Commenti a "TurboLab.it attiva HTTPS per tutti"

[Zane]

TurboLab.it attiva HTTPS per tutti



Da qualche tempo a questa parte, TurboLab.it poteva essere visitato tramite il protocollo HTTP tradizionale (http://turbolab.it) oppure preferendo la versione sicura e crittografata (HTTPS, https://turbolab.it). A partire da questo momento, il server forza HTTPS su tutte le connessioni: il risultato netto è che i dati scambiati non possono essere letti da eventuali spioni che intercettassero il traffico (né su rete cablata, né via Wi-Fi). Di conseguenza, i visitatori possono sfogliare il sito ed il forum con la massima riservatezza [continua..]

Inserite di seguito i vostri commenti.

[developerwinme]

Ottimo!

Fatto un po' di testing e posto qui i risultati. Per il momento (continuerò nelle prossime ore):
- Tapatalk per Windows Phone {ultima versione} sembra non gradire particolarmente, cioè rimane a caricare il forum indefinitamente (qualcun altro ha problemi, su sistemi operativi diversi?)
- Quando visito alcuni topic (ad esempio, questo), IE 11 su Windows 8.1 continua a chiedermi se voglio visualizzare anche il contenuto non sicuro (credo sia colpa di una opzione che ho attivato nelle impostazioni, ma comunque indica che ci sono porzioni non https in alcune pagine del forum). EDIT: Problema simile con Firefox (viene visualizzato il cartellino triangolare di avviso nella barra degli indirizzi). Dal report di Firefox, sembra essere colpa di imageshack.
- Tutto ok invece per quanto riguarda IE 11 su Windows Phone 8.1, sia lato forum che lato portale: navigazione con prestazioni adeguate e niente avvisi strani.
- Tutto ok lato portale per quanto riguarda IE 11 su Windows 8.1 desktop.

[Uomo Senza Sonno]

Zane, segnalo un problema con Tapatalk. Da entrambi i device non posso collegarmi, dandomi connessione fallita. Ho già provato a vuotare la cache della app ma nulla da fare.

[skizzzzo]

Anche io non riesco più a connettermi con Tapatalk.
Da Android.

[developerwinme]

Segnalo inoltre (iniziamo ad aprire bug?) che bug.turbolab.it, sia su IE 11 (Windows 8.1 e Windows Phone 8.1) che su Firefox 29 (Windows 8.1), segnala un errore di certificato non corrispondente: ricordo male, o doveva essere stato risolto?

[Andy94]

Tapatalk 4.3.0 su Android 4.4.2 a me funziona regolarmente.

[skizzzzo]

Io ho Tapatalk 4.5.2 e Android 4.2.1 e non va.

[developerwinme]

Ora anche a me sembra funzionare regolarmente Tapatalk, forse c'era qualche cache o simile in costruzione?

[[Claudio]]

Io ho Tapatalk 4.5.2 e Android 4.2.1 e non va.

Ski, svuota i DATI della APP; avevo lo stesso problema, ho risolto cosi.

[hashcat]

Leggo solo ora di questo aggiornamento. Non riscontro alcun problema dovuto all'aggiornamento (non è stato necessario svuotare la cache).

[Uomo Senza Sonno]

Ok, risolto anch'io cancellando i dati e svuotando la cache.

Per la cronaca, nel Galaxy Y con Android 4.2.2 ho vuotato la cache e si è risolto, mentre nel LG L90 con Android 4.4.2 ho dovuto cancellare anche i dati, visto che la sola cache ripulita non è bastata.

[skizzzzo]

Ok, risolto anch'io svuotando la cache

[hashcat]

Vi sono aggiornamenti rispetto a quanto specificato in QUESTO messaggio: con un aggiornamento di Windows risalente all'8 Aprile scorso, Internet Explorer 11 su Windows 8.1 / Windows Server 2012 R2 aggiunge il supporto a quattro cifrari basati sulla modalità GCM. Due di questi garantiscono la Perfect Forward Secrecy (PFS) e sono suppportati dall'attuale configurazione di TurboLab.it.
Il cifrario attualmente utilizzato da Internet Explorer 11 su Windows 8.1 per comunicare con il server è TLS_DHE_RSA_WITH_AES_128_GCM_SHA256. Dando un'occhiata alle proprietà della pagina il browser riporta:
Connessione: TLS 1.2, AES crittografato a 128 bit (Alta); DH scambio a 1024 bit

Maggiori informazioni: QUI e QUI.

@Zane
Ben fatto!
Volevo solo segnalare una piccola modifica che sarebbe il caso di apportare: la durata relativa alla policy dell'HSTS è troppo breve. La configurazione ideale prevede una durata di almeno 6 mesi (configurazione riportata di seguito):

Codice: Seleziona tutto

Strict-Transport-Security: max-age=15768000

[The Doctor]

Per quanto riguarda Tapatalk ho semplicemente rimosso il forum. Poi ho effettuato nuova ricerca e nuovo login. Tutto ok.

[Zane]

Grazie a tutti per il feedback! Anch'io ho dovuto vuotare la cache di Tapatalk, ma poi tutto ok. È una rottura di scatole non indifferente che avrei davvero voluto evitare, ma temo non si possa fare diversamente

@dev: ho aperto ora un topic specifico sul contenuto misto (bug già presente).

Certificato invalido su domini secondari: avete ragione, ma un certificato valido anche per i sotto-domini sarebbe costato molto di più. Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).

@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!

HSTS con max-age allungato pronto al deploy (il precedente era assolutamente temporaneo). Lo carico insieme alla nuova catena di cifrari appena me la fai avere.

[developerwinme]

Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).

ASSOLUTAMENTE nessun problema: ricordavo (evidentemente male) che avessi comprato un certificato "a copertura completa". Ottimo così, quello che ci serve, nulla di più (non ne vale la pena).

Tutto ok per il resto (e i test sono continuati senza altre problematiche).

Solo una cosa: con IE11 su Windows 8.1 e Windows Phone 8.1, la faccina triste ( ) mostra una "x" sia nell'elenco delle faccine che nei post e non ricordo il problema esistesse prima: è l'unica con questo difetto: c'è qualche motivo valido per questo?

[Zane]

Il problema della faccina è che l'immagine aveva estensione .gif quando in realtà l'immagine è una PNG. Su Internet Explorer abbiamo disabilitato l'auto-riconoscimento, quindi falliva.

Ora doverebbe essere ok:

[hashcat]

@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!

Non è necessaria alcuna modifica in questo senso: la lista precedente (quella in adozione dal server) include già i due "nuovi" cifrari che forniscono la PFS su IE 11 / Windows 8.1.

[developerwinme]

Il problema della faccina è che l'immagine aveva estensione .gif quando in realtà l'immagine è una PNG. Su Internet Explorer abbiamo disabilitato l'auto-riconoscimento, quindi falliva.

Ora doverebbe essere ok:

Confermo ( )

[developerwinme]

A livello prestazionale, come va il carico sul server? (se hai qualche info aggiuntiva rispetto a https://turbolab.it/info )

Personalmente riscontro prestazioni ragionevolmente buone, senza particolari differenze rispetto a prima.

[Zane]

@hashcat: Fantastico così. Allora sparo subito l'update per allungare il tempo di HSTS. Click!

@dev: effettivamente sono molto preoccupato per le performance, quindi , mi mandi a letto tranquillo! L'output che vedi in /info è lo stesso degli strumenti che ho a disposizione anch'io, quindi anche a me sembra che i numeri dicano "tutto ok"!

[Zane]

Tanto per sincerarmi che non ci fossero problemi con le tecnologie molto vecchie, ho provato ad aprire il sito con Windows 2000:



direi proprio che, dal punto di vista dell'HTTPS, non ci sono problemi nemmeno così

[developerwinme]

Ottimo! (sia per le prestazioni che per il funzionamento su Windows 2000).

Quanti webmaster verificano il funzionamento del proprio sito con Windows 2000 e IE 6 (o 5.5?) il sabato sera di un ponte festivo? MITICO ZANE!

[developerwinme]

Segnalo un problema (IE 11, sia su Windows 8.1 che su Windows Phone 8.1, che con Firefox 29): in questo post non si vede l'immagine, neanche autorizzando la visualizzazione dei contenuti non protetti.

[hashcat]

in questo post non si vede l'immagine, neanche autorizzando la visualizzazione dei contenuti non protetti.

Ti riferisci al post di [Claudio]?
Nel mio caso (Internet Explorer 11 su Windows 8.1 x64) viene mostrata senza problemi.