[Soci SLIP] Certificati scaduti

Stefano Pirra pirraste a gmail.com
Mar 4 Lug 2017 11:50:31 CEST
Messaggio precedente: [Soci SLIP] Certificati scaduti
Prossimo messaggio: [Soci SLIP] Certificati scaduti
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]
*>In questo caso non conviene (o non si può) usare LetsEncrypt perché non
ho un dominio pubblico che possa essere verificato, giusto? Conviene che mi
crei una certification authority e un certificato per il server https del
sistema embedded a mano con openssl e poi mi installi sempre a mano la mia
CA nei browser che devono accedere all'interfaccia HTTPS. Oppure ci sono
delle alternative?*

Sto iniziando a "studiare" letsencrypt, che comunque conosco poco. Cerco di
chiarirti/mi le idee =)
La grossa differrenza tra un certificato da te generato e quello di
letsencrypt è che il tuo farà comparire il warning nel browser (certificato
non riconosciuto). Letsencrypt invece nasce come CA, per cui i loro cert
sono attendibili.

Per il tuo orto, raspberry, cloud, ...è accettabile avere il warning;
d'altronde sei tu che lo usi e sai bene cosa significa quel messaggio.
Un sistema di produzione a cui collegare utenti non skillati dovrebbe usare
certificati firmati da CA, anche solo per evitare il noioso warning.
Ovviamente c'è anche il fattore sicurezza: un certificato garantito da una
CA è, appunto, garantito. Il tuo certificato sai tu che è buono; come posso
saperlo anche io che mi collego da qui? =)

Per il resto, se usi una chiave abbastanza lunga, puoi stare tranquillo che
nessuno spierà il traffico (indipendentemente da chi ha generato il cert)




2017-07-04 10:51 GMT+02:00 Luca De Villa Palù <lucadvp a gmail.com>:

> Ciao a tutti e grazie per gli aggiornamenti sui certificati e i vari
> protocolli "secure". Vi chiede un parere su questo punto (specialmente a
> Lucio che cita LetsEncrypt) per avere conferma di aver capito un paio di
> cose.
>
> Mettiamo caso che io metta su un sistema embedded per automatizzare
> qualcosa, tanto per dirne una per vedere lo stato dei sensori del mio orto
> che è lontano da casa e per controllare gli irrigatori. Per comodità decido
> di interfacciarmici attraverso un server web tipo lighttpd, ma decido di
> voler passare da HTTP a HTTPS per proteggere meglio l'accesso ed evitare
> che qualcuno mi sniffi la password o qualsiasi altra cosa succeda sul
> sistema embedded.
>
> In questo caso non conviene (o non si può) usare LetsEncrypt perché non ho
> un dominio pubblico che possa essere verificato, giusto? Conviene che mi
> crei una certification authority e un certificato per il server https del
> sistema embedded a mano con openssl e poi mi installi sempre a mano la mia
> CA nei browser che devono accedere all'interfaccia HTTPS. Oppure ci sono
> delle alternative?
>
>
> Il giorno 29 giugno 2017 10:55, Lucio Crusca <lucio a sulweb.org> ha
> scritto:
>
>> Ciao Gianluca,
>>
>> Il 28/06/2017 17:47, Gianluca Boero ha scritto:
>>
>>> in riferimento alla interessante conferenza tenuta da Lucio alcuni mesi
>>> fa sulla sicurezza in rete, si era parlato di certificati di sicurezza.
>>>
>>> Trovo che molti siti da me visitati ultimamente propongano una
>>> connessione non sicura.
>>>
>>
>> in realtà il sito www.lastampa.it, così come molti altri, non usano
>> affatto un certificato digitale, ma una "buona vecchia" connessione HTTP in
>> chiaro, non crittografata.
>>
>> Quello che è cambiato da alcuni mesi (da Febbraio se non ricordo male)
>> sono i browser, che nelle nuove versioni segnalano come non sicuri i siti
>> che non fanno uso di certificato digitale.
>>
>> L'azienda che maggiormente sta spingendo la rete a muoversi nella
>> direzione del tutto crittografato anche quando non serve è Google, per cui
>> il browser Chrome è stato il primo a segnalare come non sicuri i siti che
>> non hanno un certificato digitale. La differenza rispetto a prima, è che
>> prima venivano segnalati come non sicuri solo quelli che avevano un
>> certificato non valido: sugli altri semplicemente non c'era il lucchetto
>> verde chiuso, ma nemmeno veniva fatto terrorismo psicologico etichettandoli
>> come non sicuri.
>>
>> Quanto alla scelta di Google di forzare tutti i siti a dotarsi di
>> certificato HTTPS in realtà io sono d'accordo, perché è vero che se non
>> devo digitare una password su quel sito (tipo La Stampa), allora io utente
>> non vedo motivo per cui la connessione dovrebbe essere "lucchettata", ma in
>> generale un sito con un certificato valido è un sito gestito meglio (da
>> persone mediamente più competenti in materia di sicurezza) di un sito senza
>> certificato.
>>
>> Quindi, secondo me, ben venga la crittografia di default, considerando
>> anche che i certificati LetsEncrypt sono gratis, basta saper amministrare
>> un server GNU/Linux per ottenerli (legalmente, ovvio).
>>
>> _______________________________________________
>> Soci mailing list
>> Soci a mail.pinerolo.linux.it
>> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>>
>
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20170704/40be42e1/attachment.html
Messaggio precedente: [Soci SLIP] Certificati scaduti
Prossimo messaggio: [Soci SLIP] Certificati scaduti
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]
Maggiori informazioni sulla lista Soci