[Soci SLIP] Certificati scaduti

Luca De Villa Palù lucadvp a gmail.com
Mer 5 Lug 2017 14:47:12 CEST

Messaggio precedente: [Soci SLIP] Certificati scaduti
Prossimo messaggio: Re: [Soci SLIP] [Risolto] Rilasciata Debian 9 stretch (dove è l'errore?)
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Grazie per le vostre risposte! Alla fine credo che opterò per generarmi una
CA tutta mia e installarmela lato server e browser, visto che alla fine non
sono tante righe di CLI e c'è una utility easy-rsa insieme a OpenVPN.
Nel mio caso LetsEncrypt dovrebbe non essere percorribile perché il sistema
embedded che ho in mente non esce su Internet ma rimane in LAN/WLAN e
quindi non può essere verificato da quella CA.
Ldvp

Il giorno 5 luglio 2017 14:00, Lucio Crusca <lucio a sulweb.org> ha scritto:

>
> Il 04/07/2017 11:50, Stefano Pirra ha scritto:
>
>> Per il resto, se usi una chiave abbastanza lunga, puoi stare tranquillo
>> che nessuno spierà il traffico (indipendentemente da chi ha generato il
>> cert)
>>
>
> Beh però non funziona esattamente così. Il problema non è che qualcuno
> riesca a spiare il traffico mentre sei connesso con il tuo certificato
> autofirmato. Il problema è che qualcuno possa fare l'hijack della
> connessione e presentarti un suo certificato autofirmato (da lui) al posto
> del tuo: a te arriverà il solito avviso di connessione non sicura, ma, a
> meno che non ti ricordi a memoria il fingerprint della tua chiave privata,
> per te sarà un certificato assolutamente identico  a quello che ti sei
> firmato tu. E a quel punto per lui sarà semplice spiare tutto il traffico
> in tutta tranquillità, perché dal suo computer ci passerà in chiaro. Questo
> a meno che tu non ti prenda la briga di crearti la tua CA ed installartela
> anche sul tuo browser oltre che sul tuo RPI/server.
>
> Facendo due conti, piuttosto che crearsi una proprio CA, credo sia più
> semplice configurare LetsEncrypt.
>
> Tieni conto che LetsEncrypt certifica anche i domini dinamici di terzo
> livello, per intendersi i servizi di nome dominio gratuito come noip.com
>
> Certo, questo presuppone di avere l'agent di noip.com (o servizio
> equivalente) installato sul RPI, cosa di cui magari faresti volentieri a
> meno, ma che può tornare utile anche per altre cose (tipo poter accedere al
> tuo RPI anche con un normale browser e un nome di dominio).
>
>
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20170705/20ab6b59/attachment.html

Messaggio precedente: [Soci SLIP] Certificati scaduti
Prossimo messaggio: Re: [Soci SLIP] [Risolto] Rilasciata Debian 9 stretch (dove è l'errore?)
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci