Commenti & Opinioni |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
Allora, riprendo la discussione iniziata per caso ieri con il post relativo ai certificati del sito. I piu' attenti si sono accorti che ho messo su' un certificato di Let's Encrypt. Questo sostanzialmente perche' non mi fido molto dello spacciatore di certificati attuale e quindi voglio pararmi il culo PRIMA del dovuto.
Che problema ho con Let's Encrypt?
Per prima cosa una semplice nota, io ho sempre qualche dubbio sulle cose "aggratisse", perche' qualcuno deve pagare alla fine. Ed appoggiare qualche cosa su un "prodotto" gratuito ha sempre dei rischi impliciti. Anche una cosa come Let's Encrypt, che produce certificati, che sono in sostanza dei files e quindi il loro "costo" e' praticamente nullo, ha dei costi impliciti. Qualcuno deve pagare l'infrastruttura e probabilmente c'e' anche del lavoro di manutenzione. Io capisco la cosa e quindi capisco anche perche' ci sono delle societa' che si fanno pagare per produrre quei files. Non ho problemi a pagare un certificato (ed in effetti io sono un supporter di Let's Encrypt), perche' capisco che c'e' dietro del lavoro.
Il primo "problema" e' che il "client" che e' "suggerito" (certbot) e' una chiavica di python che NON FUNZIONA sul mio server. Ora, io non ho preconcetti con i linguaggi, il problema in genere non e' il linguaggio in se', ma il programmatore. Nel caso di pyton, io preferisco linguaggi che mi consentono di indentare e spaziare il codice come mi pare a me, quindi python se possibile lo lascio dove sta. Perche' il client non funziona? Non lo so, probabilmente perche' chi lo ha fatto non lo ha provato a sufficienza e sinceramente non ho nessuna voglia di mettermi li' e debuggarlo.
Il secondo "problema" e' che fino ad un po' di tempo fa, non supportavano i certificati "wildcard" (*.something.com), e dato che io uso un certificato wildcard quello era un problema bloccante. Adesso si sono messi a supportarli, ma per la conferma del certificato utilizzano un controllo sul DNS, e questo per me e' un problema perche' il DNS che uso non mi consente di fare modifiche "immediate", quindi in molti casi il controllo fallisce e mi tocca ricominciare tutta la trafila daccapo.
Il terzo "problema" e' che i certificati hanno una durata molto limitata (3 mesi). Ora, ovviamente avere un certificato a durata immensa non e' che sia una cosa straordinaria dal punti di vista della sicurezza, ma tra niente e l'infinito ci sono numerosi toni di grigio. Fino a qualche anno fa era possibile avere dei certificati per 3 o piu' anni, adesso anche le varie societa' hanno deciso di limitare la durata ad un anno. Un anno e' 4 volte 3 mesi. Se si mette insieme questo con il problema descritto sopra, si capisce che per me mettersi a rinnovare un certificato diventa una mezza giornata passata a fare il bambinaio ad un cacchio di certificato, e ripeto per l'ennesima volta: io non guadagno un centesimo da questo.
Ecco perche' preferirei sinceramente avere il certificato da una societa' accreditata che mi fa il controllo via e-mail e non mi richiede di fare cose astruse per far funzionare un cappero di client che NON VUOLE FUNZIONARE sul mio server.
Quindi... Perche' adesso ho un Let's Encrypt e come ho fatto a farlo funzionare?
Come detto all'inizio, non ho molta fiducia nello spacciatore di certificati, e dato che sembrano molto propensi a cercare di "spingere" i prodotti che sono piu' costosi (e ci credo), ho voluto vedere di avere un "piano B" prima di buttare tutto sul "piano A". Quindi... ho installato una macchina virtuale sul mio PC ed ho cominciato a madonnare dietro i vari "client" per Let's Encrypt finche' non sono riuscito a farne funzionare uno. E per la cronaca, ho ignorato brutalmente tutto quello che era python e sono andato direttamente con Perl e Bash. Dopo un paio d'ore perse a ravanare ed un'altra ora persa ad aspettare che il DNS si aggiornasse, sono riuscito ad avere il certificato.
Adesso vediamo come reagisce lo spacciatore di certificati perche', come ho detto prima, io preferisco di gran lunga NON dover perdere delle ore ogni 3 mesi.
Davide Bianchi
01/09/2021 13:06
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
Di Anonymous coward postato il 01/09/2021 20:33
Per quale motivo acme.sh e Dehydrated non sono stati considerati... "interessanti"?
-- Anonymous coward
@ Anonymous coward Di Davide Bianchi postato il 02/09/2021 08:14
Per quale motivo acme.sh e Dehydrated non sono stati considerati... "interessanti"?
Perche' io ho un limitato ammontare di tempo da dedicare a certe cose, che e' il motivo per cui non lo consideravo nemmeno dato che il client "ufficiale" persisteva nel non funzionare per niente. Percui ho preso qualche cosa che ipotizzavo di poter far funzionare e non sono andato avanti a guardare oltre.
Ad un certo punto devo scegliere: vado avanti ad oltranza a cercare di far funzionare questo coso che potrebbe non funzionare mai, o semplicemente spendo 25 $ per un certificato da una societa' che questi casini li risolve lei?
-- Davide Bianchi
@ Davide Bianchi Di frakka postato il 03/09/2021 00:58
Ad un certo punto devo scegliere: vado avanti ad oltranza a cercare di far funzionare questo coso che potrebbe non funzionare mai, o semplicemente spendo 25 $ per un certificato da una societa' che questi casini li risolve lei?
In realtà mi sembra che il vecchio spacciatore i problemi "non te li stia risolvendo"...
Scherzi a parte, molto chiaro e tutto il ragionamento è assolutamente condivisibile. Temevo ci fosse anche un problema di affidabilità dei certificati di LE che poteva essermi sfuggito.
Ciao
-- frakka
@ frakka Di Davide Bianchi postato il 06/09/2021 11:18
In realtà mi sembra che il vecchio spacciatore i problemi "non te li stia risolvendo"...
Che e' il motivo per cui ho deciso di avere un Piano B pronto invece che aspettare l'ultimo momento.
-- Davide Bianchi
Di Ivo Gandolfo postato il 02/09/2021 14:32
>Quindi... ho installato una macchina virtuale sul mio PC ed ho cominciato a madonnare dietro i vari "client" per Let's Encrypt finche' non sono riuscito a farne funzionare uno.
Giusto per curiosità, alla fine cos'hai usato? Se ne potrebbe avere una copia? Anche io ho bestemmiato dietro a certbot e non ho cavato un ragno dal buco, ma visto che anche i miei certificati a breve mi diranno addio dovrò cimentarmi pure io nella ricerca del Santo Graal...
-- Ivo Gandolfo
@ Ivo Gandolfo Di Davide Bianchi postato il 06/09/2021 07:42
Giusto per curiosità, alla fine cos'hai usato?
Si chiama "getssl" ed e' uno script Bash.
-- Davide Bianchi
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".