Connessioni SSL in rete locale

Buon pomeriggio,

ho installato Ubuntu serser su un pc al quale ho aggiunto ownCloud server.

Non ho un IP statico pubblico ma nemmeno mi serve in quanto uso il cloud
solo in locale.

In pratica il server è collegato tramite lan al modem/router che uso
anche per navigare il internet, tramite il wireless sono collegati 2 pc
e un android.

Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso
creare un certificato SSL per collegarmi al cloud con https?

Buona festa

grazie

andrea

Dipende dal tuo threat model. Da chi cerchi di difenderti? Quanto sono
preziosi i dati scambiati con il server?
Nella stragrande maggioranza dei casi direi che non è necessario usare
HTTPS in locale.

Immagino che la tua rete WiFi sia WPA2-PSK protetta e che la chiave
pre-shared abbastanza difficile da indovinare. Questo dovrebbe
proteggerti da vicini troppo invadenti.

Se un tuo partner/coinquilino/ospite è sulla stessa rete WiFi (cioè è in
possesso della password WiFi) allora non sarebbe troppo difficile
loggare e decifrare il tuo traffico. Se questo è una situazione vorresti
evitare, allora avrrebbe la pena di usare HTTPS.

Nei scenari dove sei un target di alto valore per qualche ente (servizi
segreti, ex amante tradita che lavora per il tuo provider e ha accesso a
delle backdoor nel tuo router, ...) allora sarebbe saggio assumere che
la tua rete locale non è veramente locale, e aggiungendo un altro strato
di sicurezza non sarebbe sbagliato.

Se fosse completamente indolora abilitare e usare HTTPS per un server in
locale, ti consiglierei di farlo. Ma se le tue esigenze di sicurezza
sono quelle di un pinco pallino qualunque (senza offesa!) allora forse
non vale la pena di farlo...

I miei 2¢,
Thomas

Ciao!

Un motivo per cui potrebbe valerne la pena è che se ti trovi ospite di un'altra rete wireless che condivide la stessa classe di indirizzi di casa tua il tuo telefono andrà a cercare l'IP del tuo server casalingo, e se lì ci dovesse essere qualche server web in ascolto questo riceverebbe la tua password. Teoricamente questo potrebbe succedere anche quando sei collegato alla tua rete mobile, ma non credo che usiate le stesse classi di IP con il tuo operatore :slight_smile:

Se puoi aggiungere un certificato auto firmato al tuo sistema android (e ancora meglio se puoi farne il "pinning" nella app che usi per sincronizzare i dati) non corri questo rischio.

Ciao,
Daniele

Ciao e grazie per le risposte, anche a Daniele.

Il mio modem/ruoter ha una password di una trentina di caratteri casuali
compresi quelli speciali, nessuno è in possesso della password e i dati
non contengono nulla di sensibile.

Ho comunque creato un certificato autofirmato e funziona parzialmente,
ogni volta che mi collego mi dice che il sito non è sicuro, e se metto
l'eccezione funziona ma la seccatura che la spunta per l'eccezione
permanente non è abilitata.

Grazie a tutti

saluti

andrea

Riferivo anche a questo quando dicevo che un certificato locale non è
senza problemi.

Quello che potresti fare è creare la tua certification authority (CA)
locale, ed importare il root certificato nei tuoi computer + android.
Poi crei la chiave ed il certificate sign request (CSR) per il tuo cloud
server.
Infine con il CSR ed la tua CA generi un certificato (CRT) per il tuo
cloud server. Questo certificato verrà accettato dai tuoi computer
perché si fidono della tua CA.

Non è la cosa più piacevole da fare, e la documentazione di openssl non
proprio un piacere da leggere, ma è certamente fattibile.

Th