Commenti & Opinioni |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
Allora, andiamo con ordine. Siamo (praticamente) a Settembre, il clima e' abbastanza settembrino, le scuole hanno riaperto e quelle che non hanno riaperto perche' hanno il personale Covid-cizzato stanno bestemmiando di santa ragione, come i vari parenti che sono costretti a sorbirsi la loro prole ad oltranza.
Stamani il traffico era 50% furgoncini di lavoratori indefessi, che hanno solo due modalita' di guida: "completamente addormentati" o "io sono Verstappen sul circuito di Zaandvoort" ed oscillano tra i due in modo abbastanza randomico ed il resto del traffico era "singolo guidatore su auto di dimensioni mastodontiche". Quelle che non erano mastodontiche erano Tesla. Ragassi, non e' cosi che si riduce la vostra "impronta carbonica".
Ed io sono qui che devo rinnovare il certificato SSL del sito!
Si' perche' un sito che usa UN cookie e non richiede nessuna login, ne' vi rompe il cazzo con collegamenti a faisbuik o salcazzo deve avere l'SSL che senno' non e' sicuro... Vabbe'. Vado dal mio spacciatore di certificati... anzi no, perche' questo e' stato recentemente acquistato da qualcun altro, quindi vado da quest'altro, faccio login nella sua interfacciawebbe, che e' IDENTICA a quella vecchia tranne il logo in alto. Piglio il certificato, vado a fare la configurazione...
"Error connecting to the API: NOT FOUND".
Heummm... Ok, riproviamo... "Error connecting to the API: NOT FOUND".
Andiamo bene andiamo. A questo punto vedo l'iconcina della "chat di supporto" in basso e decido di provarci.
Apro la chat spiegando il problema, il tizio (che da quello che so potrebbe essere una tizia ma facciamo finta di niente), chiede il nome utente ed il numero del certificato, ed un altro paio di domande non consequenziali.
Dopo un po' ricompare con la frase "credo ci sia un problema nel sistema"... Ma va'? Credevo che il messaggio "ERROR CONNECTING TO THE API" fosse abbastanza chiaro. "Possiamo fare due cose" ... Ah, abbiamo pure scelta? " posso passare il problema ai nostri sviluppatori, e di solito il tempo richiesto e' di un paio di giorni"... Ehummm... Voi da questo coso ci pigliate dei soldi, mi sembra un po' strano che sia una funzionalita' che e' non funzionante, soprattutto che non l'abbiate mai provata, considerando che avete preso il resto del codice di peso dal sistema vecchio... "oppure posso fare un rimborso del certificato e lei puo' comperare quest'altro certificato che sono sicuro che funziona". Si come no. E se non funziona manco quello che si fa? Ti metti tu li' a fare la crittografia a mano in tempo reale? Oppure sai cosa? Considerando che quest'altro bellissimo certificato che tu sei tanto sicuro che funziona costa il DOPPIO di quello che voglio io, tu potresti rimborsarmi il ceritificato ed io vado da LetsEncrypt! EH? Che ne dici?
In ogni caso gli ho detto di andare a rompere il cazzo ai suoi programmatroti e se ne riparla quando si svegliano.
Adesso, io preferisco di gran lunga un certificato "VERO" ad uno di let's encrypt, anche perche' quel coso funziona piu' no che si (almeno per me) ed un rinnovo ogni 3 mesi mi fa' venire il latte alle ginocchia, ma se questi cominciano pure a fare gli stronzi, io potrei anche decidere che un rinnovo ogni 3 mesi e' meno problematico che questa rottura di marroni una volta all'anno.
Quindi.... Se di botto il vostro browser comincia a rompere che "il sito non e' sicuro"... ecco, lo sapete.
Davide Bianchi
31/08/2021 09:43
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
Di LukeHack postato il 31/08/2021 10:18
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
se vuoi vado a riprendere i link e ti indico bene la zona dei pusher
-- LukeHack
@ LukeHack Di Davide Bianchi postato il 31/08/2021 10:35
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
L'SMTP in genere non richiede una catena ufficiale. In molti casi se ne frega anche se il certificato e' scaduto, magari ti scrive una riga nel log ma poi va avanti lo stesso.
-- Davide Bianchi
@ Davide Bianchi Di Sąputo postato il 31/08/2021 22:21
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
L'SMTP in genere non richiede una catena ufficiale. In molti casi se ne frega anche se il certificato e' scaduto, magari ti scrive una riga nel log ma poi va avanti lo stesso.
L'SMTP in sè non lo chiede, ma molti client di cellofono si lamentano animatamente se non hai un certificato con una catena vera e acclarata dalle stesse CA che il client ha. L'ultimo giorno di lavoro prima delle ferie l'ho passato a far andare un ACME client per autorinnovare il certificato di Let's encrypt e dare in pasto il certificato ad un mailer che inizia per Zeta.
-- Sąputo
Di Manuel postato il 31/08/2021 14:27
Grande D! Vedo un Let's Encrypt
A me non ha mai dato grossi problemi, ma ammetto che era un pacchetto già configurato nella distro, che a sua volta era pacchettizzata su misura per il web server, quindi non so se confogurandola da solo avrei avuto problemi. Cmq mi sembra in giro ormai da parecchio, un po' di fiducia gliela darei
-- ::: meksONE :::
Di frakka postato il 01/09/2021 00:31
Buonasera.
Vedo che alla fine quindi sei passato a Let'sEncrypt!!
Ma perchè non ti convince LE? Noi lo usiamo abbastanza su server Linux e, a parte il problema di avere 3 reverse proxy con un vIP che può migrare e quindi la necessità di tenere allineate le tre macchine (che è un caso d'uso un po' border line, quindi ci siamo arrangiati!) problemi non ne abbiamo avuti mai (ma non usiamo i wildcard di LE, di quelli ne abbiamo solo un paio e di solito li compriamo).
Alla fine della fiera cosa distingue un certificato SSL firmato da Let'sEncrypt da uno emesso da un altro spacciatore? L'unica parte del certificato che concorre effettivamente alla "riservatezza" della comunicazione tra gli endpoint è la chiave privata con cui si è generata la CSR, la firma della CA serve solo per la catena di trust. Quindi, dal momento che le CA di LE sono ormai disponbiili in tutti i browser e keystore non troppo vecchi, il fatto che il demone per il rinnovo automatico dei certificati esegua anche il rollover della chiave privata ogni 3 mesi è un plus per quanto riguarda la sicurezza delle comuinicazioni (cosa che non è scontato venga fatta, soprattutto quando magari è un bipede non troppo ferrato in materia ad essere incaricato del rinnovo dei certificati dato che, paradossalmente, l'unica parte di un certificato che non scade mai e potrebbe essere riciclata all'infinito è proprio la chiave privata).
Sbaglio?
Di Anonymous coward postato il 05/09/2021 17:17
ed ecco perche qualche giorno fa non riuscivo a collegarmi...
non che avessi pensato che lo avessoro carcerato dopo quando, impazzito per l'ennesima richiesta UL-esca, avesse perso il lume della ragione e ammazzato a mani nude otto persone. Ma ci ho pensato adesso.
-- Anonymous coward
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".