99781 Letture

Posta elettronica certificata e certificati s/mime: differenze e funzionamento

Chiarito il ruolo e l'importanza delle CA, vediamo come sia possibile, nella pratica, sfruttare un certificato S/MIME per l'invio di qualunque genere di messaggio di posta elettronica.
A titolo esemplificativo, utilizziamo il certificato che Globaltrust mette a disposizione di tutti i richiedenti, per scopi personali. Il certificato rilasciato dalla CA italiana, è completamente gratuito ed ha validità annuale, con la possibilità di effettuare ulteriori rinnovi sempre a titolo non oneroso.

Per richiedere a GlobalTrust il proprio certificato digitale è sufficiente visitare questa pagina web, inserire i propri dati anagrafici ed una password adeguatamente complessa.
Entro pochi giorni si riceverà così un'e-mail all'indirizzo di posta elettronica specificato all'atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all'installazione automatica del certificato personale sul proprio sistema. La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web.

Il certificato personale così richiesto consentirà di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.
GlobalTrust (o comunque la CA che emette il certificato) provvede a fornire all'utente facente richiesta, un certificato contenente l'identificativo dell'algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità ed una chiave pubblica. Questo insieme di informazioni identifica colui che ha richiesto il certificato come unico possessore ed utilizzatore dello stesso.


Una volta attivato e scaricato il certificato S/MIME, questo potrà essere salvato su disco fisso in modo da essere facilmente impiegato, per esempio, con un qualsiasi client di posta elettronica. Il certificato potrà essere salvato sotto forma di file con estensione .pfx: tale file non dovrà essere trasmesso a terzi dato che contiene anche la propria chiave privata.
Nel caso si sia importato il certificato in Internet Explorer, questo potrà essere salvato su disco in formato .pfx avviando il browser Microsoft, cliccando sul menù Strumenti, Opzioni Internet quindi su Contenuto. Facendo riferimento al pulsante Certificati quindi selezionando il proprio certificato S/MIME dalla scheda Personale ed infine premendo Esporta..., si potrà produrre il file .pfx. In tutte le fasi di esportazione ed importazione del certificato S/MIME verrà sempre richiesta la password scelta a protezione del file: mai dimenticarla.

Per impostare Outlook affinché utilizzi il certificato personale, basta far riferimento al menù Strumenti, Opzioni del programma quindi alla scheda Protezione. Cliccando su Impostazioni ci si può assicurare che il certificato in uso sia quello ricevuto da GlobalTrust ed eventualmente importarlo in modo manuale.
I pulsanti Codifica e Firma visualizzati in fase di composizione di un'e-mail permetteranno quindi di cifrare o firmare la comunicazione che si è in procinto di inviare.

Con Outlook, una volta ricevuto ed aperto il messaggio, il certificato verrà automaticamente installato sul sistema del destinatario.

Per aggiungere la chiave pubblica di un destinatario alla lista dei certificati, è sufficiente cliccare sul simbolo raffigurante una coccarda di colore rosso (contenuto nell'e-mail ricevuta dall'interlocutore) quindi cliccare sulla voce Aggiungi ai contatti di Outlook.
La chiave pubblica del contatto verrà così automaticamente associata al contatto stesso e risulterà visibile selezionando la scheda Certificati.
Se il certificato dell'interlocutore si presenta sotto forma di allegato (estensione .cer) al messaggio di posta elettronica, sarà possibile aggiungerlo alla lista selezionando il comando Importa.

Il certificato personale ottenibile facendo richiesto a Globaltrust così come a qualunque CA riconosciuta, è ovviamente utilizzabile anche con altri client di posta elettronica. Nel caso di Mozilla Thunderbird, ad esempio, diventa possibile cifrare e firmare messaggi senza ricorrere ad estensioni sviluppate da terzi (la più famosa è la opensource Enigmail; ved. questo nostro articolo, in proposito) e potendo fidare sulla certificazione resa da Globaltrust.


La gestione dei certificati in Mozilla Thunderbird si effettua cliccando su Strumenti, Impostazioni account quindi sulla voce Sicurezza.
Cliccando su Visualizza certificati è possibile importare certificati e controllare quelli disponibili. Selezionando la scheda Certificati personali quindi servendosi del pulsante Importa, si può aggiungere in elenco il certificato (in formato .pfx) ottenuto gratuitamente, ad esempio, da Globaltrust.

Nella scheda Certificati altrui, invece, Mozilla Thunderbird aggiunge automaticamente i certificati, allegati ai vari messaggi di posta elettronica, ricevuti da parte dei propri interlocutori.

Dopo aver importato il proprio certificato, è sufficiente fare clic sui pulsanti Seleziona presenti nei riquadri Utilizza il seguente certificato per firmare digitalmente i messaggi ed Utilizza il seguente certificato per cifrare o decifrare i messaggi ricevuti per indicare a Thunderbird che si intende farne uso.


In fase di composizione di un messaggio, si dovrà far riferimento al pulsante Sicurezza quindi alle voci Cifra questo messaggio ed Apponi firma digitale.


Nel caso di Mozilla Thunderbird, anziché una coccarda rossa, all'interno della finestra che visualizza il contenuto di un messaggio firmato digitalmente, verrà aggiunta - in alto a destra - un'icona raffigurante una penna.

Per chi utilizzasse il servizio Google Gmail da web, senza quindi appoggiarsi ad un client di posta, è possibile inviare e-mail firmate digitalmente e cifrate ricorrendo all'add-on gratuito per Mozilla Firefox denominato Gmail S/MIME e scaricabile da questa pagina. Dopo aver installato l'add-on, la finestra di composizione di un messaggio di Gmail risulterà arricchita di due nuovi pulsanti: l'uno permette di firmare l'e-mail, l'altro di cifrarne il contenuto.
Ricordiamo comunque che il servizio di posta Gmail messo a disposizione da Google è gestibile con qualunque client e-mail in modo da dover evitare di accedere via web alla propria casella di posta elettronica (le istruzioni per la configurazione del proprio software preferito per la gestione dei messaggi di posta sono consultabili facendo riferimento a questa pagina).
Per usare il certificato S/MIME offerto da Globaltrust nella versione web di Google Gmail, si dovrà ovviamente importarlo in Mozilla Firefox accedendo al menù Strumenti, Opzioni, cliccando sulla scheda Avanzate quindi su Cifratura ed infine sul pulsante Mostra certificati. Dalla scheda Certificati personali, si dovrà cliccare su Importa... e selezionare il file .pfx relativo al proprio certificato S/MIME.


L'utilizzo della firma digitale consente di fidare su autenticazione, integrità e non ripudio mentre la codifica del messaggio permette di aggiungere le caratteristiche di riservatezza e confidenzialità (tutte queste peculiarità sono intrinseche nell'utilizzo di un certificato S/MIME).

  1. Avatar
    Night
    02/08/2010 17.28.13
    Ma se richiedo il certificato a globaltrust poi devo anche creare la mia coppia chiave pubblica-chiave privata con GnuPG (come descritto qui: http://www.ilsoftware.it/articoli.asp?id=3404" onclick="window.open(this.href);return false;)???? Non ho capito se le 2 cose sono separate o no? Grazie a chi vorrà aiutarmi.
  2. Avatar
    Ing. Mirko Paglia
    19/03/2010 18.50.14
    Anche poste italiane è legalmente una CA rilascia certificati digitali http://postecert.poste.it/" onclick="window.open(this.href);return false; Inoltre quelli elencati qui http://kb.mozillazine.org/Getting_an_SMIME_certificate" onclick="window.open(this.href);return false; sono CA e non provider
  3. Avatar
    monti.fabrizio
    01/01/2010 11.46.28
    Thawte non offre più il servizio di cui si parla. Tuttavia qua c'è una lista di provider:
    http://kb.mozillazine.org/Getting_an_SMIME_certificate" onclick="window.open(this.href);return false;

    Non sono tutti gratuiti, ma 19$ all'anno (Verisign) non sono tantissimi, se si è un libero professionista.
  4. Avatar
    Flavior
    23/11/2009 00.14.46
    vorrei assolutamente evitare la PEC, ma ha una perplessità nell'uso dei certificati s-mime come alternativa, in quanto mi sembra debole nell'aspetto di certificazione della data/ora di invio e soprattutto *ricezione*: sono d'accordo che se io sono il destinatario di un messaggio s-mime, questo ha tutti gli elementi per essere riconosciuto legalmente anche in un'aula di tribunale, comprendendo anche la marcatura temporale dell'invio e della ricezione (che è presente nell'header internet del messaggio stesso); nel caso però in cui io sia il mittente, ed il destinatatio ha bloccato qualsiasi invio di ricevuta automatica -- anche quella s-mime -- come faccio a certificare che il mio messaggio è stato inviato dal server del mio ISP in una certa data/ora ed è giunto nella casella del mittente sul server del suo ISP in un'altra data/ora specifica (il messaggio che mi sono salvato nella posta inviata non ha nessun header...)? Se qualcuno sa spiegarmelo una volta per tutte, avrà la mia più sincera gratitudine!
  5. Avatar
    Ciesko
    04/11/2009 09.15.56
    Il problema è che con la PEC:
    - viene creata un'email ex-novo
    - devi acquistarne una per singolo account (o sbaglio?), pensate alle aziende
    - devo ancora capire se è possibile integrarla ad un mailserver
    - non è riconosciuta a livello internazionale

    Dobbiamo sempre fare le cose fatte a modo nostro: a che cavolo serve spendere soldi quando esiste una tecnologia matura?!! Per carità ben vengano veridicità del momento in cui è transitato il msg e la conferma di invio/ricezione ma non vi sembra assurdo?

    Spiegassero bene a cosa serve e come funziona, meno male che c'è gente che si sbatte a farne un articolo come questo autore.

    Scusate lo sfogo
  6. Avatar
    dibandrea1
    02/10/2009 00.50.19
    è vero quello che afferma "Ice1972".
    è possibile eventualmente avere oltre il certificato s/mime anche la PEC sullo steso computer?
    grazie per la risposta. andrea
  7. Avatar
    Micromer89
    05/08/2009 00.40.42
    Posso richiedere più Certificati S/MIME, da GlobalTrust, nel caso io abbia più di un indirizzo e-mail ?
  8. Avatar
    Ice1972
    20/06/2009 15.11.05
    Lungi da me il voler difendere un non-standard, qual'e' la PEC,
    ma, se non erro, rispetto all'S/MIME ha un vantaggio.

    Infatti nell'S/MIME la CA garantisce " chi e' " il mittente del msg
    (per tramite d'un certificato, del mittente, firmato dalla CA),
    ma non interviene nella transazione specifica (l'email che
    Tizio invia a Caio).

    La PEC, invece, istituisce dei "terzi garanti" che generano
    una serie d'eventi, grazie ai quali mittente/destinatario non
    possono disconoscere:
    - esistenza del msg
    - contenuto del msg
    - momento in cui e' transitato il msg
    - invio/ricezione del msg

    Nella fattispecie la "marcatura temporale", presente nelle
    ricevute PEC, mi sembra assente completamente nell'utilizzo
    di S/MIME (a meno che il destinatario risponda, citando
    l'email ricevuta, in tal caso almeno la sequenza temporale e' fatta salva).
  9. Avatar
    bissio
    28/01/2009 10.35.01
    bisogna dare atto all'autore di aver cercato di essere stato chiaro, comprensibile e, per quanto possibile esauriente e di questo lo ringrazio.
    Fabrizio
Posta elettronica certificata e certificati s/mime: differenze e funzionamento - IlSoftware.it - pag. 4