Il 01/04/2016 00:01, Guerrisi Antonio ha scritto: > Ok, tutto molto chiaro, ma sono completamente in disaccordo con l'ultimo > punto. Cioè, cosa c'entrano le canoe con gli aliscafi? Che entrambi > galleggiano? Allora le case automobilistiche sono poco serie perché non > producono anche le moto? > > Qui si sta parlando di autorità certificati, che però di fatto non > certificano nulla perché si limitano a produrre certificati di prima classe.
Non certificheranno nulla ma prima di letsencrypt e fatta eccezione per StartSSL (con tutte le sue limitazioni) quei certificati che "non certificano nulla" venivano *venduti* da tutti. Penso sia meno professionale farsi pagare per "non certificare" piuttosto che non offrire un servizio (gli EV) che non si è in grado di gestire. E, in linea di massima, io di solito critico chi offre un servizio scadente non chi non offre un dato servizio (altrimenti, per assurdo, sarebbe anche lecito criticare il macellaio perché non vende le canoe...) > Un esempio più calzante può essere il macellaio che ti vende solo i > tagli di carne facili da macellare perché non ha voglia di perdere tempo > a fare quelli difficili. Se sei un macellaio serio mi dai quello che ti > chiedo è non quello che ti fa comodo. Alla stessa maniera una CA seria > mi deve poter dare la EV se ne ho bisogno e non che fa solo certificati > di classe 1 perché così può automatizzare e non si sbatte. L'automatizzazione è lato "cliente", lato ente che certifica è automatico per tutti da anni, quindi va a vantaggio dell'utente finale e non di chi emette il certificato (pensi davvero che per i Class 1 dietro ci sia l'omino che fa tutto a mano?). Inoltre il metodo di verifica (basato su DNS) ha il medesimo livello di sicurezza (o di insicurezza) dei Classe 1 *venduti* da altri. > Un esempio lampante di quello che intendo io è CaCert, che fa > esattamente la stessa cosa. Nella loro homepage elemosinano donazioni > perché sono con le pezze al culo e potrebbero sparire da un momento > all'altro. Per quanto CaCert possa essere diventata autorevole nel corso > del tempo, questa situazione di incerta esistenza non la rende di certo > professionale. > > Ripeto un'altra volta, perché sembra che leggiate solo quello che vi > conviene per potermi dare contro; sicuramente va un plauso a queste > aziende per la divulgazione ma non mi venite a dire che le usereste per > la vostra azienda senza pensarci almeno un attimo, perché sareste dei > bugiardi, o semplicemente molto incoscienti, ma visto che non vi conosco > avete il beneficio dell'innocenza fino a prova contraria ;) Qui nessuno ha mai parlato di aziende, quelle si possono tranquillamente permettere tutti gli EV che vogliono. Ed è auspicabile che gli EV rilasciati corrispondano davvero ad attente verifiche di identità (che anni fa ho visto la cosa lato venditore e la situazione era abbastanza "approssimativa"...) Il target di letsencryp è quel restante 99% del web composto da siti personali, blog e simili che, privi di HTTPS, fanno viaggiare dati di login in chiaro tutti i giorni. _______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
