ragionamenti sui certificati SSL Flexible di CloudFlare

Discussione:

(troppo vecchio per rispondere)

Gabriele - onenet

2017-05-25 17:04:49 UTC

Ho letto un interessante (per me) articolo di uno che spiegava come mostrare,
gratuitamente e con giusto un paio di plugin, il lucchetto nel browser per il
proprio sito Wordpress quando l'hoster non prevede un servizio di certificati SSL.
Scopro così che esistono su CloudFlare questi "Flexible", faccio una prova con
un mio dominio parcheggiato presso un italico fornitore di hosting che al
momento ancora non fornisce SSL e per farla breve: funziona.

Però, però, è una finzione:
- browser -> HTTPS CloudFlare -> HTTP sito effettivo

Quindi sto sistema è di aiuto per far vedere al visitatore del sito che c'è un
lucchetto e forse anche a fare credere a Google la stessa cosa.
Tralascio che esaminando il certificato si vede l'elenco di tutti i domini che
usano sto coso condiviso, a me pare una cosa poco seria.
Soprattutto penso che il browser dovrebbe avere modo di verificare tutta la
catena e mostrare qualche avviso, come quello di contenuto misto per intenderci.

Dal punto di vista della sicurezza mi sembra perfino peggio che non avere alcun
certificato.

Che ne pensate?

Gabriele

PS: x-post e f/u su it.lavoro.professioni.webmaster

ciccio_the_best

2017-05-26 09:25:03 UTC

Permalink

Post by Gabriele - onenet
Ho letto un interessante (per me) articolo di uno che spiegava come mostrare,
gratuitamente e con giusto un paio di plugin, il lucchetto nel browser per il
proprio sito Wordpress quando l'hoster non prevede un servizio di certificati SSL.
Scopro così che esistono su CloudFlare questi "Flexible", faccio una prova con
un mio dominio parcheggiato presso un italico fornitore di hosting che al
momento ancora non fornisce SSL e per farla breve: funziona.
- browser -> HTTPS CloudFlare -> HTTP sito effettivo

Una finzione non è mai una buona cosa, specialmente nel Web ;-)

Post by Gabriele - onenet
Quindi sto sistema è di aiuto per far vedere al visitatore del sito che c'è un
lucchetto e forse anche a fare credere a Google la stessa cosa.

Credo che non appena questa cosa arriverà a solleticare Google questa si
incazzerà e darà bastonate a chi opta per questi trucchetti strani... :-D

Post by Gabriele - onenet
Tralascio che esaminando il certificato si vede l'elenco di tutti i domini che
usano sto coso condiviso, a me pare una cosa poco seria.

Non è "pare una cosa poco seria", E' una cosa poco seria ;-)

Post by Gabriele - onenet
Soprattutto penso che il browser dovrebbe avere modo di verificare tutta la
catena e mostrare qualche avviso, come quello di contenuto misto per intenderci.

Molto probabile che lo implementeranno.

Post by Gabriele - onenet
Dal punto di vista della sicurezza mi sembra perfino peggio che non avere alcun
certificato.

E' così.

Post by Gabriele - onenet
Che ne pensate?

Che è semplicemente una minchiata, tanto vale non farlo...

Marco Gioanola

2017-05-28 10:00:46 UTC

Permalink

Post by Gabriele - onenet
Scopro così che esistono su CloudFlare questi "Flexible", faccio una
prova con un mio dominio parcheggiato presso un italico fornitore di
hosting che al momento ancora non fornisce SSL e per farla breve: funziona.
Tralascio che esaminando il certificato si vede l'elenco di tutti i
domini che usano sto coso condiviso, a me pare una cosa poco seria.
Soprattutto penso che il browser dovrebbe avere modo di verificare tutta
la catena e mostrare qualche avviso, come quello di contenuto misto per
intenderci.
Dal punto di vista della sicurezza mi sembra perfino peggio che non
avere alcun certificato.
Che ne pensate?

Penso che hai centrato bene il problema e che tutti dovrebbero avere le
tue perplessità.
Il "lucchetto verde" è stato trasformato in un feticcio senza
significato. Nessuno comprende la PKI e nessuno la implementa
correttamente (certificate revocation lists? trust?). Si continua a
spingere questa ipersemplificazione per cui "lucchetto verde" =
sicurezza, che in realtà non ha alcun senso, perché nessuno sa spiegare
in cosa dovrebbe consistere questa benedetta "sicurezza": sicurezza che
il sito non ospiti malware? no. sicurezza di avere qualche tipo di
autenticazione del server a cui mi sono connesso? nemmeno. sicurezza che
la certificate authority che ha firmato il certificato sia affidabile?
nemmeno, visto che è tutto in mano al browser e all'OS.
L'utente medio è spinto a credere che se c'è il lucchetto verde allora
sta "al sicuro", il che è falso e quindi pericoloso.
L'unico beneficio effettivo del "lucchetto verde" è la cifratura del
traffico, e a voler essere un po' complottisti, anche quello è
discutibile: è vero, senza http potenzialmente "chiunque"(cioè, chiunque
in ascolto sulla rete) potrebbe sniffare il mio traffico, però sono
convinto che https sia principalmente un modo per i content provider di
a) cercare di "oscurare" il proprio traffico e sfuggire a eventuali
filtri degli ISP e b) assicurarsi l'esclusiva dell'ispezione di tale
traffico. Non parliamo poi se in mezzo si mettono proxy come Cloudflare
o la stessa Google, che mi risulta faccia (faceva?) cose simili con QUIC
su Android.

Detto ciò, mi scuso per il lungo sfogo che non offre alcuno spunto
propositivo, perché sono francamente convinto che "lo stiamo facendo
sbagliato" e non ci sia più modo di correggere il tiro.

marco

rootkit

2017-05-29 05:25:44 UTC

Permalink

Post by Marco Gioanola
in cosa dovrebbe consistere questa benedetta "sicurezza": sicurezza che
il sito non ospiti malware? no. sicurezza di avere qualche tipo di
autenticazione del server a cui mi sono connesso? nemmeno. sicurezza che
la certificate authority che ha firmato il certificato sia affidabile?
nemmeno, visto che è tutto in mano al browser e all'OS.

aggiungo: sicurezza di avere una connessione cifrata con il server? a
questo punto nemmeno.

rootkit

2017-05-29 04:53:34 UTC

Permalink

Post by Gabriele - onenet
Scopro così che esistono su CloudFlare questi "Flexible",

per capire meglio: cloudflare mi è chiaro, ma come funziona
"materialmente" il rilascio di questo certificato?

rootkit

2017-05-29 05:21:49 UTC

Permalink

Post by rootkit

Post by Gabriele - onenet
Scopro così che esistono su CloudFlare questi "Flexible",

per capire meglio: cloudflare mi è chiaro, ma come funziona
"materialmente" il rilascio di questo certificato?

ok ho dato un'occhiata e mi è chiaro ora il concetto. fra l'altro avevo
già fatto degli esperimenti con cloudflare e https. bella cagata,
comunque.

Gabriele - onenet

2017-05-29 07:58:26 UTC

Permalink

Post by rootkit

Post by Gabriele - onenet
Scopro così che esistono su CloudFlare questi "Flexible",

per capire meglio: cloudflare mi è chiaro, ma come funziona
"materialmente" il rilascio di questo certificato?

ok ho dato un'occhiata e mi è chiaro ora il concetto. fra l'altro avevo
già fatto degli esperimenti con cloudflare e https. bella cagata,
comunque.

Ecco :-)
Clicchi un pulsante, cambi i tuoi server DNS, aspetti un pochino et voilà! La
magia è compiuta.

Ora, volendo essere propositivi, cosa si potrebbe fare? A chi scrivere per
sollevare questi dubbi e far sì che i browser segnalino che la connessione è
protetta solo a metà?

Certamente sto tipo di certificato è molto comodo per far finta, però IMHO così
com'è ora non è quello per cui esistono i certificati SSL.

Gabriele

Marco Gioanola

2017-05-29 10:06:29 UTC

Permalink

Post by Gabriele - onenet
Ora, volendo essere propositivi, cosa si potrebbe fare? A chi scrivere
per sollevare questi dubbi e far sì che i browser segnalino che la
connessione è protetta solo a metà?

A questa persona qua: https://twitter.com/__apf__
Dietro i lucchetti verdi di Chrome c'è lei.

mg

ciccio_the_best

2017-05-29 10:12:43 UTC

Permalink

Post by Marco Gioanola

A questa persona qua: https://twitter.com/__apf__
Dietro i lucchetti verdi di Chrome c'è lei.

Dal suo twitter:

"Every time I find a bug in code, I whisper to myself "self driving cars will be
better nothing will go wrong everything is great"

:-O X-D :-D

Plonkata.

Gabriele - onenet

2017-05-29 10:36:00 UTC

Permalink

Post by Marco Gioanola

A questa persona qua: https://twitter.com/__apf__
Dietro i lucchetti verdi di Chrome c'è lei.

Ah beh, le scrivo subito! :-D

Siccome però non uso Chrome, fai per favore una prova con questo e dimmi se il
lucchetto è verde:
https://www.jadeandvelvet.co.za/
Usa lo stesso certificato di quello che sto provando.

D'altronde anche il test di SSL Lab di Qualys mostra grade A e tutto verde, in
fin dei conti il certificato è valido. Solo che così si snatura la funzione di
avere HTTPS, sempre IMHO :-)

Poi cercherò i contatti per altri browser, d'altronde mi pareva troppo bello che
fosse possibile avere SSL gratis e senza installare niente sul server.

Sarebbe

Marco Gioanola

2017-05-29 15:00:55 UTC

Permalink

Post by Gabriele - onenet
Siccome però non uso Chrome, fai per favore una prova con questo e dimmi
https://www.jadeandvelvet.co.za/
Usa lo stesso certificato di quello che sto provando.

Verdissimo e secure.

mg

Roberto Tagliaferri

2017-05-29 15:34:16 UTC

Permalink

Post by Gabriele - onenet

Post by Marco Gioanola

A questa persona qua: https://twitter.com/__apf__
Dietro i lucchetti verdi di Chrome c'è lei.

Ah beh, le scrivo subito! :-D
Siccome però non uso Chrome, fai per favore una prova con questo e dimmi
https://www.jadeandvelvet.co.za/
Usa lo stesso certificato di quello che sto provando.

firefox con calomel ssl validation: 100% ok

--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu

Daniele Pinna (Ufficio)

2017-05-30 16:48:27 UTC

Permalink

[cut]

Post by Gabriele - onenet
Che ne pensate?

Che a meno di casi mooooooolto particolari meglio cambiare Hosting :-)

Se ancora non ha implementato let's encrypt, o peggio l'utilizzo di
certificati tradizionali, ci sarà qualche problema.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com

Gabriele - onenet

2017-05-30 17:23:52 UTC

Permalink

Post by Daniele Pinna (Ufficio)

[cut]

Post by Gabriele - onenet
Che ne pensate?

Che a meno di casi mooooooolto particolari meglio cambiare Hosting :-)

Sono pigro :-)

Post by Daniele Pinna (Ufficio)
Se ancora non ha implementato let's encrypt, o peggio l'utilizzo di certificati
tradizionali, ci sarà qualche problema.

Non so che dirti, ho chiesto più volte, risposte vaghe però per il resto
funziona decentemente.

Tu che ne pensi di questi certificati Flexible?

Gabriele

Daniele Pinna (Ufficio)

2017-05-30 18:18:44 UTC

Permalink

Post by Gabriele - onenet
Non so che dirti, ho chiesto più volte, risposte vaghe però per il resto
funziona decentemente.
Tu che ne pensi di questi certificati Flexible?

Mai provati... come non ho mai provato nemmeno CloudFare anche se potrei
attivarlo con un paio di Click sul Plesk.

Io per tutti i domini che sono sul mio VPS (sono pochi una ventina) ho
attivato let's encrypt e per l'utilizzo normale (vedere il lucchetto e
non "sito non sicuro") basta e avanza.
L'ho attivato anche per alcuni domini che NON hanno sito Web (i clienti
sono interessati solo alla mail con il dominio).

Purtroppo let's encrypt non copre anche imap.dominio.tld e
smt.dominio.tld, creando qualche problemino con i certificati, specie su
iOS... e solo un cliente mi ha chiesto qualcosa di più "professionale",
ma deve essere svenuto quando ho detto il prezzo di un certificato
wildcard :-D :-D :-D

Cmq forse con una 20ina di dollari gli metto un COMODO e gli faccio
usare sia per smtp che per imap etc mail.dominio.tld
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com