[Soci SLIP] Certificati scaduti

[Luca De Villa Palù]

Ciao a tutti e grazie per gli aggiornamenti sui certificati e i vari
protocolli "secure". Vi chiede un parere su questo punto (specialmente a
Lucio che cita LetsEncrypt) per avere conferma di aver capito un paio di
cose.

Mettiamo caso che io metta su un sistema embedded per automatizzare
qualcosa, tanto per dirne una per vedere lo stato dei sensori del mio orto
che è lontano da casa e per controllare gli irrigatori. Per comodità decido
di interfacciarmici attraverso un server web tipo lighttpd, ma decido di
voler passare da HTTP a HTTPS per proteggere meglio l'accesso ed evitare
che qualcuno mi sniffi la password o qualsiasi altra cosa succeda sul
sistema embedded.

In questo caso non conviene (o non si può) usare LetsEncrypt perché non ho
un dominio pubblico che possa essere verificato, giusto? Conviene che mi
crei una certification authority e un certificato per il server https del
sistema embedded a mano con openssl e poi mi installi sempre a mano la mia
CA nei browser che devono accedere all'interfaccia HTTPS. Oppure ci sono
delle alternative?


Il giorno 29 giugno 2017 10:55, Lucio Crusca <lucio a sulweb.org> ha scritto:

> Ciao Gianluca,
>
> Il 28/06/2017 17:47, Gianluca Boero ha scritto:
>
>> in riferimento alla interessante conferenza tenuta da Lucio alcuni mesi
>> fa sulla sicurezza in rete, si era parlato di certificati di sicurezza.
>>
>> Trovo che molti siti da me visitati ultimamente propongano una
>> connessione non sicura.
>>
>
> in realtà il sito www.lastampa.it, così come molti altri, non usano
> affatto un certificato digitale, ma una "buona vecchia" connessione HTTP in
> chiaro, non crittografata.
>
> Quello che è cambiato da alcuni mesi (da Febbraio se non ricordo male)
> sono i browser, che nelle nuove versioni segnalano come non sicuri i siti
> che non fanno uso di certificato digitale.
>
> L'azienda che maggiormente sta spingendo la rete a muoversi nella
> direzione del tutto crittografato anche quando non serve è Google, per cui
> il browser Chrome è stato il primo a segnalare come non sicuri i siti che
> non hanno un certificato digitale. La differenza rispetto a prima, è che
> prima venivano segnalati come non sicuri solo quelli che avevano un
> certificato non valido: sugli altri semplicemente non c'era il lucchetto
> verde chiuso, ma nemmeno veniva fatto terrorismo psicologico etichettandoli
> come non sicuri.
>
> Quanto alla scelta di Google di forzare tutti i siti a dotarsi di
> certificato HTTPS in realtà io sono d'accordo, perché è vero che se non
> devo digitare una password su quel sito (tipo La Stampa), allora io utente
> non vedo motivo per cui la connessione dovrebbe essere "lucchettata", ma in
> generale un sito con un certificato valido è un sito gestito meglio (da
> persone mediamente più competenti in materia di sicurezza) di un sito senza
> certificato.
>
> Quindi, secondo me, ben venga la crittografia di default, considerando
> anche che i certificati LetsEncrypt sono gratis, basta saper amministrare
> un server GNU/Linux per ottenerli (legalmente, ovvio).
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20170704/d2fa43bc/attachment.html