Comments & Opinions |
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register
So, let's start from the beginning.
It's basically september, the weather is quite "september-like", the schools are open, the ones that aren't because they are chocked full of Coronavirus are cursing loudly, just like the various parents that are forced to "enjoy" their own offsprings 24/7.
This morning the traffic was 50% "worker-vans", that normally drive in only 2 way: "I am still asleep" or "I am Max Verstappen on the Zaandvoort Circuit!" and switch between the two at random, and the other 50% was "single driver in really huge car", the ones that didn't had a huge car had a Tesla. Boyz, this is no the way to "reduce your carbon footprint".
And I am here trying to renew my SSL certificate!
Yes, because a web site that DOESN'T SELL ANYTHING, uses 1 (one) cookie and doesn't fuck around with connections with facebuik or whatnot needs an SSL certificate or is "not safe"... Yeah, right... Anyway. I go to my supplier of SSL certificates... or not, since lately they have been bought up by somebody else. So I go to the new guy, login in the web interface... That is IDENTICAL to the old one except the logo. Grab the certificate, go for the configuration and get an "Error connecting to the API: NOT FOUND".
Heummm... Ok, let's try again... "Error connecting to the API: NOT FOUND".
Nice, let's try the "support chat" then.
I explain the problem to the guy on the other side, that could also be a girl or a fucking computer, doesn't really matter. He asks some unconsequential question and then, after a bit of a wait, announce that "there is probably a problem in the system". REALLY ? I thought that the error message was clear enough about this. "Now", he continues, "we can do two things". Ho, I got to choose? "I can escalate the problem to our developers, that should be able to fix the problem in a couple of days"... Hemmm... You get money through this thing, I think you should be a bit more proactive in solving the problems on your interface, especially since you LIFTED IT from somebody else... " or I can refund you this certificate and you can buy that-other certificate that I'm sure it works". Yeah right, and if that one also doesn't work are you going to do the encryption by hand in real-time? Or you know what? Considering that that-other certificate that you are so sure it works costs twice as much as the old one, you can refund me this certificate and then I can go an LETS'ENCRYPT. Eh? What do you think?
Anyway, I told him to go and tell the developers that is time to put their socks on and start doing some actual work.
Now, I strongly prefer a "real" certificate, also because let'sencrypt doesn't work very well for me and renewing each 3 months is a pain in the backorifice, but if those fuckers don't put their shit in order, I could decide that a renew each 3 months isn't that a pain after all.
So... if your browser all of a sudden start complaining that "the site ins't safe"... well, you know it.
Davide Bianchi
31/08/2021 09:43
Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.
By LukeHack posted 31/08/2021 10:18
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
se vuoi vado a riprendere i link e ti indico bene la zona dei pusher
-- LukeHack
@ LukeHack By Davide Bianchi posted 31/08/2021 10:35
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
L'SMTP in genere non richiede una catena ufficiale. In molti casi se ne frega anche se il certificato e' scaduto, magari ti scrive una riga nel log ma poi va avanti lo stesso.
-- Davide Bianchi
@ Davide Bianchi By Sąputo posted 31/08/2021 22:21
Per il mio SMTP uso certificati aggratise (non ricordo da quale spacciatore) e mi pare reggano 12 mesi..
L'SMTP in genere non richiede una catena ufficiale. In molti casi se ne frega anche se il certificato e' scaduto, magari ti scrive una riga nel log ma poi va avanti lo stesso.
L'SMTP in sè non lo chiede, ma molti client di cellofono si lamentano animatamente se non hai un certificato con una catena vera e acclarata dalle stesse CA che il client ha. L'ultimo giorno di lavoro prima delle ferie l'ho passato a far andare un ACME client per autorinnovare il certificato di Let's encrypt e dare in pasto il certificato ad un mailer che inizia per Zeta.
-- Sąputo
By Manuel posted 31/08/2021 14:27
Grande D! Vedo un Let's Encrypt
A me non ha mai dato grossi problemi, ma ammetto che era un pacchetto già configurato nella distro, che a sua volta era pacchettizzata su misura per il web server, quindi non so se confogurandola da solo avrei avuto problemi. Cmq mi sembra in giro ormai da parecchio, un po' di fiducia gliela darei
-- ::: meksONE :::
By frakka posted 01/09/2021 00:31
Buonasera.
Vedo che alla fine quindi sei passato a Let'sEncrypt!!
Ma perchè non ti convince LE? Noi lo usiamo abbastanza su server Linux e, a parte il problema di avere 3 reverse proxy con un vIP che può migrare e quindi la necessità di tenere allineate le tre macchine (che è un caso d'uso un po' border line, quindi ci siamo arrangiati!) problemi non ne abbiamo avuti mai (ma non usiamo i wildcard di LE, di quelli ne abbiamo solo un paio e di solito li compriamo).
Alla fine della fiera cosa distingue un certificato SSL firmato da Let'sEncrypt da uno emesso da un altro spacciatore? L'unica parte del certificato che concorre effettivamente alla "riservatezza" della comunicazione tra gli endpoint è la chiave privata con cui si è generata la CSR, la firma della CA serve solo per la catena di trust. Quindi, dal momento che le CA di LE sono ormai disponbiili in tutti i browser e keystore non troppo vecchi, il fatto che il demone per il rinnovo automatico dei certificati esegua anche il rollover della chiave privata ogni 3 mesi è un plus per quanto riguarda la sicurezza delle comuinicazioni (cosa che non è scontato venga fatta, soprattutto quando magari è un bipede non troppo ferrato in materia ad essere incaricato del rinnovo dei certificati dato che, paradossalmente, l'unica parte di un certificato che non scade mai e potrebbe essere riciclata all'infinito è proprio la chiave privata).
Sbaglio?
By Anonymous coward posted 05/09/2021 17:17
ed ecco perche qualche giorno fa non riuscivo a collegarmi...
non che avessi pensato che lo avessoro carcerato dopo quando, impazzito per l'ennesima richiesta UL-esca, avesse perso il lume della ragione e ammazzato a mani nude otto persone. Ma ci ho pensato adesso.
-- Anonymous coward
This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.
This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.
This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.