[Soci SLIP] Certificati scaduti

[Lucio Crusca]

Ciao Gianluca,

Il 28/06/2017 17:47, Gianluca Boero ha scritto:
> in riferimento alla interessante conferenza tenuta da Lucio alcuni mesi
> fa sulla sicurezza in rete, si era parlato di certificati di sicurezza.
>
> Trovo che molti siti da me visitati ultimamente propongano una
> connessione non sicura.

in realtà il sito www.lastampa.it, così come molti altri, non usano 
affatto un certificato digitale, ma una "buona vecchia" connessione HTTP 
in chiaro, non crittografata.

Quello che è cambiato da alcuni mesi (da Febbraio se non ricordo male) 
sono i browser, che nelle nuove versioni segnalano come non sicuri i 
siti che non fanno uso di certificato digitale.

L'azienda che maggiormente sta spingendo la rete a muoversi nella 
direzione del tutto crittografato anche quando non serve è Google, per 
cui il browser Chrome è stato il primo a segnalare come non sicuri i 
siti che non hanno un certificato digitale. La differenza rispetto a 
prima, è che prima venivano segnalati come non sicuri solo quelli che 
avevano un certificato non valido: sugli altri semplicemente non c'era 
il lucchetto verde chiuso, ma nemmeno veniva fatto terrorismo 
psicologico etichettandoli come non sicuri.

Quanto alla scelta di Google di forzare tutti i siti a dotarsi di 
certificato HTTPS in realtà io sono d'accordo, perché è vero che se non 
devo digitare una password su quel sito (tipo La Stampa), allora io 
utente non vedo motivo per cui la connessione dovrebbe essere 
"lucchettata", ma in generale un sito con un certificato valido è un 
sito gestito meglio (da persone mediamente più competenti in materia di 
sicurezza) di un sito senza certificato.

Quindi, secondo me, ben venga la crittografia di default, considerando 
anche che i certificati LetsEncrypt sono gratis, basta saper 
amministrare un server GNU/Linux per ottenerli (legalmente, ovvio).