Guerrisi Antonio <guerrisi.antonio@...> writes: > > > Sarebbe carino anche argomentare piuttosto che rispondere c'è/non c'è > Prima dici che è tutto automatizzato, dalla verifica all'installazione e configurazione, poi dici che però che controllo. > Che tipo di controllo? Chi lo fa? In che modo? > Stiamo parlando di un servizio che dovrebbe verificare l'identità di siti per evitare delle frodi. > Direi che serva qualcosa di più per convincere ad abbandonare servizi ben più noti e professionali.... > > Ripeto. A me sembra un servizio per far generare coppie di chiavi "auto-signed" a gente che non è capace/non vuole perdere tempo. > Utile per uso interno, abbastanza rischioso per uso pubblico.
Ciao, sono anch'io membro del ViGLug (frafra mi ha linkato la discussione) e ne approfitto per portare un paio di chiarimenti tecnici in risposta al quesito originale del thread. - Come viene creato e validato il certificato? Detto in due parole: il client letsencrypt genera localmente le chiavi ed inoltra al server di letsencrypt la richiesta di sign del certificato (diciamo per il dominio example.com). Il server risponde con un codice di verifica e richiede che venga reso disponibile via http dal webserver all'url http://example.com/.well-known/acme-challenge/ Il server letsencrypt quindi cercherà di accedere a tale indirizzo e, se troverà il corrispettivo codice di verifica emetterà il certificato e lo inoltrerà al client che provvederà a salvarlo dentro /etc/letsencrypt/ La verifica quindi fa affidamento sul sistema DNS, metodo peraltro simile a quello usato da altri fornitori che prevede, ad esempio, l'invio di una mail col codice di verifica su un indirizzo di posta "riservato"([email protected], ad esempio), con la fondamentale differenza che l'intera operazione non richiede necessariamente un intervento manuale e può essere automatizzata tramite script - Come vengono rinnovati i certificati? Il cliente letsencrypt, quando viene emesso un certificato, crea anche un file di configurazione per il rinnovo, lanciando il comando "letstencrypt renew" vengono elaborati tutti i file di configurazione esistenti ed automaticamente rinnovati i certificati che scadono tra meno di 30 giorni. Il link simbolico che punta all'ultimo certificato emesso viene contestualmente aggiornato in modo che i virtualhost puntino al certificato aggiornato senza necessità di modifiche (un restart del webserver è comunque necessario per ricaricare i certificati) - Il client letsencrypt configura anche il webserver? Volendo si, supporta Apache e (non ricordo se già implementato) anche nginx, ed altri seguiranno. Oltre a questo è disponibile anche la modalità "certonly" che non tocca la configurazione andando a piazzare i file di verifica nella document root specificata dall'opzione -w (personalmente è la modalità che preferisco, avendo già altri script che generano e gestiscono la configurazione del mio webserver) - Quali dati vengono richiesti? Nessuno, a parte ovviamente il dominio da certificare. E' possibile specificare una mail che non sarà resa pubblica ne inclusa nel certificato ma usata da letsencrypt per inviare mail di notifica automatiche quando il certificato è in procinto di scadere. - Perché è in beta? Il servizio è in beta in quanto è ancora in testing il servizio di emissione dei certificati, questo non ha a che fare con la sicurezza dei certificati in se quanto che i server siano sempre disponibili, il client sia esente da bug ecc. - Quali sono le limitazioni? Attualmente i certificati emessi durano 90 giorni, anche se si parla di ridurre ulteriormente il periodo di validità quando il client sarà sufficientemente testato (questo potrebbe apparire come una scocciatura ma è importante dal punto di vista della sicurezza in quanto restringe la finestra di validità del certificato qualora venisse compromesso/rubato) Il numero dei certificati che possono essere richiesti è inoltre limitato a 5 per dominio di secondo livello alla settimana (un certificato può essere però richiesto per fino a 100 sottodomini per volta, ciascuno dei quali verrà verificato come spiegato sopra). Esiste un limite di richieste ogni 3 ore per IP (mi pare 10 certificati ogni 3 ore). - Quali sono i vantaggi del client? L'automatizzazione, ad oggi l'emissione dei certificati è in parte manuale (verifica mail) ed i rivenditori di solito non offrono API che agevolino la procedura. Nell'ottica di portare HTTPS al 100% di diffusione permettere agli hosting provider di automatizzare l'emissione dei certificati è fondamentale. - Perché non ci sono i certificati EV? L'emissione di certificati EV è (o si presume che sia) vincolata a verifiche estese dell'identità del sito, non può pertanto essere automatizzata come per i certificati "normali". Personalmente non ritengo che non offrirli sia indice di poca professionalità, semmai lo sarebbe offrirli senza fare le opportune verifiche prima dell'emissione. IMHO lamentarsi in tal senso suona un po' come dire che un'azienda che produce canoe è poco seria perché non produce anche aliscafi... Rinnovo infine l'offerta di frafra di organizzare una serata a tema dove magari mettere mano anche un server di test e fare qualche prova pratica :) _______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
