Il giorno gio, 31/03/2016 alle 15.06 +0200, Guerrisi Antonio ha scritto: > Il mio sito non è su un server privato e non ho la possibilità di > configurare SSL. > Inoltre si tratta di un blog. Per quale motivo dovrei crittare degli > articoli? > L'autenticazione serve solo per postare dei commenti pubblici e viene > fatta attraverso SSO di terze parti in https.
Aldilà della possibilità che qualcuno crei un falso blog spacciandolo per tuo, il login viene effettuato in chiaro. Appena qualcuno sniffa i pacchetti sulla rete ala quale sei connesso legge la tua password e può entrare nel tuo blog, e dato che spesso Wordpress è configurato in modo tale che i temi possano essere modificati via web, qualcuno potrebbe inserire un codice malevolo, eseguirlo, ottenere i dati del tuo database, comprometterti il sito, magari il server e via dicendo. Giusto per dire le prime cose che mi passano in mente ;-) > Inoltre riprendendo la mail precedente, non voglio dire che le CA che > offrono certificati SSL (anche) senza > validazione estesa non siano professionali, ma che non lo sono quelle > che offrono SOLO certificati non EV, perchè se non fornisci la EV > significa che non hai l'autorità per farlo. ...o che semplicemente non è un servizio che interessa fornire. > Anche StarCom offre i certificati non EV in maniera gratuita, quindi > anche il risparmio non è un punto a favore di Let's Encrypt. StartSSL Free di StartCom è molto limitato e non sempre gratuito: non è per utilizzo commerciale, si paga la revoca (quante persone avranno dovuto versare 25 $ per rigenerare i certificati dopo heartbleed?), e lo si può utilizzare solo per un dominio di secondo livello più un suo sottodominio. Il tutto con una interfaccia poco intuitiva, la possibilità di ritrovarsi il sito down per ore perché non si sa quanto ci voglia a rigenerare un certificato, ecc. > L'unico punto a favore è l'agent che fa tutto in automatico, ma è > davvero utile? Quanti sono quelli in grado di tirare in piedi un > apache ...chiunque sia in grado di installare un pacchetto su GNU/Linux (ad esempio). > e configurarlo correttamente per lavorare in ssl ...non è necessario, perché Let's Encrypt modifica la configurazione di Apache in automatico. > ma non sono capaci di insallare un certificato? ...generarlo, rinnovarlo, ed utilizzarlo in maniera *appropriata*? In tanti direi. > L'unico plauso che potrebbero meritarsi è per la divulgazione. Ma non > è ne un servizio innovativo, ne professionale. My 2 cent. 's/ne/né/g' Non concordo; fortunatamente molte aziende ed enti no-profit ritengono questo progetto importante. Le comunicazioni su HTTP non dovrebbero più avvenire, non ci sono più scuse per non passare ad HTTPS. _______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
