Io maneggio certificati HTTPS, per questo la cosa mi puzza. Se tu vai ad esempio su www.paypal.it oltre a vedere che sei in https:// vedi anche PayPal Inc. [US] E' per questo che fornisci dai dati di autenticazione all'autorità certificante, non perchè debbano violare la tua privacy.
Senza quei dati l'utente saprebbe solo che la comunicazione e crittata, ma non chi lo sta facendo. Se io registro PeyPal.com e faccio una pagina di phishing, installo il certificato con Let's Encrypt in modo che la gente veda https:// in verde e il gioco è fatto Di fatto il servizio non fa altro che generare delle coppie di chiavi come le potresti generare tu sul tuo PC. Con l'unica differenza che dice che le coppie le ha generate lui e non tu. Ma non che nessuno a verificare per chi sono effettivamente generate le coppie di chiavi...direi che può amdar bene come servizio per siti o applicazioni interne a una rete aziendale, ma pessima cosa per un sito pubblico. -- Guerrisi Antonio sito: http://antonio.guerrisi.info Il giorno 31 marzo 2016 13:37, Carlo Stemberger <[email protected]> ha scritto: > Il giorno 31 marzo 2016 13:09, Guerrisi Antonio < > [email protected]> ha scritto: > >> Io non ho capito però se l'automazione sta nell'installazione e rinnovo >> dei certificati >> > > Da quello che ho letto è così. > > > o se anche la verifica di identità è automatica. >> Cioè, se io chiedo un certificato come Google Inc. me lo rilasciano? non >> c'è nessuno che controlla? >> > > In realtà da quello che ho capito l'unico dato richiesto dovrebbe essere > un indirizzo e-mail. > > Del resto non ritengo sia utile fornire dati sensibili all'ente > certificatore: l'unica cosa che nella maggior parte dei casi interessa il > navigatore è di star dialogando col sito vero (ovvero che sia scongiurato > il rischio di attacco chiamato "man in the middle"), e che i dati scambiati > tra client e server siano in forma criptata (ovvero inservibili in caso di > intercettazione), indipendentemente da chi sia il gestore/proprietario del > sito. > > Se effettivamente è così, mentre altri certificatori chiedono dati > personali, lo considero un motivo in più per preferire Let’s Encrypt. > > Non avendo però esperienza, chiederei a chi già maneggia certificati HTTPS > se abbia voglia di condividere qualche opinione. > > > Inoltre che mi sta a significare che un servizio del genere è in beta? >> > > Che potrebbero verificarsi dei malfunzionamenti (anche se non saprei dire > di che natura). Ricordiamo comunque che Gmail è stato in beta per una vita, > senza che questo abbia creato problemi agli utilizzatori. > > Ciao! > > Carlo > > _______________________________________________ > BrigX Linux Users Group > [email protected] > http://brigx.it/mailman/listinfo/ml_brigx.it > >
_______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
