[S.Li.P] Certificato SSL Slitaz.org [Era: Distribuzioni Linux leggere per vecchi PC]

[Lucio]

Il 04/07/19 23:10, Valentino Bocchino via SLiP ha scritto:
> Il sito ha un certificato valido e va tutto bene, 

Tecnicamente hai ragione, nel senso che quel certificato rispetta i 
requisiti minimi, da specifica X.509 (RFC 5280), per essere definito 
"valido". La specifica infatti non prevede che un certificato digitale 
debba essere affidabile per essere valido, ma può essere valido senza 
essere affidabile.

Tuttavia sia Chrome che Firefox lo definiscono (magari erroneamente) 
"Non valido", per il fatto che non è affidabile.

Purtroppo quello che dicono Chrome e Firefox diventa lo standard 
popolare, quindi, ad ogni fine pratico, possiamo dire che quel 
certificato non sia valido, anche se tecnicamente non è del tutto 
corretto dirlo.

> il problema è che il 
> protocollo usato è vecchio 

Sì, anche quello è vero, ma quello è un problema secondario, nel senso 
che se il certificato fosse affidabile, cioè valido per Chrome e 
Firefox, di questo problema non si lamenterebbero ed il sito 
funzionerebbe comunque.

> ed è la stessa slitaz.org ad 
> autocertificarsi.

Sì, questo è esattamente il problema ed è quello che rende "non valido" 
il certificato. Per definizione un certificato deve certificare 
qualcosa. Se non è emesso da una terza parte fidata, ma dallo stesso 
soggetto da certificare, non certifica nulla. È come se ognuno di noi 
potesse usare un'autocertificazione invece della patente per guidare la 
macchina.

Questa cosa dell'autocertificazione sui siti si faceva normalmente fino 
a qualche anno fa, quando erano vere tutte le seguenti condizioni:

1) non esisteva un modo legale per ottenere un certificato affidabile gratis

2) http era lo standard de facto ed https era praticamente obbligatorio 
solo sui siti che richiedevano una registrazione utente/password per entrare

3) le risorse economiche a disposizione del sito erano scarse.

Ad oggi la 1 e la 2 non sono più vere:

1) ottenere un certificato affidabile è diventato gratuito (ed 
automatico, basta configurare il software necessario sul server) almeno 
per chi sa fare il sysadmin.

2) https è lo standard ed http esiste ancora solo per compatibilità con 
i vecchi dispositivi e vecchi siti, ma un sito in http viene dichiarato 
"non sicuro" dal browser anche se non richiede alcun accesso utente/password

Analizzando il certificato di slitaz.org si può però capire (non 
necessariamente giustificare) per quale motivo sia nella condizione in 
cui è.

Il certificato è stato emesso nel lontano 2010, con un periodo di 
validità di 10 anni, cioè fino al 2020. Nel 2010 le tre condizioni di 
cui sopra erano tutte vere, poi col tempo le cose sono cambiate.

Probabilmente gli amministratori del sito slitaz.org non hanno alcuna 
intenzione di spostare il sito su https (mi sfugge l'eventuale motivo) e 
quel certificato SSL è sempre stato lì solo per loro uso interno.