[Flug] Notizie da let's encrypt
Massimiliano Masi
max@mascanc.net
Mer 3 Dic 2025 19:38:05 CET
Ciao,
> Il giorno 3 dic 2025, alle ore 11:29, Igor Falcomata' <igor@falcomata.me> ha scritto:
>
> On Tue, Dec 02, 2025 at 09:38:16PM +0100, Matteo Bini wrote:
>
>> Confesso di non aver compreso i motivi per cui Let's Encrypt abbia
>> deciso di accorciare la validità dei certificati che rilascia.
>
> Principalmente perché ogni meccanismo di verifica dei certificati
> revocati ha fallito.
>
Sono chiaramente d’accordo, il controllo CRL è una delle debolezze più comuni, visto NESSUNO la implementa.
Anche cloudflare di default, non fa check di CRL. Ci sono vendor anche grossi che fanno la pubblicità a RADIOBRUNO prima del PENTASPORT, che mi cascano dal pero quando parlo di Distribution URI.
L’OCSP è un po’ più usato **FORSE** in CA private, ma anche qui, parliamone … Io non l’ho mai visto proposto da nessuno.
L’ACME è un bel protocollo, ma c’è da fidarsi delle varie challenge (DNS o HTTP) che non hanno comunque dietro una registration authority. Poi ora, con questa moda del CASB, l’autenticazione del TLS ha perso ogni credibilità [1].
Però l’è l’unica cosa che ci s’ha, il TLS, quindi BEN VENGA la decisione di CA Browser forum.
[1] https://www.schneier.com/blog/archives/2019/11/the_nsa_warns_o.html
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/flug/attachments/20251203/2c2eee25/attachment.htm>
Maggiori informazioni sulla lista
flug