Ok, tutto molto chiaro, ma sono completamente in disaccordo con l'ultimo punto. Cioè, cosa c'entrano le canoe con gli aliscafi? Che entrambi galleggiano? Allora le case automobilistiche sono poco serie perché non producono anche le moto?
Qui si sta parlando di autorità certificati, che però di fatto non certificano nulla perché si limitano a produrre certificati di prima classe. Un esempio più calzante può essere il macellaio che ti vende solo i tagli di carne facili da macellare perché non ha voglia di perdere tempo a fare quelli difficili. Se sei un macellaio serio mi dai quello che ti chiedo è non quello che ti fa comodo. Alla stessa maniera una CA seria mi deve poter dare la EV se ne ho bisogno e non che fa solo certificati di classe 1 perché così può automatizzare e non si sbatte. Un esempio lampante di quello che intendo io è CaCert, che fa esattamente la stessa cosa. Nella loro homepage elemosinano donazioni perché sono con le pezze al culo e potrebbero sparire da un momento all'altro. Per quanto CaCert possa essere diventata autorevole nel corso del tempo, questa situazione di incerta esistenza non la rende di certo professionale. Ripeto un'altra volta, perché sembra che leggiate solo quello che vi conviene per potermi dare contro; sicuramente va un plauso a queste aziende per la divulgazione ma non mi venite a dire che le usereste per la vostra azienda senza pensarci almeno un attimo, perché sareste dei bugiardi, o semplicemente molto incoscienti, ma visto che non vi conosco avete il beneficio dell'innocenza fino a prova contraria ;) Il 31 Mar 2016 23:20, "Andrea" <[email protected]> ha scritto: > Guerrisi Antonio <guerrisi.antonio@...> writes: > > > > > > Sarebbe carino anche argomentare piuttosto che rispondere c'è/non c'è > > Prima dici che è tutto automatizzato, dalla verifica all'installazione e > configurazione, poi dici che però che controllo. > > Che tipo di controllo? Chi lo fa? In che modo? > > Stiamo parlando di un servizio che dovrebbe verificare l'identità di siti > per evitare delle frodi. > > Direi che serva qualcosa di più per convincere ad abbandonare servizi ben > più noti e professionali.... > > > > Ripeto. A me sembra un servizio per far generare coppie di chiavi > "auto-signed" a gente che non è capace/non vuole perdere tempo. > > Utile per uso interno, abbastanza rischioso per uso pubblico. > > > Ciao, > sono anch'io membro del ViGLug (frafra mi ha linkato la discussione) e ne > approfitto per portare un paio di chiarimenti tecnici in risposta al > quesito > originale del thread. > > - Come viene creato e validato il certificato? > > Detto in due parole: il client letsencrypt genera localmente le chiavi ed > inoltra al server di letsencrypt la richiesta di sign del certificato > (diciamo per il dominio example.com). > Il server risponde con un codice di verifica e richiede che venga reso > disponibile via http dal webserver all'url > http://example.com/.well-known/acme-challenge/ > Il server letsencrypt quindi cercherà di accedere a tale indirizzo e, se > troverà il corrispettivo codice di verifica emetterà il certificato e lo > inoltrerà al client che provvederà a salvarlo dentro /etc/letsencrypt/ > > La verifica quindi fa affidamento sul sistema DNS, metodo peraltro simile a > quello usato da altri fornitori che prevede, ad esempio, l'invio di una > mail > col codice di verifica su un indirizzo di posta > "riservato"([email protected], ad esempio), con la fondamentale > differenza che l'intera operazione non richiede necessariamente un > intervento manuale e può essere automatizzata tramite script > > - Come vengono rinnovati i certificati? > > Il cliente letsencrypt, quando viene emesso un certificato, crea anche un > file di configurazione per il rinnovo, lanciando il comando "letstencrypt > renew" vengono elaborati tutti i file di configurazione esistenti ed > automaticamente rinnovati i certificati che scadono tra meno di 30 giorni. > Il link simbolico che punta all'ultimo certificato emesso viene > contestualmente aggiornato in modo che i virtualhost puntino al certificato > aggiornato senza necessità di modifiche (un restart del webserver è > comunque > necessario per ricaricare i certificati) > > - Il client letsencrypt configura anche il webserver? > > Volendo si, supporta Apache e (non ricordo se già implementato) anche > nginx, > ed altri seguiranno. > Oltre a questo è disponibile anche la modalità "certonly" che non tocca la > configurazione andando a piazzare i file di verifica nella document root > specificata dall'opzione -w (personalmente è la modalità che preferisco, > avendo già altri script che generano e gestiscono la configurazione del mio > webserver) > > - Quali dati vengono richiesti? > > Nessuno, a parte ovviamente il dominio da certificare. > E' possibile specificare una mail che non sarà resa pubblica ne inclusa nel > certificato ma usata da letsencrypt per inviare mail di notifica > automatiche > quando il certificato è in procinto di scadere. > > - Perché è in beta? > > Il servizio è in beta in quanto è ancora in testing il servizio di > emissione > dei certificati, questo non ha a che fare con la sicurezza dei certificati > in se quanto che i server siano sempre disponibili, il client sia esente da > bug ecc. > > - Quali sono le limitazioni? > > Attualmente i certificati emessi durano 90 giorni, anche se si parla di > ridurre ulteriormente il periodo di validità quando il client sarà > sufficientemente testato (questo potrebbe apparire come una scocciatura ma > è > importante dal punto di vista della sicurezza in quanto restringe la > finestra di validità del certificato qualora venisse compromesso/rubato) > > Il numero dei certificati che possono essere richiesti è inoltre limitato a > 5 per dominio di secondo livello alla settimana (un certificato può essere > però richiesto per fino a 100 sottodomini per volta, ciascuno dei quali > verrà verificato come spiegato sopra). > > Esiste un limite di richieste ogni 3 ore per IP (mi pare 10 certificati > ogni > 3 ore). > > - Quali sono i vantaggi del client? > > L'automatizzazione, ad oggi l'emissione dei certificati è in parte manuale > (verifica mail) ed i rivenditori di solito non offrono API che agevolino la > procedura. > Nell'ottica di portare HTTPS al 100% di diffusione permettere agli hosting > provider di automatizzare l'emissione dei certificati è fondamentale. > > - Perché non ci sono i certificati EV? > > L'emissione di certificati EV è (o si presume che sia) vincolata a > verifiche > estese dell'identità del sito, non può pertanto essere automatizzata come > per i certificati "normali". > Personalmente non ritengo che non offrirli sia indice di poca > professionalità, semmai lo sarebbe offrirli senza fare le opportune > verifiche prima dell'emissione. > IMHO lamentarsi in tal senso suona un po' come dire che un'azienda che > produce canoe è poco seria perché non produce anche aliscafi... > > > Rinnovo infine l'offerta di frafra di organizzare una serata a tema dove > magari mettere mano anche un server di test e fare qualche prova pratica :) > > _______________________________________________ > BrigX Linux Users Group > [email protected] > http://brigx.it/mailman/listinfo/ml_brigx.it >
_______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
