E Crittografiamo!
Allora, riprendo la discussione iniziata per caso ieri con il post relativo ai certificati del sito. I piu' attenti si sono accorti che ho messo su' un certificato di Let's Encrypt. Questo sostanzialmente perche' non mi fido molto dello spacciatore di certificati attuale e quindi voglio pararmi il culo PRIMA del dovuto.
Che problema ho con Let's Encrypt?
Per prima cosa una semplice nota, io ho sempre qualche dubbio sulle cose "aggratisse", perche' qualcuno deve pagare alla fine. Ed appoggiare qualche cosa su un "prodotto" gratuito ha sempre dei rischi impliciti. Anche una cosa come Let's Encrypt, che produce certificati, che sono in sostanza dei files e quindi il loro "costo" e' praticamente nullo, ha dei costi impliciti. Qualcuno deve pagare l'infrastruttura e probabilmente c'e' anche del lavoro di manutenzione. Io capisco la cosa e quindi capisco anche perche' ci sono delle societa' che si fanno pagare per produrre quei files. Non ho problemi a pagare un certificato (ed in effetti io sono un supporter di Let's Encrypt), perche' capisco che c'e' dietro del lavoro.
Il primo "problema" e' che il "client" che e' "suggerito" (certbot) e' una chiavica di python che NON FUNZIONA sul mio server. Ora, io non ho preconcetti con i linguaggi, il problema in genere non e' il linguaggio in se', ma il programmatore. Nel caso di pyton, io preferisco linguaggi che mi consentono di indentare e spaziare il codice come mi pare a me, quindi python se possibile lo lascio dove sta. Perche' il client non funziona? Non lo so, probabilmente perche' chi lo ha fatto non lo ha provato a sufficienza e sinceramente non ho nessuna voglia di mettermi li' e debuggarlo.
Il secondo "problema" e' che fino ad un po' di tempo fa, non supportavano i certificati "wildcard" (*.something.com), e dato che io uso un certificato wildcard quello era un problema bloccante. Adesso si sono messi a supportarli, ma per la conferma del certificato utilizzano un controllo sul DNS, e questo per me e' un problema perche' il DNS che uso non mi consente di fare modifiche "immediate", quindi in molti casi il controllo fallisce e mi tocca ricominciare tutta la trafila daccapo.
Il terzo "problema" e' che i certificati hanno una durata molto limitata (3 mesi). Ora, ovviamente avere un certificato a durata immensa non e' che sia una cosa straordinaria dal punti di vista della sicurezza, ma tra niente e l'infinito ci sono numerosi toni di grigio. Fino a qualche anno fa era possibile avere dei certificati per 3 o piu' anni, adesso anche le varie societa' hanno deciso di limitare la durata ad un anno. Un anno e' 4 volte 3 mesi. Se si mette insieme questo con il problema descritto sopra, si capisce che per me mettersi a rinnovare un certificato diventa una mezza giornata passata a fare il bambinaio ad un cacchio di certificato, e ripeto per l'ennesima volta: io non guadagno un centesimo da questo.
Ecco perche' preferirei sinceramente avere il certificato da una societa' accreditata che mi fa il controllo via e-mail e non mi richiede di fare cose astruse per far funzionare un cappero di client che NON VUOLE FUNZIONARE sul mio server.
Quindi... Perche' adesso ho un Let's Encrypt e come ho fatto a farlo funzionare?
Come detto all'inizio, non ho molta fiducia nello spacciatore di certificati, e dato che sembrano molto propensi a cercare di "spingere" i prodotti che sono piu' costosi (e ci credo), ho voluto vedere di avere un "piano B" prima di buttare tutto sul "piano A". Quindi... ho installato una macchina virtuale sul mio PC ed ho cominciato a madonnare dietro i vari "client" per Let's Encrypt finche' non sono riuscito a farne funzionare uno. E per la cronaca, ho ignorato brutalmente tutto quello che era python e sono andato direttamente con Perl e Bash. Dopo un paio d'ore perse a ravanare ed un'altra ora persa ad aspettare che il DNS si aggiornasse, sono riuscito ad avere il certificato.
Adesso vediamo come reagisce lo spacciatore di certificati perche', come ho detto prima, io preferisco di gran lunga NON dover perdere delle ore ogni 3 mesi.
Davide Bianchi
01/09/2021 13:06
