Login con HTTPS (certificato auto-firmato)

Ti piacciono il sito e la community? Questo è il posto giusto per lasciare commenti, suggerimenti e... critiche.
Regole del forum
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:Grazie Hash,
continua a fornirmi spunti di miglioramento perché mi stai aiutando tantissimo con questa lavorazione!
Oggi avevo un po' di tempo così ho elaborato questa configurazione:

Codice: Seleziona tutto

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK
In sintesi:
  • Disabilitato il protocollo SSLv3 (TLS 1.0 è ormai supportato ovunque)
  • Disabilitata la compressione TLS (CRIME e BREACH)
  • Forzato l'ordine dei cifrari (il client è obbligato a seguirlo così come gli viene proposto dal server)
  • Rimossi i cifrari 3DES (obsoleto e presenta orribili prestazioni) e RC4 (decisamente INSICURO)
  • Aggiunti i cifrari a curva ellittica, l'AES in modalità GCM (quest'ultimo implementato solo con il TLS 1.2) e il cifrario CAMELLIA (presenta proprietà e solidità simili all'AES)
  • Disabilitati i cifrari insicuri
Tutti i cifrari inseriti nell'elenco garantiscono la proprietà del Perfect Forward Secrecy (PFS) e sono ordinati secondo un criterio di solidità (l'AES128 è preferito all'AES256 perché fornisce una maggiore resistenza ai timing attack). L'ossatura di base della configurazione è presa da QUI (linee guida Mozilla).

P.S.: Purtroppo per via di problemi di patenti, RedHat (quindi anche CentOS e Fedora) fornisce una versione di OpenSSL che non permette l'utilizzo della crittografia a curva ellittica e non supporta i cifrari basati sulla modalità GCM (volendo è possibile ovviare ricompilando il pacchetto).

:ciao
“The quieter you become, the more you can hear”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Login con HTTPS (certificato auto-firmato)

Messaggio da System » lun gen 27, 2014 8:42 pm


Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Hai verificato la compatibilità Internet Explorer su Windows XP? Se sì, domani carico
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:Hai verificato la compatibilità Internet Explorer su Windows XP? Se sì, domani carico
Ho aggiornato la configurazione inclusa nel mio precedente rendendola compatibile con XP. Purtroppo quest'ultimo non supporta l'AES quindi ho dovuto, a gran difficoltà, scegliere il cifrario da adottare fra 3DES e RC4.
E' bene precisare che utilizzando Internet Explorer con XP la sicurezza della connessione TLS è ridotta (per via dell'unico cifrario disponibile) e non si dispone della PFS.

P.S.: Ho riscritto parte del precedente messaggio per renderlo più chiaro.

:approvo
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Nuove considerazioni: visto che Internet Explorer su XP non supporta l'SNI, ho nuovamente rimosso l'RC4.

Per il momento è meglio non attivare l'https di default in phpBB (ma aggiorna pure la configurazione di mod_ssl).
Purtroppo non sembra esistere una soluzione al mancato supporto dell'SNI su XP (con Internet Explorer).

EDIT: Ho notato una cosa curiosa. Forse ho trovato la soluzione.
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Mentre aspetto di sentire la soluzione che hai trovato, lasciami anche la config che avevi preparato con RC4 per favore.
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:lasciami anche la config che avevi preparato con RC4 per favore.
Ci ho ripensato e ho deciso di sostituire l'RC4 con il 3DES (comunque supportato da IE 7/8 su XP):

Codice: Seleziona tutto

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK
;)

EDIT: Per quanto riguarda il problema dell'SNI ho notato che il server utilizza un certificato auto-firmato per alcune pagine (es: https://www.turbolab.it). Cercando di contattare l'IP del server via HTTPS (https://95.141.32.205) si ripresenta il medesimo certificato autofirmato. Se quest'ultimo venisse rimpiazzato con quello di Comodo, la connessione sicura dovrebbe avvenire senza errori anche con il browser di Android 2.x e con Internet Explorer 7/8 su XP.

:approvo
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Ho adottato il tuo cifrario :clap

Bene per il suggerimento riguardo SNI: a breve mi studio la fattibilità e agisco. Frattanto, ho comunque provato ad aprire il sito con IE7 su WinXP: a meno di dirmi che il certificato non è valido (non ho capito bene perché, domani indago), se dico Prosegui il sito comunque funziona...
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:Ho adottato il tuo cifrario :clap
Purtroppo non avevo considerato (me ne sono accorto solo ora consultando il report aggiornato di Qualys) che in assenza della crittografia a chiave ellittica (limitazione di Red Hat ed Apache 2.2), Internet Explorer, il quale non supporta il protocollo DHE (generalmente supportato: offre la PFS) tenta di utilizzare il semplice RSA+AES non disponibile nel cifrario del server (escluso volutamente per promuovere solo connessioni attraverso la PFS). Ciò comporta che il cifrario utilizzato da una qualsiasi versione di Internet Explorer sia degradato al 3DES (scarse prestazioni e sicurezza inferiore all'AES).
Di seguito è riportata la configurazione aggiornata che include i cifrari AES non PFS ordinati secondo termini di sicurezza:

Codice: Seleziona tutto

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK
Ho infine notato che non hai disabilitato il supporto al protocollo SSLv3 (ormai utile solo per Internet Explorer 6), sarebbe il caso di farlo (configurando il parametro come segue):

Codice: Seleziona tutto

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
Zane ha scritto:Bene per il suggerimento riguardo SNI: a breve mi studio la fattibilità e agisco. Frattanto, ho comunque provato ad aprire il sito con IE7 su WinXP: a meno di dirmi che il certificato non è valido (non ho capito bene perché, domani indago), se dico Prosegui il sito comunque funziona...
Si, la connessione sicura avviene ugualmente ma il browser sprovvisto di SNI si aspetta di trovare un unico certificato digitale valido associato all'IP del server (valido per il dominio in questione); non trovandolo (legge solo quello autofirmato perché l'altro richiede appunto il supporto all'SNI) mostra un messaggio d'errore.

;)
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Nuovo cifrario adottato: come segnalavi, continua a non esserci FS con IE.. e inoltre su IE6 da un'incongruenza. Fra l'altro, leggevo che EC è stata ripristinata in CentOS 6.5 (che noi abbiamo), solo che il pacchetto httpd ufficiale ancora non lo usa perché deve rimanere retrocompatibile con CentOS 6.xx. A questo punto mi vien da dire: ma sei io ripristino il tuo penultimo cifrario, quando aggiornano il binario di Apache e introducono il supporto a EC siamo già a posto anche con FS su IE? Se non è così, mi prepari un cifrario che lo sia?

Poi: il certificato autofirmato che vedevi era quello predisposto automaticamente dall'installazione di openssl. L'ho sostituito con il nostro e ora sembra funzionare tutto magnificamente!

SSLv3 è disabilitato come

Codice: Seleziona tutto

SSLProtocol All -SSLv2 -SSLv3
Lo era anche prima, ma solo nel nostro vhost e non in quello di default. Ora ho messo la stessa impostazione anche nel vhost di default ed effettivamente anche SSL Labs lo segnala correttamente.
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:ma sei io ripristino il tuo penultimo cifrario, quando aggiornano il binario di Apache e introducono il supporto a EC siamo già a posto anche con FS su IE? Se non è così, mi prepari un cifrario che lo sia?
Non è necessario. L'ultimo cifrario suggerito (era così anche per i precedenti) include già il supporto alla crittografia a curva ellittica (Apache ignora automaticamente i cifrari non disponibili / non supportati dal sistema).
I protocolli che utilizzano la curva ellittica sono quelli che nell'elenco iniziano con ECDH (Elliptic curve Diffie–Hellman). In realtà nell'elenco sono presenti solo cifrari che iniziano con ECDHE: la E significa Ephemeral ed è la proprietà che conferisce loro la PFS.

:approvo

EDIT: Apache è compatibile con la crittografia a curva ellittica solo dalla versione 2.4
EDIT 2: Come avevo riportato precedentemente, l'unico browser degno di nota che necessita del protocollo SSLv3 è Internet Explorer 6 (in realtà supporta anche TLS 1.0 ma è disabilitato di default e bisogna abilitarlo manualmente tramite il relativo settaggio nelle impostazioni avanzate (come mostrato QUI)).
“The quieter you become, the more you can hear”
Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1947
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Firenze
Contatta:

Re: R: Login con HTTPS (certificato auto-firmato)

Messaggio da The Doctor »

Scusate, ma che percentuali di utilizzo abbiamo su IE6? Secondo me è irrisoria. Non si potrebbe mettere un warning tipo "il tuo browser è obsoleto ecc." e fregarcene? Del resto chi usa tale browser credo non sappia nemmeno cosa sia https
Io sto con Wile Coyote e Gatto Silvestro...
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

The Doctor ha scritto:Scusate, ma che percentuali di utilizzo abbiamo su IE6? Secondo me è irrisoria. Non si potrebbe mettere un warning tipo "il tuo browser è obsoleto ecc." e fregarcene? Del resto chi usa tale browser credo non sappia nemmeno cosa sia https
Esatto, al momento non è supportato e dubito che Zane intenda supportarlo. Se proprio è indispensabile navigare con Internet Explorer 6, nel warning si potrebbero includere le istruzioni per attivare il TLS 1.0 (in modo tale da rendere il browser compatibile).
Secondo gli ultimi dati, il vetusto browser detiene ancora il 4.4% del market share mondiale (QUI).

:acch :fiu
“The quieter you become, the more you can hear”
Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1947
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Firenze
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da The Doctor »

In Cina pare che ancora lo usino il 22.2%!?!?!?!

:acch :evil:
Io sto con Wile Coyote e Gatto Silvestro...
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

hashcat ha scritto:la connessione sicura dovrebbe avvenire senza errori anche con il browser di Android 2.x
Appena provato dal browser di sistema di Android 2.3.7: la connessione avviene correttamente ed il certificato viene validato senza problemi (fino a qualche giorno fa mostrava un errore (per via del mancato supporto all'SNI)).

;)
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:Acch, non avevo capito che anche il rinnovo fosse gratuito! Questo rende StartSSL l'ideale per noi... provo di nuovo a sollecitare Google Safe Browsing tramite un altro canale, ma continuo a nutrire poche speranze.
Hai già provato QUESTA procedura per tentare la riclassificazione del sito?
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

La posizione rimane che TurboLab.it supporta, ovvero "è testato e interessa che funzioni alla perfezione con", unicamente le più recenti versioni alpha/nightly/quelle che devono ancora essere sognate dagli sviluppatori dei vari browser. D'altro canto, mi piacerebbe molto che, per quanto "male" e con tutti i problemi del caso, il sito rimanesse "leggibile" un po' da tutti (nei limiti del ragionevole, ovviamente).

Ciò detto, ho ripristinato SSLv3 nel vhost di default, ovvero quello che viene usato se il browser non supporta SNI (=è vecchissimo). L'ho lasciato invece disabilitato quando il browser è abbastanza moderno a poter gestire SNI e, quindi, anche far a meno di SSLv3.

Il risultato è questo

Immagine

Niente male, direi!

Ho poi studiato un po' meglio il discorso HSTS.. versione breve: l'ho comunque attivato (già ora), oltre ai redirect http->https che entreranno in vigore non appena rifinito il tutto.
Zane - TurboLab.it
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Bene per Android 2.3.7! Io poco fa ho provato con il browser stock di Android 2.2.1: da qualche warning sui certificati degli elementi incorporati nella pagina (non il nostro), ma funziona tutto bene anche qui.
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:Ho poi studiato un po' meglio il discorso HSTS.. versione breve: l'ho comunque attivato (già ora), oltre ai redirect http->https che entreranno in vigore non appena rifinito il tutto.
Hai implementato l'header HSTS solo per il vhost o sbaglio? (http://www.turbolab.it sembra non disporne). Forse sarebbe il caso di reindirizzare le richieste con il www al dominio di base (sembra già previsto per quelle http ma non funziona):

curl -I http://www.turbolab.it/

Codice: Seleziona tutto

HTTP/1.1 302 Found
Server: Apache/2.2.15 (CentOS)
Location: http://turbolab.it/
Content-Type: text/html; charset=iso-8859-1
e

curl -I https://www.turbolab.it/

Codice: Seleziona tutto

HTTP/1.1 200 OK
Server: Apache/2.2.15 (CentOS)
Accept-Ranges: bytes
Content-Length: 59
Content-Type: text/html; charset=UTF-8
EDIT: Noto inoltre che i charset relativi alle due richieste differiscono.
EDIT 2: L'HSTS non deve essere applicato ai sottodomini perché, in caso di certificato invalido (perché non wildcard o auto-firmato) ne impedisce l'accesso (ad esempio bug.turbolab.it).

:bam
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

hashcat ha scritto:Hai implementato l'header HSTS solo per il vhost o sbaglio? (http://www.turbolab.it sembra non disporne). Forse sarebbe il caso di reindirizzare le richieste con il www al dominio di base (sembra già previsto per quelle http ma non funziona):
Hai ragione, https://www.turbolab.it mi era sfuggito. Ora funziona anche lui :grazie

Per quanto riguarda i sottodomini: ho disattivato HSTS perché ho scoperto che HSTS+Certificato Invalido fanno sì che Chrome blocchi senza possibilità di appello l'accesso alla risorsa. Ho però forzato http->https anche su bug.turbolab.it: sì, genera un errore di certificato invalido, ma contando che si tratta di risorse non strettamente rivolte al grande pubblico, preferisco così rispetto a lasciarle senza protezione, rischiando che venga vanificato il lavorone di riservatezza che stiamo facendo.
Zane - TurboLab.it
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

hashcat ha scritto:Vi sono nuovi sviluppi riguardo al da farsi alla scadenza dell'attuale certificato?
Dall'altro canale tramite il quale ho tentanto per chiedere la riclassificazione non ottengo risposta. Ho provato a seguire la procedura di riclassificazione di Google, ma il problema è proprio che, essendo un warning sulla rete e non sul nostro specifico server, in Webmaster Tools non vedo niente e, quindi, non posso chiedere la riclassificazione

Immagine

Anche se riuscissi a chiedere la riclassificazione, porterebbe esattamente allo stesso risultato: "il sito non è infetto, ma.. warning!, sta su un server che fa parte di una rete sulla quale ci sono anche altri siti infetti".

A questo punto, non rimane molto da fare se non, in prossimità della scadenza di quello attuale, prendere un certificato a pagamento.
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Zane ha scritto:A questo punto, non rimane molto da fare se non, in prossimità della scadenza di quello attuale, prendere un certificato a pagamento.
Malgrado l'aggravio economico, in questo modo, sarà possibile avere un certificato di classe 2 wildcard (valido per qualsiasi sotto-dominio).
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

hashcat ha scritto:Alcuni link interni al portale non sono riscritti come HTTPS ricadendo nella problematica precedente. Discussione d'esempio QUI.
Ho provato a sistemare il problema per cui le discussioni di commento ai contenuti del sito non rispettano http/https nei link e nell'URL di caricamento dell'immagine.

La mia idea era di usare // al posto di http:// oppure https:// , di modo che il browser usasse automaticamente il protocollo corrente. Purtroppo, però, phpBB non lo gestisce correttamente

Immagine

Ho aperto una segnalazione e lo tengo d'occhio. Se il difetto viene corretto in phpBB, ci si può tornare su. In caso contrario, suddetti link continueranno ad essere creati in http fino a quando non attiveremo la ridirezione automatica http->https per tutti. Da lì in avanti, tutti i nuovi topic di commento avranno suddetti link in https. Nel frattempo, lascio che HSTS faccia il suo mestiere di valvola di sicurezza :)
Zane - TurboLab.it
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da hashcat »

Visto che al momento, per motivi noti, i cookie sono trasmessi in chiaro anche quando si naviga via HTTPS, ho deciso, considerata la problematica dell'utilizzo di TurboLab.it su reti non sicure o monitorate (ad esempio nel caso di Al3x), di scrivere una regola per il componente aggiuntivo HTTPS Everywhere che abiliti il redirect http > https del dominio principale (attualmente è inattiva per i sotto-domini) ed imponga il parametro secure a tutti i cookie del sito (in maniera che questi vengano trasmessi solo via https).

Codice: Seleziona tutto

<ruleset name="TurboLab.it">
  <target host=".turbolab.it" />
  <target host="turbolab.it" />

  <rule from="^http://(www\.)?turbolab\.it/" to="https://turbolab.it/"/>
  <securecookie host=".turbolab.it" name=".*" />
</ruleset>
Come si abilita?

Firefox: Copiare il contenuto del TAG CODE e salvarlo in un file come turbolab.xml ; il file deve essere memorizzato nella sotto-cartella HTTPSEverywhereUserRules reperibile all'interno della directory del profilo di Firefox.

Chrome: istruzioni QUI (il file da utilizzare è sempre turbolab.xml (come indicato precedentemente)).

Screenshot (Google Chrome):

Immagine

:twisted:
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Piccolo aggiornamento: ho segnalato agli sviluppatori di phpBB un'idea molto banale (forse corretta, molto più probabilmente no) per gestire lo scenario "board accessibile sia via HTTP sia via HTTPS" in modo corretto. Vediamo cosa rispondono.

Ad ogni modo: sto ultimando molte ottimizzazioni prestazionali che dovrebbero consentirci di gestire il carico computazionale aggiuntivo richiesto da SSL senza problemi. Se non incontro problemi, conto di aver completato il tutto e poter forzare sempre ad HTTPS per la prossima settimana.
Zane - TurboLab.it
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5465
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Login con HTTPS (certificato auto-firmato)

Messaggio da Zane »

Update: dato che il certificato gratuito era in scadenza, ne ho acquistato uno vero, valido per un anno. Installato poco fa.. e direi che funziona bene :)
Zane - TurboLab.it
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Login con HTTPS (certificato auto-firmato)

Messaggio da System » lun apr 07, 2014 2:45 pm


Bloccato
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio