Passar DDD al domini .cat¶

Seguint la política de la UAB, caldria que la propera actualització ja la faci configurant l'adreça del servidor com a http://ddd.uab.cat. Ja sabeu que la infrastructura de la UAB permet que qualsevol servidor que està com a uab.es també sigui accessible com a uab.cat, però l'aplicació CDS Invenio (antiga CDSware) necessita que li diguiem l'adreça oficial del servidor, perquè sovint posa l'adreça a pinyó fix.

Fins aquí, cap problema. Es tracta de configurar la versió 0.92 dient-li que el servidor és http://ddd.uab.cat.

El problema està que, d'altra banda, la versió 0.92 permet que la pàgina de d'identificació dels usuaris, on hi posem l'adreça de correu electrònic i la contrasenya, pugui viatjar encriptada, sota https. Això en principi és una bona mesura perquè fa pràcticament impossible que la contrasenya pugui ser espiada per utilitats d'observació del trànsit per la xarxa. El que passa és que, per a crear un servidor amb suport d'https, cal un certificat digital.

A la UAB hi ha dues polítiques per a certificats digitals:

• Fa algun temps, cada aplicació creava el seu propi certificat, sense penjar-la de cap entitat certificadora oficial (que fa com de notari digital), de manera que els navegadors avisaven a l'usuari que el lloc deia ser segur però no se'n podien enfiar.
• últimament s'està utilitzant un certificat com cal, reconegut per una entitat certificadora que tots els navegadors tenen configurats com a fiable. El problema és que aquest certificat es va demanar abans del .cat, i és per a *.uab.es.

És a dir, que la moguda a .cat ens ha agafat amb el pas canviat.

Ara tenim unes quantes solucions:

1. Actualitzar-nos a 0.92 amb .es i encriptar la pàgina de contrasenya amb el certificat bo *.uab.es.
2. Actualitzar-nos a 0.92 amb .cat i sense encriptar la pàgina de contrasenya (com fins ara, vaja).
3. Actualitzar-nos a 0.92 amb .cat encriptant la pàgina de contrasenyes amb un certificat de joguina, que els navegadors contínuament avisaran que aquest certificat no és de fiar.
4. Esperar a tenir el certificat *.uab.cat per a actualitzar-nos a 0.92 amb .cat (no, no sé quan la UAB tindrà aquest certificat).

Què preferiu fer? (FerranJorba)

• L'opció més adient ara mateix és la segona, el Servei de Biblioteques és partidari de l'utilització del .cat i si fins ara hem passat sense encriptar les contrasenyes també podem fer-ho amb la nova versió. (CristinaAzorin)

Situació a abril del 2007¶

A l'abril del 2007 han passat dues coses importants:

• La UAB ja disposa d'un certificat vàlid per a *.uab.cat.
• Degut al clima general d'inseguretat i falsificacions a Internet, la nova generació de navegadors, en particular Internet Explorer 7.0 i Mozilla Firefox 2.0 han augmentat els seus nivells de seguretat un grau més, en aquest cas, han implementat TLS [http://en.wikipedia.org/wiki/Transport_Layer_Security] en el https (connexió segura). Entre altres coses, això vol dir que, per a cada connexió https, demanen al servidor de noms (DNS) que confirmi el nom real per al número IP resolt [http://en.wikipedia.org/wiki/Transport_Layer_Security#Security]. I com que en el fons en el fons, el domini de la UAB continua essent .es, els navegadors informen al pobre usuari que hi ha una falsificació d'adreces, perquè el servidor que diu ser ddd.uab.cat en el fons és ddd.uab.es. Aleshores, treuen un advertiment molt seriós a l'usuari d'aquests navegadors i diuen que s'hi connecta ho faci sota la seva responsabilitat, perquè el lloc és possiblement fraudulent.

La UAB no pot passar ara matex a ser primàriament .cat per un munt de motius, tant tècnics com de decissió política (que no correspon al Servei d'Informàtica). I tampoc, evidentment, no podem impedir als usuaris que facin servir navegadors menys primmirats. Ara mateix no ni ha data ni pla de migració a .cat primari per part del Servei d'Informàtica.

És a dir, que aquest certificat vàlid per a *.uab.cat no ens serveix de gaire res.

La propostes més realistes en aquest moment són:

1. Continuar sense encriptar la pàgina de contrasenya, sine die.
2. Fer que totes les pàgines siguin .cat menys la de la contrasenya, que serà .es. A l'hora de configurar l'aplicació CDS Invenio, demana les adreces per a http i per a https, de manera que crec que és fàcilment implementable. Això donaria un greu de seguretat que ara no té, sense missatges d'advertiments, amb aquest preu que la pàgina de la contrassenya sigui .es.

Tinc intenció de provar aquesta configuració en la instal·lació de proves, aprofitant la migració de la 0.92.0 a la 0.92.1, per veure com es comporta i en veieu l'efecte.

En principi, quina d'aquestes dues noves opcions preferiu? (FerranJorba)

• Sembla que estaria bé si podem pujar un grau en el tema de la seguretat. Només em preocupen els problemes tècnics que et pugui donar el fet que una plana tingui un domini diferent, però si comproves que no et dóna problemes, endavant. (CristinaAzorin)

• Efectivament, hem tingut un problema tècnic. Durant una estona va estar funcionant amb adreça oficial http://ddd-test.uab.cat:2000, i per la identificació sortia https://ddd-test.uab.es/youraccount/login?ln=ca (és a dir, protocol segur amb https, però domini .es). Semblava que anava bé, però després d'identificar-se amb https es perdia la identificació i tornàvem a quedar com a visitant.
  • Em sembla molt que el problema és degut a com s'utilitzen els cookies. En CDS Invenio es crea una cookie de sessió cada cop que t'hi connectes de nou. Aquesta cookie és vàlida per a la màquina on et connectes, és a dir, ddd.uab.cat (diem-ne cookie-cat). Però després et tornes a connectar a una «màquina diferent» que es diu ddd.uab.es, i CDS Invenio et passa una altra cookie per a una altra sessió (diem-ne cookie-es). T'identifiques amb aquesta cookie de .es, i CDS Invenio .cat a partir d'ara et «té fitxat» amb la cookie-es, però de seguida que tornes a «la màquina» .cat estàs utilitzant la cookie-cat i, per tant, estàs sense identificar.
  • Ara mateix, mirant-me una mica com està implementada la gestió de cookies en CDS Invenio, i tal com entenc que els gestionen els navegadors, no sóc capaç de trobar-hi cap solució a aquest problema. De moment, i temporalment, hem fet que tot vagi com a .es. (FerranJorba)

Per tant, tal com haviem quedat prèviament, tornem al .cat i sense encriptar la pàgina de contrassenya, i ja veurem si més endavant hi veiem alguna solució. (FerranJorba)