[Soci SLIP] Certificati scaduti

[Lucio Crusca]

Il 04/07/2017 11:50, Stefano Pirra ha scritto:
> Per il resto, se usi una chiave abbastanza lunga, puoi stare tranquillo
> che nessuno spierà il traffico (indipendentemente da chi ha generato il
> cert)

Beh però non funziona esattamente così. Il problema non è che qualcuno 
riesca a spiare il traffico mentre sei connesso con il tuo certificato 
autofirmato. Il problema è che qualcuno possa fare l'hijack della 
connessione e presentarti un suo certificato autofirmato (da lui) al 
posto del tuo: a te arriverà il solito avviso di connessione non sicura, 
ma, a meno che non ti ricordi a memoria il fingerprint della tua chiave 
privata, per te sarà un certificato assolutamente identico  a quello che 
ti sei firmato tu. E a quel punto per lui sarà semplice spiare tutto il 
traffico in tutta tranquillità, perché dal suo computer ci passerà in 
chiaro. Questo a meno che tu non ti prenda la briga di crearti la tua CA 
ed installartela anche sul tuo browser oltre che sul tuo RPI/server.

Facendo due conti, piuttosto che crearsi una proprio CA, credo sia più 
semplice configurare LetsEncrypt.

Tieni conto che LetsEncrypt certifica anche i domini dinamici di terzo 
livello, per intendersi i servizi di nome dominio gratuito come noip.com

Certo, questo presuppone di avere l'agent di noip.com (o servizio 
equivalente) installato sul RPI, cosa di cui magari faresti volentieri a 
meno, ma che può tornare utile anche per altre cose (tipo poter accedere 
al tuo RPI anche con un normale browser e un nome di dominio).