[Soci SLIP] Certificati scaduti
Lucio Crusca
lucio a sulweb.org
Gio 29 Giu 2017 10:55:02 CEST
Ciao Gianluca,
Il 28/06/2017 17:47, Gianluca Boero ha scritto:
> in riferimento alla interessante conferenza tenuta da Lucio alcuni mesi
> fa sulla sicurezza in rete, si era parlato di certificati di sicurezza.
>
> Trovo che molti siti da me visitati ultimamente propongano una
> connessione non sicura.
in realtà il sito www.lastampa.it, così come molti altri, non usano
affatto un certificato digitale, ma una "buona vecchia" connessione HTTP
in chiaro, non crittografata.
Quello che è cambiato da alcuni mesi (da Febbraio se non ricordo male)
sono i browser, che nelle nuove versioni segnalano come non sicuri i
siti che non fanno uso di certificato digitale.
L'azienda che maggiormente sta spingendo la rete a muoversi nella
direzione del tutto crittografato anche quando non serve è Google, per
cui il browser Chrome è stato il primo a segnalare come non sicuri i
siti che non hanno un certificato digitale. La differenza rispetto a
prima, è che prima venivano segnalati come non sicuri solo quelli che
avevano un certificato non valido: sugli altri semplicemente non c'era
il lucchetto verde chiuso, ma nemmeno veniva fatto terrorismo
psicologico etichettandoli come non sicuri.
Quanto alla scelta di Google di forzare tutti i siti a dotarsi di
certificato HTTPS in realtà io sono d'accordo, perché è vero che se non
devo digitare una password su quel sito (tipo La Stampa), allora io
utente non vedo motivo per cui la connessione dovrebbe essere
"lucchettata", ma in generale un sito con un certificato valido è un
sito gestito meglio (da persone mediamente più competenti in materia di
sicurezza) di un sito senza certificato.
Quindi, secondo me, ben venga la crittografia di default, considerando
anche che i certificati LetsEncrypt sono gratis, basta saper
amministrare un server GNU/Linux per ottenerli (legalmente, ovvio).
Maggiori informazioni sulla lista
Soci