Riferimento ai certificati di sicurezza

È possibile utilizzare 'Trust uploaded certificates and any certificates signed by a trusted authority o 'Trust uploaded certificates per i seguenti metodi per collegare un assistente AI a un servizio esterno specificato da un utente:

Metodi per scegliere l'opzione Certificati di sicurezza

Nell'esempio che segue, vengono illustrate tre possibili opzioni di certificato di sicurezza con le quali è possibile ottenere un equilibrio ottimale tra sicurezza e convenienza per un assistente AI con i seguenti dettagli di connessione.

Consideriamo un assistente AI con le seguenti connessioni:

  • Tre abilità di conversazione, ognuna delle quali punta a un diverso servizio sicuro. Tutti e tre i servizi sono firmati dalla stessa autorità privata.
  • Due estensioni personalizzate, ciascuna delle quali punta a un servizio sicuro il cui certificato è firmato dalla stessa autorità di fiducia pubblica.
  • Un'integrazione di ricerca che si connette a un'istanza Elasticsearch con un certificato autofirmato (tipico delle istanze Elasticsearch in IBM Cloud).
  • Un log webhook, che punta a un servizio non sicuro (con un URL che inizia con http:// invece di https://).

L'indicazione di un servizio non sicuro è sconsigliata e l'assistente AI non è in grado di verificarne l'identità.

Metodo 1

  • Creare un file PEM contenente:
    • Il certificato dell'autorità privata che ha firmato i certificati dei tre servizi sicuri che implementano le abilità di conversazione.
    • Il certificato autofirmato per l'istanza Elasticsearch.
  • Selezionare 'Trust uploaded certificates and any certificates signed by a trusted authority.

Analisi

  • Opzione più comoda da usare.
  • Non è necessario alcuno sforzo aggiuntivo per far funzionare le due estensioni personalizzate, perché i servizi a cui puntano hanno certificati firmati da un'autorità di fiducia pubblica.
  • È necessario un solo certificato per le tre abilità di conversazione, perché sono tutte firmate dalla stessa autorità e il certificato di tale autorità è stato incluso nel file PEM.
  • È possibile aggiungere ulteriori connessioni a servizi i cui certificati sono firmati dalla stessa autorità senza aggiornare il file PEM.

Metodo 2

  • Creare un file PEM contenente:
    • Il certificato dell'autorità privata che ha firmato i certificati dei tre servizi sicuri che implementano le abilità di conversazione.
    • Il certificato dell'autorità di fiducia pubblica che ha firmato i certificati dei due servizi sicuri che implementano le estensioni personalizzate.
  • Il certificato autofirmato per l'istanza Elasticsearch.
  • Selezionare 'Trust uploaded certificates.

Analisi

  • Meno conveniente perché il file PEM richiede una voce aggiuntiva per il certificato di autorità delle estensioni personalizzate.
  • È necessario aggiornare il file PEM quando in futuro verranno aggiunti altri servizi firmati da autorità pubblicamente affidabili.
  • Leggermente più sicuro perché dipende solo dalla sicurezza dell'autorità di pubblica fiducia indicata, invece di dipendere dalla sicurezza di tutte le autorità di pubblica fiducia.
  • Il leggero vantaggio in termini di sicurezza non è importante per la maggior parte degli utenti, perché tutte le autorità di fiducia pubbliche sono estremamente sicure.

Metodo 3

  • Creare un file PEM contenente:
    • I sei certificati per i sei servizi sicuri a cui l'assistente AI si connette (tre per le abilità di conversazione, due per le estensioni personalizzate e uno per Elasticsearch).
    • Il certificato autofirmato per l'istanza Elasticsearch.
  • Selezionare 'Trust uploaded certificates.

Analisi

  • Meno conveniente perché richiede più certificati nel file PEM.
  • Richiede un aggiornamento del file PEM per aggiungere eventuali chiamate di servizio aggiuntive.
  • Leggermente più sicuro perché non presuppone la sicurezza di un'autorità di certificazione pubblica o privata.
  • La sicurezza aggiuntiva non è necessaria per la maggior parte degli utenti perché le autorità di certificazione pubbliche sono estremamente sicure, mentre le autorità di certificazione private sono controllate dall'utente e quindi possono essere sicure.
  • Questa opzione è disponibile per chi desidera la massima sicurezza possibile.

L'assistente AI non verifica il servizio webhook di log in nessuno dei metodi sopra indicati perché il webhook di log punta a un server non sicuro e la chiamata al webhook di log continua a funzionare. Ma i messaggi inviati da e verso il servizio sono privi di crittografia, il che li rende vulnerabili agli attacchi degli impostori.

Il modo migliore per affrontare le vulnerabilità:

  • Rendere il servizio più sicuro implementando il 'https.
  • Aggiornare l'assistente AI per chiamare l'endpoint " https.
  • Aggiornare il file PEM dell'assistente AI, se necessario.