Riflessioni rinnovo certificato digitale TurboLab.it

Ti piacciono il sito e la community? Questo è il posto giusto per lasciare commenti, suggerimenti e... critiche.
Regole del forum
Rispondi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Il certificato digitale di TurboLab.it scadrà fra poco più di 2 mesi: questa discussione serve a tenere traccia e classificare le proposte relative al rinnovo dello stesso.
  1. Certificato Let's Encrypt (gratuito): era da tempo che tenevo sotto osservazione questa iniziativa ma, almeno per quest'anno, non sarà disponibile entro i termini di scadenza del certificato esistente.
  2. Certificato StartSSL (pagamento): considerato in passato ma non fruibile per via della valutazione negativa di Google Safebrowsing (relativa al server, non a TLI), probema che da un bel po' sembra essere rientrato.
  3. Certificato Comodo (pagamento): nuova opzione; è ottenibile a "prezzi convenienti" tramite il rivenditore Namecheap.
  4. Certificato StartSSL (gratuito): si consulti il punto (2). Soggetto ad alcune limitazioni ma rinnovabile gratuitamente, durata annuale.
Tolta la prima opzione che non è utile nel nostro caso mi concentro sulle voci 2 e 3 (scelte che forniscono una maggiore flessibilità e garanzia).
<<StartSSL (Identity Verified)>>
Caratteristiche (pro e contro):
  • Certificato ampiamente supportato
  • Si paga per la verifica dell'identità, non per richiedere un certificato (ciò significa che ne possono essere richiesti autonomamente, senza sovrapprezzi, n)
  • La revoca di un certificato costa 24.90 $ (per certificato)
  • Supporto a domini multipli (Zane può utilizzarlo per coprire tutti i domini (anche il cdn) semplificando l'amministrazione del sito)
  • Wildcard consentito (consente la certificazione di un numero illimitato di sotto-domini)
  • Prezzo 59.90 $ (circa 53.1 €) per due anni
LINK
<<Comodo (PositiveSSL Multi-Domain)>>
Caratteristiche (pro e contro):
  • Certificato ampiamente supportato
  • Acquisto mediante intermediario (un lieve contro in caso di problemi)
  • Supporto a domini multipli (la configurazione di base ne include 2 (oltre a quello principale))
  • Wildcard non consentito
  • Prezzo 47.82 € per due anni
LINK

;)
“The quieter you become, the more you can hear”

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da System » lun gen 26, 2015 8:54 pm


Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Grazie hashcat,
di Let's Encrypt stiamo parlando qui. Sicuramente è da tener presente per l'anno prossimo.

Per quanto riguarda StartSSLgrauito, il problema non è relativo al server, ma alla rete: rilevano che il nostro provider ha altri server compromessi sulla nostra stessa rete e, di conseguenza, non ci rilasciano il certificato gratuito per loro policy.

Per il resto... se hai altri suggerimenti, li leggo volentieri :)
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:Per quanto riguarda StartSSLgrauito, il problema non è relativo al server, ma alla rete: rilevano che il nostro provider ha altri server compromessi sulla nostra stessa rete e, di conseguenza, non ci rilasciano il certificato gratuito per loro policy.
Ti riferisci per caso a QUESTO report? In caso negativo quello relativo al solo TurboLab.it, linkato nella porzione quotata di seguito, risulta (ovviamente) pulito. In passato, se non erro, era stato proprio quest'ultimo a dare rogne con StartSSL.
Zane ha scritto:StartSSL avrebbe rilasciato un certificato gratuito valido per un anno, ovvero un tempo sufficiente a capire come muoversi. Purtroppo, però, mi hanno risposto che non mi rilasciano il certificato perché Safe Browsing rileva un exploit, cosa per loro bloccante per il rilascio gratuito. Ho provato a spiegare che, in realtà, l'exploit non è sul nostro server ma su di uno che fa parte della nostra stessa rete presso il provider ma, comprensibilmente, senza pagare non possono fare le opportune verifiche e non mi danno un bel niente. Ho scritto allora a Google, ma già mi aspetto che non mi considerino.
:s
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Scusa hashcat, ho fatto casino io. Il report in questione è questo. Effettivamente, in questo momento momento, non c'è più alcun warning legato alla nostra rete, quindi, probabilmente, si rifaccio la domanda ci potrebbero anche rilasciare il certificato gratuito.

Fra qualche settimana provo :)
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:probabilmente, si rifaccio la domanda ci potrebbero anche rilasciare il certificato gratuito.

Fra qualche settimana provo :)
Ottima idea; a quanto pare anche con quello gratuito vi dovrebbe essere la possibilità di includere il sotto-dominio (bug.turbolab.it)

Come pensi di gestire il certificato per il CDN? Ne richiederai uno gratuito sempre tramite StartSSL?

:ciao
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Una volta stabilito come procedere, facciamo lo stesso sia sul sito, sia sul CDN :-)
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Ho provato a generare un nuovo certificato con StartSSL free. Ora mi fa procedere, ma poi mi chiede di validare il dominio spedendo la mail di verifica a un indirizzo prefissato (tipo postmaster@TLI) che non abbiamo e non possiamo creare nell'immediato. È un peccato, perché ho fatto una prova con il mio dominio personale (zane.it) sul quale non ho problemi a creare la mailbox postmaster@, e funziona bene...

Esploro le altre opzioni nelle prossime settimane.
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:Esploro le altre opzioni nelle prossime settimane.
Vi sono novità in proposito?
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Innanzitutto grazie di nuovo per l'analisi, mi ha facilitato moltissimo le cose.

Ho appena fatto richiesta per verificare l'identità con StartSSL (Identity Verified) (quello da 59.90 $). Sono in attesa che mi diano l'ok (ci sono stati alcuni rallentamenti a causa del fatto che i miei documenti riportano residenze diverse a causa del trasferimento post-matrimonio), poi stampo il certificato nuovo. Direi che entro fine settimana concludiamo sicuramente l'operazione...
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:Innanzitutto grazie di nuovo per l'analisi, mi ha facilitato moltissimo le cose.

Ho appena fatto richiesta per verificare l'identità con StartSSL (Identity Verified) (quello da 59.90 $). Sono in attesa che mi diano l'ok (ci sono stati alcuni rallentamenti a causa del fatto che i miei documenti riportano residenze diverse a causa del trasferimento post-matrimonio), poi stampo il certificato nuovo. Direi che entro fine settimana concludiamo sicuramente l'operazione...
Ottimo; lieto di essere stato d'aiuto. Non ho domandato con l'intento di fare pressione ma semplicemente per riportare in vista la discussione poichè la scadenza del certificato per il dominio principale (turbolab.it) è imminente e, a causa della direttiva HSTS, l'accesso al sito tramite https (a seguito della scadenza del certificato) diverrebbe praticamente impossibile.

P.S.: Per quanto ne so io, le verifiche di StartCom sono piuttosto rigorose...
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Vai sereno, avevo capito lo spirito :-)

Purtroppo da StartCom mi stanno creando qualche disagio. Mi hanno chiesto due documenti (passaporto e patente), poi una bolletta della luce, poi quella del pattume... ma ancora non gli basta e mi stanno chiedendo di mandarmi la modulistica per posta ordinaria: 10 giorni oppure ulteriori 30 € per spedizione rapida.

Capisco essere cauti, però...! Ovviamente fra 10 gg abbiamo già sforato la scadenza del certificato attuale, ma non mi va nemmeno di buttare 30 € così.

Probabilmente faremo che per adesso vado a rinnovare il certificato attuale, poi entro luglio (scadenza del certificato per il CDN) vediamo di gestire sta benedetta validazione via posta ordinaria...
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:Purtroppo da StartCom mi stanno creando qualche disagio. Mi hanno chiesto due documenti (passaporto e patente), poi una bolletta della luce, poi quella del pattume... ma ancora non gli basta e mi stanno chiedendo di mandarmi la modulistica per posta ordinaria: 10 giorni oppure ulteriori 30 € per spedizione rapida.

Capisco essere cauti, però...! Ovviamente fra 10 gg abbiamo già sforato la scadenza del certificato attuale, ma non mi va nemmeno di buttare 30 € così.

Probabilmente faremo che per adesso vado a rinnovare il certificato attuale, poi entro luglio (scadenza del certificato per il CDN) vediamo di gestire sta benedetta validazione via posta ordinaria...
Si, in caso di presunte anomalie (come quella che riportavi riguardo al trasferimento di sede) diventano molto esigenti. Del resto si tratta di un certificato Identity Verified e non Domain Control Validated (come quello attuale) quindi è comprensibile che le verifiche, soprattuto tramite i canali ordinari (posta), siano particolarmente scrupolose.

:approvo
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Ok, come anticipavo ho dovuto rinnovare il certificato attuale. Eccolo qui:
Immagine
Già caricato e funzionante :)
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

e... con il nuovo certificato siamo A+
Immagine
:clap :clap
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Zane ha scritto:e... con il nuovo certificato siamo A+

:clap :clap
Si. Il vecchio certificato includeva una firma digitale calcolata tramite l'algoritmo di hashing SHA-1: quello rinnovato utilizza l'algoritmo SHA-256.
Dal 16 Settembre dell'anno scorso Qualys ha smesso di conferire la valutazione massima (A+) ai siti che utilizzano certificati firmati con il primo algoritmo (o che presentano un qualunque certificato firmato con lo SHA-1 nella propria catena di certificazione).

:)
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da hashcat »

Riporto, per questioni di completezza, un dettaglio importante che mi era sfuggito: la revoca di un certificato con StartCom non è gratuita, costa 24.90 $ (per certificato).

:frusta
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4662
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da Zane »

Verissimo! mentre facevo esperimenti con il mio dominio personale (zane.it) ho creato certificati con loro ma ho poi perso la chiave sul server. Cercando di revocare per poi crearli nuovamente, mi sono imbattuto nella richiesta di pagamento... comprensibile, dai, in qualche modo anche loro devono pur pagare le spese!
Zane - TurboLab.it

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Riflessioni rinnovo certificato digitale TurboLab.it

Messaggio da System » sab mag 23, 2015 6:25 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio