[Soci SLIP] Certificati scaduti
Lucio Crusca
lucio a sulweb.org
Mer 5 Lug 2017 14:00:40 CEST
Il 04/07/2017 11:50, Stefano Pirra ha scritto:
> Per il resto, se usi una chiave abbastanza lunga, puoi stare tranquillo
> che nessuno spierà il traffico (indipendentemente da chi ha generato il
> cert)
Beh però non funziona esattamente così. Il problema non è che qualcuno
riesca a spiare il traffico mentre sei connesso con il tuo certificato
autofirmato. Il problema è che qualcuno possa fare l'hijack della
connessione e presentarti un suo certificato autofirmato (da lui) al
posto del tuo: a te arriverà il solito avviso di connessione non sicura,
ma, a meno che non ti ricordi a memoria il fingerprint della tua chiave
privata, per te sarà un certificato assolutamente identico a quello che
ti sei firmato tu. E a quel punto per lui sarà semplice spiare tutto il
traffico in tutta tranquillità, perché dal suo computer ci passerà in
chiaro. Questo a meno che tu non ti prenda la briga di crearti la tua CA
ed installartela anche sul tuo browser oltre che sul tuo RPI/server.
Facendo due conti, piuttosto che crearsi una proprio CA, credo sia più
semplice configurare LetsEncrypt.
Tieni conto che LetsEncrypt certifica anche i domini dinamici di terzo
livello, per intendersi i servizi di nome dominio gratuito come noip.com
Certo, questo presuppone di avere l'agent di noip.com (o servizio
equivalente) installato sul RPI, cosa di cui magari faresti volentieri a
meno, ma che può tornare utile anche per altre cose (tipo poter accedere
al tuo RPI anche con un normale browser e un nome di dominio).
Maggiori informazioni sulla lista
Soci