[Flug] Notizie da let's encrypt
Igor Falcomata'
igor@falcomata.me
Mer 3 Dic 2025 11:29:59 CET
On Tue, Dec 02, 2025 at 09:38:16PM +0100, Matteo Bini wrote:
> Confesso di non aver compreso i motivi per cui Let's Encrypt abbia
> deciso di accorciare la validità dei certificati che rilascia.
Principalmente perché ogni meccanismo di verifica dei certificati
revocati ha fallito.
> Per di più è da un po' di tempo che penso che il sistema di fiducia dei
> certificati per il TLS non serva quasi a niente, dal momento che pure
> gli enti certificatori a pagamento raramente effettuano controlli
> significativi onde evitare fenomeni come il phishing. Non c'è nessuno
> che m'impedisca di registrare gugle.it e di ottenere per esso un
> certificato valido, anche se uso quel sito per rubare le password e
> spacciarmi per qualcun'altro.
Infatti oramai i certificati servono a garantire che tu sia comunicando
utilizzando la cifratura con il tuo endpoint, che sia apple.com o
sitomalevolo.com basandosi *solo* su FQDN.
> Inoltre nessun programma per navigare e nessun utente tiene traccia
> che un determinato sito abbia cambiato ente
> certificatore: se apple.com un giorno passasse a Let's Encrypt, non se
> ne accorgerebbe nessuno.
https://en.wikipedia.org/wiki/DNS_Certification_Authority_Authorization
https://en.wikipedia.org/wiki/Certificate_Transparency
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
> Quindi perché esistono enti di certificazione a pagamento, pure
> costosi? Esattamente a cosa servono?
A niente.
ciao,
I.
Maggiori informazioni sulla lista
flug