGP devi aver installato GnuPG dal sito www.gnupg.org alla sezione Binary Releases.

Prima di proseguire con la lettura, assicurati di aver scaricato il certificato della CA e di averlo salvato in un file chiamato ca.crt. Potresti dover fare click col tastro destro del mouse e selezionare "salva con nome" per scaricare il certificato.

Verificare la CA con PGP

Se usi Windows e non sai come fare, clicca qui.

Prima di tutto, scarica la chiave PGP per info@autistici.org:

$ gpg --keyserver x-hkp://pool.sks-keyservers.net --recv E30D5650109E53532104B879DA733D59D98DA9CE

(o, in alternativa, si può scaricare da qui).

A questo punto dovresti verificare, usando la Web of Trust di PGP, che la chiave che hai ottenuto sia davvero quella di Autistici/Inventati. Ti rimandiamo alla documentazione abbondante che puoi trovare su Internet per spiegazioni più approfondite su come fare questo passaggio.

Una volta che hai fiducia nella chiave PGP per info@autistici.org, scarica la firma del certificato della CA da qui:

ca.crt.sig

Puoi finalmente verificare il certificato della CA col comando:

  gpg --verify ca.crt.sig ca.crt

Se ricevete questo avvertimento:

  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.

È perché non avete definito la nostra chiave come "fidata". Potete ignorare questo avviso, oppure potete approfondire il discorso leggendo il capitolo 3 sulla gestione delle chiavi e della fiducia del manuale di GPG: (https://www.gnupg.org/gph/it/gestione-chiavi.html).

Verificare la CA su Windows

Per verificare la CA di Autistici/Inventati su Windows, la prima cosa da fare è installare GPG4Win, che puoi scaricare cliccando qui.
GPG4Win
Una volta installato GPG4Win, apri il prompt dei comandi di Windows. La procedura cambia a seconda della versione, ma in molti casi basta cliccare sul menu avvio e scrivere cmd nella casella di ricerca.
cmd win
Usando il prompt dei comandi, scarica la chiave GPG di info@autistici.org con il comando:

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv E30D5650109E53532104B879DA733D59D98DA9CE

scarica chiave
Controlla la fingerprint della chiave con il comando:
gpg --fingerprint D98DA9CE
dovresti ottenere questo risultato:
pub   4096R/D98DA9CE 2012-12-13 [scadenza: 2017-12-12]
Impronta digitale della chiave = E30D 5650 109E 5353 2104  B879 DA73 3D59 D98D A9CE
uid Autistici / Inventati Staff (www.autistici.org / www.inventati.org) 
sub   4096R/8FFE61D6 2012-12-13 [scadenza: 2017-12-12]
sub   2048R/CBE90CAD 2013-06-05
Se l'impronta digitale coincide, puoi procedere con la verifica.
verifica fingerprint
Immaginando che tu abbia scaricato sia il certificato (ca.crt) che la firma (ca.crt.sig) nella cartella Downloads, digita il comando:
cd Downloads
A questo punto ti trovi nella cartella in cui hai salvato il certificato assieme alla firma e puoi procedere alla verifica digitando il comando:
gpg --verify ca.crt.sig ca.crt
Se nel risultato leggi da qualche parte "Good Signature" o "Firma valida", e comunque non vedi errori, il certificato è quello giusto.
verifica fingerprint
Non preoccuparti se ricevi questo avvertimento:
  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.

È un messaggio che ricevi perché non hai definito la nostra chiave come "fidata". Puoi ignorarlo, oppure approfondire il discorso leggendo il capitolo 3 sulla gestione delle chiavi e della fiducia del manuale di GPG: (https://www.gnupg.org/gph/it/gestione-chiavi.html).

Fingerprint dei certificati

La verifica della fingerprint (MD5 o SHA che sia) dei certificati offerti dai vari servizi di A/I non è un meccanismo particolarmente sicuro, se usato da solo. Inoltre i certificati dei servizi possono cambiare spesso e senza un avviso da parte nostra.

In ogni caso, è disponibile una pagina che elenca le fingerprint di tutti i servizi.