Sicurezza

XT3 ha a cuore la sicurezza delle informazioni relative ai servizi che offre e si impegna utilizzando tecnologie che garantiscano alti livelli di protezione alla confidenzialità dei dati e all’autenticazione nelle comunicazioni.

• Stoccaggio dati
• Comunicazioni
  • SSL/TLS
    • Certificati
    • Autorità certificatrice interna
  • SSH
• Software

---

Stoccaggio dati

Sia nei dischi fissi dei server, che nei PC degli amministratori, i dati degli utenti e dell’intera XT3 sono sempre protetti utilizzando tecnologie di cifratura che li proteggono da attacchi fisici.

L’intero filesystem del server principale, come pure lo spazio di stoccaggio esterno usato per il backup del sistema, risiedono su volumi cifrato LUKS con cifrario AES in modalità XTS con chiave a 512 bit, le cui chiavi sono in possesso del solo amministratore capo.

I file memorizzati nella nuvola privata sono ulteriormente cifrati con chiavi note ai soli utenti.

---

Comunicazioni

SSL/TLS

Moltissimi servizi di XT3, come i servizi web e la posta elettronica, fanno uso di TLS per rendere sicure le comunicazioni. I servizi web su HTTPS sono anche protetti da attacchi di declassamento della sicurezza grazie all’implementazione di politiche Strict Transport Security.

Certificati

I certificati usati nelle comunicazioni SSL/TLS sono di particolare robustezza e affidabilità, grazie all’uso di chiavi RSA di 4096 bit.

Alcuni certificati attualmente in uso sono autenticati da Let’s Encrypt e vengono automaticamente riconosciuti come affidabili dai più diffusi applicativi.

Altri certificati, invece, sono autenticati dalla nostra stessa autorità certificatrice interna, e non sono pertanto automaticamente riconosciuti. La cosa non ha alcun impatto sulla privacy delle comunicazioni con XT3, né sull’autenticazione dei nostri server, ma è necessario impostare correttamente la piattaforma su cui è in funzione l’applicazione:

1. scaricare il certificato;
2. verificare che esso corrisponda ai dettagli forniti sotto;
3. installare il certificato, a livello di sistema operativo o di applicazione.

Un’alternativa più semplice, che mantiene privata la connessione ma che costringe a rinunciare all’autenticazione dei server di XT3, consiste nel far capire esplicitamente alle varie applicazioni che il certificato finale è da considerarsi affidabile, per esempio aggiungendo una “eccezione di sicurezza”, o spuntando opzioni tipo “non controllare la validità del certificato”.

Autorità certificatrice interna

• Nome: XT3 Root Certification Authority
• Email: admin@xt3.it
• Impronta: 54:A5:D5:46:DB:69:07:33:9F:38:92:04:BA:88:B2:A7:29:33:F1:D0
• Certificato: PEM, CRT

SSH

L’accesso al filesystem personale dedicato all’hosting web è consentito tramite protocollo SFTP, ed esclusivamente usando protocolli di scambio chiavi che siano attualmente considerati sicuri.

Di seguito sono riportate le chiavi pubbliche del server SSH, per l’installazione manuale nei client o per la verifica della procedura automatica.

• DSA

  ssh-dss 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 root@radon.xt3.it
  

• ECDSA

  ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBNPOXPftxMm6NJzbAFnXTIY38IESksMkIAO/zSVgeAMewZwFbLzyvtvbpQW335idWXbLvtwtqsp16L+NcEASGx8= root@radon.xt3.it
  

• RSA

  ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8a3ki6h/2N99xett214MYYinVcu/tlkJb/8TB5h9AI6Goz2uMjk8v+kpLqDJBV/7rSuAXjDEpx80PSY3C/ZxGmyznzxR20rE+7GbjhAjyR7jPn6+2hWeNwva2fs3WOPYHrTYoN6MdQB/Y+cCWq7VplRn0TuK6XaTCZ2RXR/Z6nMSa2MExqsP3NwXjFbBfeJxtC+luEA5jDQFdPYTLIM3bY4DfAPy/2snwEVf5gkI5jktETDuQPj5lSjKFO117NIYuVuzU6bInp+jNSH3sXHEIe1glwcH9GR0KxTcBw4Dldn1sxJn1s3J4znXQWZWii95AaGHvGTOwjjIz2QtezWOD root@radon.xt3.it
  

---

Software

Tutto il software utilizzato da XT3 è distribuito con licenza libera o open source, che garantisce a chiunque il diritto di analizzare e migliorare il codice sorgente. Le ampie comunità di sviluppatori che contribuiscono alla crescita e alla manutenzione dei software permettono i più alti standard di affidabilità. La manutenzione e l’aggiornamento del software è effettuato continuamente dagli amministratori, per minimizzare l’esposizione a falle di sicurezza.

Tutte le macchine montano sistema operativo Debian GNU/Linux e i server fanno uso di kernel Grsecurity. Altre informazioni sul software utilizzato sono dettagliate nelle pagine dedicate ai singoli servizi.