[bglug] Let's Encrypt public beta
Daniele Pitrolo
d.pitrolo@gmx.com
Gio 19 Nov 2015 00:22:42 CET
> Non conoscevo il progetto CACert, ora me lo studio, grazie per la
> segnalazione.
Prego. Era la l'autorità preferita dagli smanettoni sino a qualche tempo
fa: il certificato radice era incluso di base in Debian. Poi Debian ha
deciso che non aveva autorità sufficiente per pronunciarsi in merito e
che si sarebbe allineata alle scelte di Mozilla. Agli occhi degli utenti
Debian si è tradotto come "CACert è inaffidabile, persino Debian li ha
cacciati".
Per essere accettati da Mozilla (e da altri navigatori) devono passare
degli audit. Per passarli devono migliorare la loro organizzazione (in
corso) e, soprattutto, pagare. 75.000$ per quello, meno caro, per essere
accettati da Mozilla.
> Per quanto riguarda Let's Encrypt io credo che come tutti i servizi
> vada valutato con le opportune attenzioni e tenendo presente aspetti
> positivi e negativi.
> I sostenitori del progetto sono certamente di primo piano, e il fatto
> che tra essi ci siano Mozilla Foundation e EFF credo non vada
> trascurato.
Questo articolo ha ben spiegato i problemi. Il parere espresso sembrava
fondato anche a Tristan Nitot, fondatore di Mozilla Europa, portavoce di
Mozilla e "Principal Evangelist":
https://www.linkedin.com/pulse/20141120073425-26662417-why-i-won-t-be-using-let-s-encrypt-and-recommend-other-not-to-also
Sappiamo bene com'è andata a Yahoo, quando ha tentato di resistere, no?
> Io la vedo come una opportunità per passare in https tutta una serie
> di servizi che oggi (pensiamo anche solo alle pmi) spesso vengono
> esposti in chiaro per banali ragioni economiche (fossero anche i 50
> USD/anno per un certificato economico), e per i quali non si adotta
> una semplice CA creata in proprio per i più svariati motivi (spesso
> pregiudizi oppure cattiva informazione...).
Un certificato riconosciuto ovunque lo puoi avere gratis già adesso:
startcom. Un wildcard costa un po', ma non è indispensabile se hai in
mente la necessità nel concepire la struttura del sito.
A me sembra che il problema sia di cultura, anche se pensiamo ai
problemi che incontra l'IETF. Pochi anni fa ho letto qualcuno
meravigliarsi del fatto che il link verso google su un giornale fosse in
https: "Vi siete sbagliati?". È tutto sommato da poco che i grandi nomi
usano la cifratura, ed i piccoli attori non hanno ancora capito:
1 Che migliora le prestazioni
2 Che migliora il referenziamento
3 Che un sito senza https è un pericolo per la sicurezza dei computer
che lo consultano (vedi i documenti di Hacking Team).
Maggiori informazioni sulla lista
bglug