Riferimento ai certificati di sicurezza

Modifica online

È possibile utilizzare Trust uploaded certificates and any certificates signed by a trusted authority o Trust uploaded certificates i seguenti metodi per collegare un assistente AI a un servizio esterno specificato dall'utente:

Metodi per scegliere l'opzione Certificati di sicurezza

Nell'esempio riportato di seguito vengono illustrate tre possibili opzioni relative ai certificati di sicurezza che consentono di ottenere un equilibrio ottimale tra sicurezza e praticità per un assistente AI con le seguenti impostazioni di connessione.

Si consideri un assistente AI con le seguenti connessioni:

  • Tre abilità di conversazione, ognuna delle quali punta a un diverso servizio sicuro. Tutti e tre i servizi sono firmati dalla stessa autorità privata.

  • Due estensioni personalizzate, ciascuna delle quali punta a un servizio sicuro il cui certificato è firmato dalla stessa autorità di fiducia pubblica.

  • Un'integrazione di ricerca che si connette a un'istanza Elasticsearch con un certificato autofirmato (tipico delle istanze Elasticsearch in IBM Cloud).

  • Un log webhook, che punta a un servizio non sicuro (con un URL che inizia con http:// invece di https://).

Si sconsiglia di collegarsi a un servizio non sicuro; inoltre, il tuo assistente AI non è in grado di verificare l'identità di tale servizio.

Metodo 1

  • Crea un file ` PEM ` contenente:

    • Il certificato dell'autorità privata che ha firmato i certificati dei tre servizi sicuri che implementano le abilità di conversazione.

    • Il certificato autofirmato per l'istanza Elasticsearch.

  • Selezionare 'Trust uploaded certificates and any certificates signed by a trusted authority.

Analisi

  • Opzione più comoda da usare.

  • Non è necessario alcuno sforzo aggiuntivo per far funzionare le due estensioni personalizzate, perché i servizi a cui puntano hanno certificati firmati da un'autorità di fiducia pubblica.

  • È sufficiente un solo certificato per le tre competenze di conversazione, poiché sono tutte firmate dalla stessa autorità e il certificato relativo a tale autorità è stato incluso nel file ` PEM `.

  • È possibile aggiungere ulteriori connessioni a servizi i cui certificati sono firmati dalla stessa autorità senza aggiornare il file ` PEM `.

Metodo 2

  • Crea un file ` PEM ` contenente:

    • Il certificato dell'autorità privata che ha firmato i certificati dei tre servizi sicuri che implementano le abilità di conversazione.

    • Il certificato dell'autorità di fiducia pubblica che ha firmato i certificati dei due servizi sicuri che implementano le estensioni personalizzate.

  • Il certificato autofirmato per l'istanza Elasticsearch.

  • Selezionare 'Trust uploaded certificates.

Analisi

  • È meno pratico perché il file ` PEM ` richiede una voce aggiuntiva per il certificato di autorità delle estensioni personalizzate.

  • È necessario aggiornare il file ` PEM ` qualora in futuro vengano aggiunti altri servizi firmati da autorità di certificazione pubblicamente riconosciute.

  • Leggermente più sicuro perché dipende solo dalla sicurezza dell'autorità di pubblica fiducia indicata, invece di dipendere dalla sicurezza di tutte le autorità di pubblica fiducia.

  • Il leggero vantaggio in termini di sicurezza non è importante per la maggior parte degli utenti, perché tutte le autorità di fiducia pubbliche sono estremamente sicure.

Metodo 3

  • Crea un file ` PEM ` contenente:

    • I sei certificati relativi ai sei servizi protetti a cui si collega l 'assistente AI (tre per le funzionalità di conversazione, due per le estensioni personalizzate e uno per Elasticsearch ).

    • Il certificato autofirmato per l'istanza Elasticsearch.

  • Selezionare 'Trust uploaded certificates.

Analisi

  • È meno pratico perché richiede un numero maggiore di certificati nel file ` PEM `.

  • È necessario aggiornare il file ` PEM ` per aggiungere eventuali chiamate di servizio aggiuntive.

  • Leggermente più sicuro perché non presuppone la sicurezza di un'autorità di certificazione pubblica o privata.

  • La sicurezza aggiuntiva non è necessaria per la maggior parte degli utenti perché le autorità di certificazione pubbliche sono estremamente sicure, mentre le autorità di certificazione private sono controllate dall'utente e quindi possono essere sicure.

  • Questa opzione è disponibile per chi desidera la massima sicurezza possibile.

Il tuo assistente AI non verifica il servizio di webhook dei log con nessuno dei metodi sopra indicati, poiché il webhook dei log punta a un server non sicuro e la chiamata al webhook dei log continua a funzionare. Ma i messaggi inviati da e verso il servizio sono privi di crittografia, il che li rende vulnerabili agli attacchi degli impostori.

Il modo migliore per affrontare le vulnerabilità:

  • Rendere il servizio più sicuro implementando il 'https.

  • Aggiorna il tuo assistente AI in modo che chiami https quell'endpoint.

  • Se necessario, aggiorna il file ` PEM ` del tuo assistente AI.