[Flug] Notizie da let's encrypt

[Matteo Bini]

Il 03/12/2025, Alessandro Grassi ha scritto:
> Non hai mai sentito parlare di MITM? Se i certificati autofirmati
> fossero considerati accettabili io potrei piazzarmi tra te e il resto
> di internet e fingermi qualunque sito web, e il browser ti farebbe un
> bel sorriso. Te penseresti di stare sul tuo home banking, e invece
> saresti sul mio raspberry a regalarmi password e token.

Sì, ma tanto il phishing avviene anche senza MITM e pure con certificati
validi! Forse dovremmo trovare un sistema migliore? Non vuole essere una
provocazione, è una domanda sincera.

> La certification authority non garantisce che il sito apple.com sia di
> proprietà di Apple Inc, non è mai servito a quello nè ha mai avuto la
> pretesa di farlo.
> 
> La CA garantisce che il server che si presenta come "apple.com" sia
> effettivamente "apple.com" e non un impersonatore di "apple.com" (non
> di Apple).

Questo lo capisco, però non capisco come mai ci siano enti certificatori
con costi così variegati, quando in realtà ciò che certificano non è
costoso da certificare, né garantisce alcunché per cui pagare certe
cifre.

Grazie per la spiegazione.

-- 
Matteo Bini