lore20 Quindi se ho capito bene

No, mi pare di capire che... non hai capito bene. Scusa l'orribile gioco di parole.

La PEC è identificazione legale della casella mittente, quello che fa "prova" all'amm.ne è l'identità dei dati contenuti nella domanda con i dati dell'intestatario della casella mittente, è un fatto "in più".

Se per ipotesi alla stessa amm.ne mandi un'altra missiva, per es. un'istanza di accesso agli atti, la sola PEC non prova che tu abbia diritto ad accedere a quegli atti, non rende l'istanza valida solo per quello. O il diritto ad accedere a quegli atti è pubblico (e quindi non è richiesta una specifica identità), oppure ci sarà una terza "cosa", per esempio che l'istanza riguardi gli atti di un concorso a cui l'intestario della PEC partecipi, o l'istanza contiene una delega o procura firmata digitalmente da persona a cui quegli atti sono collegati, etc.

      mark129 Ok, ora è chiaro e mi torna. Quindi nell'ipotesi di un concorso è ragionevole e corretto che venga chiesta la terza cosa per avere una verifica dell'identità anagrafica del richiedente (che poi la terza cosa chiesta spesso sia la firma digitale dei povery(TM), ovvero il pezzo di carta firmato a mano e scansionato, a volte con scansione della CDI è un discorso apparte)

        • [cancellato]

        • Messaggio #23

        lore20 Stando a queso blog

        È un blog abbastanza "criticone". Non dico che non abbia anche le sue ragioni, ma allora...

        lore20 L'autore sostiene anche che in assenza non esiste valore identificativo del mittente

        ... vale anche per le raccomandate - vai a verificare che chi l'ha inviata è veramente chi dice di essere. Altrimenti ci vorrebbe l'autenticazione di un notaio - ammesso che il notaio non sia corrotto o indotto in errore. Comunque è il vecchio problema dei certificati digitali - tutto dipende dall'affidabilità di chi certifica.

        Se volete ridere - o piangere -, la CA utilizzata da una piccola banca come Intesa SanPaolo e proprietà di Infocert - Camerfirma, Spagnola, pensate un po' - rischia di essere eliminata dai principali browser per una serie di cattivi comportamenti:

        https://wiki.mozilla.org/CA:Camerfirma_Issues

        Evidentemente Messina ha pensato che una banca che fa miliardi di utili deve risparmiare sulla CA....

        lore20 le PEC sono firmate con un certificato associato al provider del mittente

        Il certificato è associato all'indirizzo email della casella. Il certificato è generato dal provider PEC, il quale a sua volta deve essere certificato, non puoi improvvisarti provider PEC.

        Certo, bisognerebbe associare in modo sicuro il certificato al mittente. Mi chiedo però quanto una identificazione "de visu" sarebbe probante se sei un'associazione a delinquere in grado di produrre documenti falsi, ci metti poco a trovare uno che ci metta la faccia (di bronzo) e inganni l'identificatore.

                [cancellato] Evidentemente Messina ha pensato che una banca che fa miliardi di utili deve risparmiare sulla CA....

                proprio adesso che praticamente hanno acquisito più del 90% di un noto istituto bancario

                  OT

                  [cancellato] la CA utilizzata da una piccola banca come Intesa SanPaolo e proprietà di Infocert - Camerfirma, Spagnola, pensate un po' - rischia di essere eliminata dai principali browser per una serie di cattivi comportamenti:

                  Avevo letto la notizia questo pomeriggio... giusto per curiosità: per sistemare la situazione devono cambiare tutti i certificati e aggiornare preventivamente software/app/ecc?

                  /OT

                    [cancellato] Scusami per il tecnicismo e la pignoleria, ma sono abbastanza sicuro che non sia così.

                    Esempio di mail PEC ricevuta (invita dall'ufficio stato civile di Palermo, indirizzo @cert.comune.pa.it ospitato da legamail).

                    Ecco come viene mostrato il certificato della busta di trasporto dal webclient di aruba:


                    Nel Common Name come negli altri campi, non c'è alcun riferimento alla casella mittente. Il certificato è intestato a "Posta Certificata Legalmail" e rilasciato da (issuer) "AgID CA1".

                    Dubito che "AgID CA1" firmi N certificati a Legalmail per ciascuna casella senza aggiungere nessuna informazione identificativa della casella. Molto più probabile che sia un certificato rilasciato "una tantum" a Legalmail, e Legalmail apponendo la propria firma digitale si assume la responsabilità di fare il bravo postino.

                    Nota anche l'esito dell'ultimo check "l'indirizzo email del gestore mittente corrisponde a quello del certificato"

                    [EDIT] La travagliata storia di quando la PEC ha provato ad avere un minimo di auditing tecnico internazionale, proponendosi come RFC6109 https://datatracker.ietf.org/doc/rfc6109/history/

                    Parte rilevante:

                    I am Abstaining on this document for a couple of reasons.

                    First, there were some concerns raised during IETF LC suggesting that this document should not be published even as Informational, should be published as Historic, or should be published as Information with a big note discouraging new implementations of this spec.

                    Secondly, I don;t think that it specifies well requirements it is trying to fulfil and it doesn't use email infrastructure well while doing that.

                    However I would support an update to this document targeted at Proposed Standard being worked on in collaboration between Application and Security Areas.

                        Filippo94 mi ricordo che verso Natale aveva scritto qualcosa a riguardo, anche se mi pare l’abbia fatta con Poste

                          Filippo94 Sto ancora aspettando l'abilitazione dell'account poste per minori, 3 mesi e passa per dei documenti.

                              LucaTheHacker Andiamo bene. Solo poste lo fa mi sembra di ricordare dal tuo post di qualche mese fa, niente Aruba purtroppo, corretto?

                                  Filippo94 Aruba no, ho già provato. Idem Register, dato che me l'avevano regalata all'apertura di un dominio, ma quando ho inviato i documenti hanno rifiutato la richiesta

                                      spnick Che non l'ho capita tra l'altro... SPID sì, PEC no.

                                      • spnick ha risposto a questo messaggio
                                      • spnick ha messo mi piace.

                                          Filippo94 ma non è riservato ai maggiorenni SPID?

                                              Filippo94 Aruba purtroppo

                                              Aruba ti permette di avere la pec da minore, ma non puoi registrarti se non hai almeno 18 anni, il senso non so quale sia ma heyyy.

                                                Filippo94 però dice che lo fanno per specifiche necessità, e comunque lì menziona solo la CIE (che orami danno a tutti) e il PIN di INPS

                                                  lore20 Dubito che "AgID CA1" firmi N certificati a Legalmail per ciascuna casella senza aggiungere nessuna informazione identificativa della casella. Molto più probabile che sia un certificato rilasciato "una tantum" a Legalmail, e Legalmail apponendo la propria firma digitale si assume la responsabilità di fare il bravo postino.

                                                  E come si diceva una volta, "RTFM" fa sempre bene a chi cerca di capire.
                                                  Chi vuole (io no, per es.) forse può partire da qua: https://www.agid.gov.it/it/piattaforme/posta-elettronica-certificata/certificati-gestori-pec-siti-web

                                                      mark129 Mi sono letto (tempo fa, non ricordo esattamente tutto) la RFC, e a giudicare dai commenti dell'IETF che ho linkato poco fa non sono l'unico a pensare che sia un pastrocchio (dal punto di vista tecnico) e che a tratti non sia del tutto chiaro lo scopo che vuole ottenere.

                                                          Ma per inviare la comunicazione di passaggio ad altro operatore in seguito al certificato NeMeSys la PEC deve essere intestata allo stesso intestatario della linea?

                                                          • lore20 ha risposto a questo messaggio

                                                            Nunu00

                                                            Era la questione originale a cui ha risposto andreadipaolo (citato nel primo post)

                                                            Sulla PEC ormai sono sicuro di poche cose, ma di una sì:

                                                            Il fornitore non può conoscere nome e cognome dell'intestatario.

                                                            Se tu alleghi tutta la documentazione (con copia del documento d'identità dell'intestatario della linea) non dovresti avere problemi. Eventuali comunicazioni in cui ti rifiutano l'istanza potresti riceverle direttamente su quella PEC di un terzo che hai usato.

                                                            Stando a quanto dice qui comunque prima del recesso/passaggio va fatto un reclamo.

                                                            • Nunu00 ha risposto a questo messaggio
                                                            • Nunu00 ha messo mi piace.

                                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                P.I. IT16712091004 - info@fibraclick.it

                                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile