Pagina 1 di 2
Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 12:56 pm
da Zane
TurboLab.it attiva HTTPS per tutti
Da qualche tempo a questa parte, TurboLab.it poteva essere visitato tramite il protocollo HTTP tradizionale (http://turbolab.it) oppure preferendo la versione sicura e crittografata (HTTPS, https://turbolab.it). A partire da questo momento, il server forza HTTPS su tutte le connessioni: il risultato netto è che i dati scambiati non possono essere letti da eventuali spioni che intercettassero il traffico (né su rete cablata, né via Wi-Fi). Di conseguenza, i visitatori possono sfogliare il sito ed il forum con la massima riservatezza [continua..]
Inserite di seguito i vostri commenti.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:03 pm
da developerwinme
Ottimo!
Fatto un po' di testing e posto qui i risultati. Per il momento (continuerò nelle prossime ore):
- Tapatalk per Windows Phone {ultima versione} sembra non gradire particolarmente, cioè rimane a caricare il forum indefinitamente (qualcun altro ha problemi, su sistemi operativi diversi?)
- Quando visito alcuni topic (ad esempio, questo), IE 11 su Windows 8.1 continua a chiedermi se voglio visualizzare anche il contenuto non sicuro (credo sia colpa di una opzione che ho attivato nelle impostazioni, ma comunque indica che ci sono porzioni non https in alcune pagine del forum). EDIT: Problema simile con Firefox (viene visualizzato il cartellino triangolare di avviso nella barra degli indirizzi). Dal report di Firefox, sembra essere colpa di imageshack.
- Tutto ok invece per quanto riguarda IE 11 su Windows Phone 8.1, sia lato forum che lato portale: navigazione con prestazioni adeguate e niente avvisi strani.
- Tutto ok lato portale per quanto riguarda IE 11 su Windows 8.1 desktop.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:11 pm
da Uomo Senza Sonno
Zane, segnalo un problema con Tapatalk. Da entrambi i device non posso collegarmi, dandomi connessione fallita. Ho già provato a vuotare la cache della app ma nulla da fare.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:23 pm
da skizzzzo
Anche io non riesco più a connettermi con Tapatalk.
Da Android.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:25 pm
da developerwinme
Segnalo inoltre (iniziamo ad aprire bug?) che bug.turbolab.it, sia su IE 11 (Windows 8.1 e Windows Phone 8.1) che su Firefox 29 (Windows 8.1), segnala un errore di certificato non corrispondente: ricordo male, o doveva essere stato risolto?
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:46 pm
da Andy94
Tapatalk 4.3.0 su Android 4.4.2 a me funziona regolarmente.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 1:48 pm
da skizzzzo
Io ho Tapatalk 4.5.2 e Android 4.2.1 e non va. 
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 2:26 pm
da developerwinme
Ora anche a me sembra funzionare regolarmente Tapatalk, forse c'era qualche cache o simile in costruzione?
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 2:43 pm
da [Claudio]
skizzzzo ha scritto:Io ho Tapatalk 4.5.2 e Android 4.2.1 e non va.
Ski, svuota i DATI della APP; avevo lo stesso problema, ho risolto cosi.
Re: R: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 2:47 pm
da hashcat
Leggo solo ora di questo aggiornamento. Non riscontro alcun problema dovuto all'aggiornamento (non è stato necessario svuotare la cache).
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 3:20 pm
da Uomo Senza Sonno
Ok, risolto anch'io cancellando i dati e svuotando la cache.
Per la cronaca, nel Galaxy Y con Android 4.2.2 ho vuotato la cache e si è risolto, mentre nel LG L90 con Android 4.4.2 ho dovuto cancellare anche i dati, visto che la sola cache ripulita non è bastata.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 3:23 pm
da skizzzzo
Ok, risolto anch'io svuotando la cache 
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 5:10 pm
da hashcat
Vi sono aggiornamenti rispetto a quanto specificato in QUESTO messaggio: con un aggiornamento di Windows risalente all'8 Aprile scorso, Internet Explorer 11 su Windows 8.1 / Windows Server 2012 R2 aggiunge il supporto a quattro cifrari basati sulla modalità GCM. Due di questi garantiscono la Perfect Forward Secrecy (PFS) e sono suppportati dall'attuale configurazione di TurboLab.it.
Il cifrario attualmente utilizzato da Internet Explorer 11 su Windows 8.1 per comunicare con il server è TLS_DHE_RSA_WITH_AES_128_GCM_SHA256. Dando un'occhiata alle proprietà della pagina il browser riporta:
Connessione: TLS 1.2, AES crittografato a 128 bit (Alta); DH scambio a 1024 bit
Maggiori informazioni: QUI e QUI.
@Zane
Ben fatto!
Volevo solo segnalare una piccola modifica che sarebbe il caso di apportare: la durata relativa alla policy dell'HSTS è troppo breve. La configurazione ideale prevede una durata di almeno 6 mesi (configurazione riportata di seguito):
Re: R: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 6:08 pm
da The Doctor
Per quanto riguarda Tapatalk ho semplicemente rimosso il forum. Poi ho effettuato nuova ricerca e nuovo login. Tutto ok.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 6:24 pm
da Zane
Grazie a tutti per il feedback! Anch'io ho dovuto vuotare la cache di Tapatalk, ma poi tutto ok. È una rottura di scatole non indifferente che avrei davvero voluto evitare, ma temo non si possa fare diversamente 
@dev: ho aperto ora un topic specifico sul contenuto misto (bug già presente).
Certificato invalido su domini secondari: avete ragione, ma un certificato valido anche per i sotto-domini sarebbe costato molto di più. Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).
@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!
HSTS con max-age allungato pronto al deploy (il precedente era assolutamente temporaneo). Lo carico insieme alla nuova catena di cifrari appena me la fai avere.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 6:29 pm
da developerwinme
Zane ha scritto:Considerato che sono domini non certo destinati al grande pubblico, ho deciso che non ne valeva la pena. Non sono felicissimo, ma ce lo dobbiamo tenere così (scusate).
ASSOLUTAMENTE nessun problema: ricordavo (evidentemente male) che avessi comprato un certificato "a copertura completa". Ottimo così, quello che ci serve, nulla di più (non ne vale la pena).
Tutto ok per il resto (e i test sono continuati senza altre problematiche).
Solo una cosa: con IE11 su Windows 8.1 e Windows Phone 8.1, la faccina triste ( 
) mostra una "x" sia nell'elenco delle faccine che nei post e non ricordo il problema esistesse prima: è l'unica con questo difetto: c'è qualche motivo valido per questo?
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 6:52 pm
da Zane
Il problema della faccina è che l'immagine aveva estensione .gif quando in realtà l'immagine è una PNG. Su Internet Explorer abbiamo disabilitato l'auto-riconoscimento, quindi falliva.
Ora doverebbe essere ok:
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 6:57 pm
da hashcat
Zane ha scritto:@hashcat: se mi fai avere l'intero nuovo stringone con i cifrari copio-incollo e carico al volo!
Non è necessaria alcuna modifica in questo senso: la lista precedente (quella in adozione dal server) include già i due "nuovi" cifrari che forniscono la PFS su IE 11 / Windows 8.1.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 7:01 pm
da developerwinme
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: sab mag 03, 2014 7:05 pm
da developerwinme
A livello prestazionale, come va il carico sul server? (se hai qualche info aggiuntiva rispetto a https://turbolab.it/info )
Personalmente riscontro prestazioni ragionevolmente buone, senza particolari differenze rispetto a prima. 
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: dom mag 04, 2014 12:21 am
da Zane
@hashcat: Fantastico così. Allora sparo subito l'update per allungare il tempo di HSTS. Click!
@dev: effettivamente sono molto preoccupato per le performance, quindi , mi mandi a letto tranquillo! L'output che vedi in /info è lo stesso degli strumenti che ho a disposizione anch'io, quindi anche a me sembra che i numeri dicano "tutto ok"!
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: dom mag 04, 2014 12:38 am
da Zane
Tanto per sincerarmi che non ci fossero problemi con le tecnologie molto vecchie, ho provato ad aprire il sito con Windows 2000:
direi proprio che, dal punto di vista dell'HTTPS, non ci sono problemi nemmeno così 
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: dom mag 04, 2014 8:41 am
da developerwinme
Ottimo! (sia per le prestazioni che per il funzionamento su Windows 2000).
Quanti webmaster verificano il funzionamento del proprio sito con Windows 2000 e IE 6 (o 5.5?) il sabato sera di un ponte festivo? MITICO ZANE! 
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: ven mag 09, 2014 1:33 pm
da developerwinme
Segnalo un problema (IE 11, sia su Windows 8.1 che su Windows Phone 8.1, che con Firefox 29): in questo post non si vede l'immagine, neanche autorizzando la visualizzazione dei contenuti non protetti.
Re: Commenti a "TurboLab.it attiva HTTPS per tutti"
Inviato: ven mag 09, 2014 4:10 pm
da hashcat
developerwinme ha scritto: in
questo post non si vede l'immagine, neanche autorizzando la visualizzazione dei contenuti non protetti.
Ti riferisci al post di [Claudio]?
Nel mio caso (Internet Explorer 11 su Windows 8.1 x64) viene mostrata senza problemi.