[Flug] Notizie da let's encrypt
Alessandro Grassi
alessandro@linux.prato.it
Mer 3 Dic 2025 20:28:50 CET
Ciao Matteo,
On Wed Dec 3, 2025 at 8:12 PM CET, Matteo Bini wrote:
> Il 03/12/2025, Igor Falcomata' ha scritto:
>> Infatti oramai i certificati servono a garantire che tu sia comunicando
>> utilizzando la cifratura con il tuo endpoint, che sia apple.com o
>> sitomalevolo.com basandosi *solo* su FQDN.
>
> A questo punto tanto vale un autofirmato. Non capisco il terrorismo
> psicologico istillato dai programmi per navigare su Internet riguardo i
> certificati scaduti o gli autofirmati.
Non hai mai sentito parlare di MITM? Se i certificati autofirmati fossero considerati accettabili io potrei piazzarmi tra te e il resto di internet e fingermi qualunque sito web, e il browser ti farebbe un bel sorriso. Te penseresti di stare sul tuo home banking, e invece saresti sul mio raspberry a regalarmi password e token.
I più attempati ricorderanno dell'internet degli anni '90 e '00 in cui i certificati erano costosi e l'HTTP era la norma, e infatti la sicurezza faceva schifo. Con tutte le conseguenze del caso, nel bene (per noi che ci divertivamo) e nel male (per il resto del mondo).
> Sono mai stati documentati attacchi che sfruttassero certificati scaduti
> o autofirmati, andati in porto poiché i browser non avvertivano di
> codesto pericolo?
No, perché siccome i browser avvertono di questo pericolo, gli attacchi suddetti non vanno in porto. E' proprio quello il punto.
> Forse, da quando esiste l'SSL e poi il TLS, i
> programmi per navigare hanno sempre terrorizzato l'ignaro navigatore a
> riguardo, preventivamente e con eccesso di zelo, a mio dire.
Secondo me c'è una disconnessione tra quello a cui servono i certificati e quello a cui pensi che servano.
La certification authority non garantisce che il sito apple.com sia di proprietà di Apple Inc, non è mai servito a quello nè ha mai avuto la pretesa di farlo.
La CA garantisce che il server che si presenta come "apple.com" sia effettivamente "apple.com" e non un impersonatore di "apple.com" (non di Apple).
Saluti,
--
Alessandro Grassi
Maggiori informazioni sulla lista
flug