iBaffiPro ha scritto:
Quindi i certificati contengono la regola per decriptare i messaggi all’interno della rete, giusto?
No, diciamo la "password" per farlo
Se uso letsencrypt, il mio “ciao” diventa “cAiAaAoA”, se ne uso un altro la stringa diventa “ciDDDao”, se uso un certificato a pagamento trasformo il messaggio in qualcosa di molto più complesso da decriptare “cb23d32ou434cdoc345dsu.
Assolutamente NO.
Qui lo spiegone sarebbe molto lungo, diciamo (entro in modalità per ingegneri e forummisti) che c'è una password divisa in due tronconi.
Una la tiene il server, una la tiene il client.
Qualsiasi dato (in realtà no ma abbiamo detto siamo in modalità forum) viene criptato tra client e server mediante la "combinazione" delle due semichiavi (ovviamente NON è così)
Essenzialmente, alla grossissima, l'autenticazione del server (cioè il fatto che l'IP 1.2.3.4 corrisponda a
www.ilmiobelsito.co) avviene con una "catena di trust".
In pratica esistone dei "supercertificati" (fisicamente sono file da qualche KB) che sono INGLOBATI fisicamente nel codice eseguibile dei browser, non sono esterni, sono proprio hardcoded.
Quando un browser interroga un sito, il sito spedirà il suo (suo del sito) certificato.
Questo sarà composto, tipicamente, da una serie di certificati "concatenati" da varie organizzazioni, le quali a loro volta hanno dei certificati, via via fino a uno di quelli "supercertificati".
Chiaro?
Vabbè diciamo (in analogia) che tu conosca la firma autografa di Tizio. La conosci perchè ne hai una fotocopia.
Vedi un documento firmato da Stefano e ti chiedi, ma sarà vero?
Stefano mette la sua firma su un foglio su cui c'è la firma di Andrea che dice "la firma di Stefano è vera".
Ma chi è Andrea?
Andrea ha un foglio su cui c'è scritto "la firma di Andrea è vera", ed è firmata da Tizio.
Dunque tu vedrai una sorta di "catena" in cui Tizio dice che Andrea è affidabile, Andrea dice che Stefano è affidabile, e siccome tu ritieni che Tizio si affidabile, concludi che Stefano lo sia
Vabbè dopo una cosa del genere si riprendono indietro la laurea e le danno fuoco in pubblica piazza
Il mio obiettivo è far fare alla webapp il reindirizzamento verso https e non dare al server questo compito anche se forse è più complesso.
Non ha il minimo senso
Questo perché se cambio server, hosting, ecc… mi devo preoccupare di questo passaggio o il sistemista lo deve fare per me.
La seconda
A mio avviso è meglio inglobare tutto (reindirizzamento + certificati) nel file .war e non delegare il compito al server.
Dire di no
Sul server devo fare meno possibile anche perché sono un sistemista molto inesperto.
Si era intuito
Andare a cambiare i certificati SSL ogni 90 giorni è improponibile, devo trovare assolutamente una soluzione. Questa soluzione deve esistere perché alcuni hosting provider offrono letsencrypt e parlano di un rinnovo automatico. Caricare il .war via ftp con dentro i certificati ogni 90 giorni è improponibile.
1) si usano crontab (operazioni pianificate) fa da solo, non devi fare nulla
2) se sei "timido" comprane uno per una trentina di euro\anno (a memoria)