<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">Ciao, <div><br></div><div><div><br><blockquote type="cite"><div>Il giorno 3 dic 2025, alle ore 11:29, Igor Falcomata' <igor@falcomata.me> ha scritto:</div><br class="Apple-interchange-newline"><div><div>On Tue, Dec 02, 2025 at 09:38:16PM +0100, Matteo Bini wrote:<br><br><blockquote type="cite">Confesso di non aver compreso i motivi per cui Let's Encrypt abbia<br>deciso di accorciare la validità dei certificati che rilascia.<br></blockquote><br>Principalmente perché ogni meccanismo di verifica dei certificati<br>revocati ha fallito.<br><br></div></div></blockquote><div><br></div><div>Sono chiaramente d’accordo, il controllo CRL è una delle debolezze più comuni, visto NESSUNO la implementa.</div><div>Anche cloudflare di default, non fa check di CRL. Ci sono vendor anche grossi che fanno la pubblicità a RADIOBRUNO prima del PENTASPORT, che mi cascano dal pero quando parlo di Distribution URI. </div><div><br></div><div>L’OCSP è un po’ più usato **FORSE** in CA private, ma anche qui, parliamone … Io non l’ho mai visto proposto da nessuno.</div><div><br></div><div>L’ACME è un bel protocollo, ma c’è da fidarsi delle varie challenge (DNS o HTTP) che non hanno comunque dietro una registration authority. Poi ora, con questa moda del CASB, l’autenticazione del TLS ha perso ogni credibilità [1].</div><div><br></div><div>Però l’è l’unica cosa che ci s’ha, il TLS, quindi BEN VENGA la decisione di CA Browser forum. </div><div><br></div><div><br></div><div><br></div><div>[1] <a href="https://www.schneier.com/blog/archives/2019/11/the_nsa_warns_o.html">https://www.schneier.com/blog/archives/2019/11/the_nsa_warns_o.html</a></div></div></div></body></html>