Da qualche tempo a questa parte, TurboLab.it poteva essere visitato tramite il protocollo HTTP tradizionale (http://turbolab.it) oppure preferendo la versione sicura e crittografata (HTTPS, https://turbolab.it). A partire da questo momento, il server forza HTTPS su tutte le connessioni: il risultato netto è che i dati scambiati non possono essere letti da eventuali spioni che intercettassero il traffico (né su rete cablata, né via Wi-Fi). Di conseguenza, i visitatori possono sfogliare il sito ed il forum con la massima riservatezza [continua..]
Fatto un po' di testing e posto qui i risultati. Per il momento (continuerò nelle prossime ore):
- Tapatalk per Windows Phone {ultima versione} sembra non gradire particolarmente, cioè rimane a caricare il forum indefinitamente (qualcun altro ha problemi, su sistemi operativi diversi?)
- Quando visito alcuni topic (ad esempio, questo), IE 11 su Windows 8.1 continua a chiedermi se voglio visualizzare anche il contenuto non sicuro (credo sia colpa di una opzione che ho attivato nelle impostazioni, ma comunque indica che ci sono porzioni non https in alcune pagine del forum). EDIT: Problema simile con Firefox (viene visualizzato il cartellino triangolare di avviso nella barra degli indirizzi). Dal report di Firefox, sembra essere colpa di imageshack.
- Tutto ok invece per quanto riguarda IE 11 su Windows Phone 8.1, sia lato forum che lato portale: navigazione con prestazioni adeguate e niente avvisi strani.
- Tutto ok lato portale per quanto riguarda IE 11 su Windows 8.1 desktop.
Zane, segnalo un problema con Tapatalk. Da entrambi i device non posso collegarmi, dandomi connessione fallita. Ho già provato a vuotare la cache della app ma nulla da fare.
Segnalo inoltre (iniziamo ad aprire bug?) che bug.turbolab.it, sia su IE 11 (Windows 8.1 e Windows Phone 8.1) che su Firefox 29 (Windows 8.1), segnala un errore di certificato non corrispondente: ricordo male, o doveva essere stato risolto?
Ok, risolto anch'io cancellando i dati e svuotando la cache.
Per la cronaca, nel Galaxy Y con Android 4.2.2 ho vuotato la cache e si è risolto, mentre nel LG L90 con Android 4.4.2 ho dovuto cancellare anche i dati, visto che la sola cache ripulita non è bastata.
Vi sono aggiornamenti rispetto a quanto specificato in QUESTO messaggio: con un aggiornamento di Windows risalente all'8 Aprile scorso, Internet Explorer 11 su Windows 8.1 / Windows Server 2012 R2 aggiunge il supporto a quattro cifrari basati sulla modalità GCM. Due di questi garantiscono la Perfect Forward Secrecy (PFS) e sono suppportati dall'attuale configurazione di TurboLab.it.
Il cifrario attualmente utilizzato da Internet Explorer 11 su Windows 8.1 per comunicare con il server è TLS_DHE_RSA_WITH_AES_128_GCM_SHA256. Dando un'occhiata alle proprietà della pagina il browser riporta: Connessione: TLS 1.2, AES crittografato a 128 bit (Alta); DH scambio a 1024 bit
@Zane
Ben fatto!
Volevo solo segnalare una piccola modifica che sarebbe il caso di apportare: la durata relativa alla policy dell'HSTS è troppo breve. La configurazione ideale prevede una durata di almeno 6 mesi (configurazione riportata di seguito):
Grazie a tutti per il feedback! Anch'io ho dovuto vuotare la cache di Tapatalk, ma poi tutto ok. È una rottura di scatole non indifferente che avrei davvero voluto evitare, ma temo non si possa fare diversamente
Certificato invalido su domini secondari: avete ragione, ma un certificato valido anche per i sotto-domini sarebbe costato molto di più. Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).
@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!
HSTS con max-age allungato pronto al deploy (il precedente era assolutamente temporaneo). Lo carico insieme alla nuova catena di cifrari appena me la fai avere.
Zane ha scritto:Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).
ASSOLUTAMENTE nessun problema: ricordavo (evidentemente male) che avessi comprato un certificato "a copertura completa". Ottimo così, quello che ci serve, nulla di più (non ne vale la pena).
Tutto ok per il resto (e i test sono continuati senza altre problematiche).
Solo una cosa: con IE11 su Windows 8.1 e Windows Phone 8.1, la faccina triste ( ) mostra una "x" sia nell'elenco delle faccine che nei post e non ricordo il problema esistesse prima: è l'unica con questo difetto: c'è qualche motivo valido per questo?
Zane ha scritto:@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!
Non è necessaria alcuna modifica in questo senso: la lista precedente (quella in adozione dal server) include già i due "nuovi" cifrari che forniscono la PFS su IE 11 / Windows 8.1.
@hashcat: Fantastico così. Allora sparo subito l'update per allungare il tempo di HSTS. Click!
@dev: effettivamente sono molto preoccupato per le performance, quindi , mi mandi a letto tranquillo! L'output che vedi in /info è lo stesso degli strumenti che ho a disposizione anch'io, quindi anche a me sembra che i numeri dicano "tutto ok"!
Segnalo un problema (IE 11, sia su Windows 8.1 che su Windows Phone 8.1, che con Firefox 29): in questo post non si vede l'immagine, neanche autorizzando la visualizzazione dei contenuti non protetti.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.