Commenti & Opinioni

Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register

Queste pagine contengono opinioni e/o commenti a vari argomenti piu' o meno di attualita, se non siete d'accordo con il mio pensiero la cosa non mi preoccupa piu' di tanto, d'altra parte sono perfettamente d'accordo con il Principio di Scott Adams: siamo tutti degli idioti.

Presto Che E' Tardi!

Allora, lo scrivo qui che non ho nessuna voglia di mettermi a rifare la pappardella.

Ordunque, tra le varie cose che sono di mia competenza c'e' la gestione di un certo numero di certificati che devono essere aggiornati quando stanno per scadere. La cosa e' facilitiata dal fatto che ogni certificato e' sotto monitor, quindi quando il certificato ha un certo numero di giorni prima della scadenza, io ricevo una mail di notifica e posso cominciare a vedere il da farsi.

In molti casi la cosa si riduce a richiedere un nuovo certificato, eventualmente andare a battere cassa al dipartimento finanziario per pagarlo, ed una volta ottenuto fare il solito clickety-click per installarlo. Cosa che, in generale, non richiede piu' di 10 minuti.

Tuttavia, per certe cose, il certificato deve essere anche installato su uno o piu' firewall e quei cosi sono sotto il controllo del nostro dipartimento Networking.

Ora, io non sono un gran fanatico della segmentazione folle, ma capisco anche che se certe cose vengono manipolate da un po' troppa gente, riuscire a capire chi ha fatto cosa e perche' diventa molto problematico. E quando un firewall viene introiato, e' meglio che ci sia un responsabile a portata di mano per fargli il culo.

In questi casi (firewall o dispositivo in carico a Networking), quello che faccio e' seguire la prassi e creare un ticket, di solito con CC a chi so che sa cosa e come fare le cose. In molti casi la persona in questione e' li' che si gratta e quindi la cosa viene risolta nel giro di 10 minuti. Come dovrebbe essere sempre. Ma qualche volta la faccenda viene accalappiata dal cosidetto "Change Manager" ed a quel punto posso stare tranquillo che un lavoro di 10 minuti diventera' una cosa strascicata da 10 giorni.

Quindi, quando all'inizio di Novembre (NOVEMBRE), ho ricevuto la mail che '*.pincopallino.nl' scadra' al 15 Dicembre (DICEMBRE), non mi sono preoccupato troppo. Ho fatto la mia giga ottenendo il nuovo certificato ed installandolo dove posso farlo. Ma questo e' uno di quei casi in cui parte dei "servizi" che sono gestiti passano attraverso un firewall che fa anche da SSL-Offloading. 

Quindi ho preparato un bel ticket per Networking specificando che sarebbe meglio che il certificato venisse aggiornato PRIMA della fine di Novembre, dato che un sacco di gente ha delle strane idee sul fare "cambiamenti" nel mese di Dicembre.

Dopo di che non ho sentito piu' niente. Fino a Giovedi' 27 Novembre, quando uno dei nostri Networkisti (networkanisti?) mi ha domandato che roba era quella roba li'. Al che gli ho risposto che e' un volgarissimo firewall e quello che bisogna fare e' prendere il certificato, preparare eventualmente la catena, uploadarlo su firewall, e per quello c'e' sicuramente una qualche interfaccia webbe, e poi andare sui vari servizi, sempre via interfaccia webbe, ed 'attaccare' il servizio al certificato nuovo.

Ora, io ho un account su tale firewall ma e' read-only, quindi posso vedere la famosa interfaccia webbe, ma non farci molto altro. E se ve lo state domandando (se no ve lo dico lo stesso perche' cosi' mi gira), ho ottenuto quell'account perche' cosi' posso controllare nei log quando qualcuno degli utenti di tale cosa si lamenta che non riesce a collegarsi.

A questo punto pero' ho domandato che era successo a quella semplice richiesta, richiesta che, a mio parere, non dovrebbe richiedere piu' di 10 minuti. La risposta che ho ricevuto e' che era stata posposta causa altri casini ed era schedulata per il Venerdi' 28. Venerdi' che e' anche l'ultimo giorno lavorativo di Novembre... Che si', tecnicamente e' PRIMA DELLA FINE del mese ma... meh...

In ogni caso io Venerdi' avevo altre cose di cui preoccuparmi quindi non ci ho pensato molto, in effetti l'intera cosa mi e' uscita completamente dalla testa fino ad oggi, Mercoledi' 3 Dicembre (che e' OLTRE la fine del mese di Novembre), quando sono arrivato in ufficio e sono stato accolto da una caterva di mail di gente che non riusciva piu' ad accedere al sistema.

Ho cominciato un po' a preoccuparmi: quel sistema si appoggia su un paio di storage che sono piuttosto vecchi ed entrambi (produzione e backup) hanno diversi dischi fuori combattimento, dischi che non sono piu' disponibili. Stiamo cercando di spostare la roba su un altro paio di storage che sono decisamente non nuovi, ma meno vetusti (ed i dischi al momento funzionano tutti), ma le cose non sono cosi' semplici (mai). Quindi ho temuto che uno degli storage avesse dato forfait, ma no. Il problema e' che qualche cosa va male durante la connessione a servizi come SMTP ed IMAP.

Ma qualcuno faceva anche notare che funziona benissimo se usano 'pop.pincopallino' invece che 'smtp.pincopallino'. Ed il che mi ha dato una dritta, dato che 'pop' non punta al firewall ma ad un Proxy server che e' sotto la mia giurisdizione, mentre smtp punta al famoso firewall. E si', puoi usare pop.pincopallino per collegarti al servizio smtp. Basta specificare la porta giusta.

Ed un rapido controllo mi dice che il servizio funziona ed il firewall ritorna il certificato nuovo, ma al posto della normale catena di autenticazione ci sono altre copie dello stesso certificato. Il che mi dice che qualche cosa e' andato molto male durante l'installazione. Che e' stata fatta di straforo alle 17.30 di Martedi'. Ovviamente.

A questo punto ho accalappiato la persona 'On call' della giornata e gli ho detto di rimettere il certificato vecchio in produzione, che e' ancora buono per 15 giorni, e poi vedremo chi ha fatto la cazzata e non l'ha controllata.

E' risultato che il solito "change manager" ha visto che la cosa era andata oltre il tempo specificato e quindi ha deciso che la cosa migliore da fare era buttarla subito al primo posto della lista, se non che Martedi' ci sono state diverse cose che sono state "buttate al primo posto", e chi in effetti faceva le cose si e' ritrovato a fare il lavoro in fretta e furia alle 17.30. E non ha controllato un fico secco dopo averlo fatto (un "openssl s_client" avrebbe rivelato immediatamente il problema).

A questo punto, dato che tutti erano li' che si guardavano la punta delle scarpe, ho domandato "perche' STRACAZZO non posso avere un account pieno su quello STRACAZZO di firewall, cosi' queste faccende me le gestisco io direttamente che faccio anche prima".
 

Davide Bianchi
03/12/2025 10:19

Commenti

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

15 messaggi posta messaggio
Marco

Di Marco postato il 03/12/2025 11:58 - rispondi

Tu lo sai che quando avrai un account pieno sul firewall ne diventerai anche responsabile assoluto e colui cui vengono fatte tutte le richieste di modifica?

No, lo stipendio non cambierà.

-- Marco

Davide Bianchi

@ Marco Di Davide Bianchi postato il 04/12/2025 09:35 - rispondi

Tu lo sai che quando avrai un account pieno sul firewall ne diventerai anche responsabile assoluto e colui cui vengono fatte tutte le richieste di modifica?

Quel firewall e' usato da un solo cliente, quello che IO gestisco (praticamente), non ci sono modifiche che non vengano da me. Nessuno lo caga (entrambi, il firewall ed il cliente). Quindi mi sta benissimo di diventare il responsabile unico della cosa, perdo meno tempo a domandare modifiche che posso farmi da solo.

 

-- Davide Bianchi

gabriel pappalardo

Di gabriel pappalardo postato il 03/12/2025 13:36 - rispondi

Ma si davide, oramai i nuovi sistemisti non sanno neanche che cosa sia una riga di comandi, fanno tutto con le interfaccine webbe.

-- gabriel pappalardo

Davide Bianchi

@ gabriel pappalardo Di Davide Bianchi postato il 04/12/2025 09:37 - rispondi

Ma si davide, oramai i nuovi sistemisti non sanno neanche che cosa sia una riga di comandi, fanno tutto con le interfaccine webbe.

Che mi sta anche bene. Ma allora usala per davvero.

 

-- Davide Bianchi

Anonymous coward

Di Anonymous coward postato il 04/12/2025 08:54 - rispondi

Ciao, 

Avvisa il change manager:

https://www.sectigo.com/resource-library/sectigo-cab-reduce-ssl-tls-certificates-lifespan-47-days

-- Anonymous coward

Davide Bianchi

@ Anonymous coward Di Davide Bianchi postato il 04/12/2025 09:37 - rispondi

https://www.sectigo.com/resource-library/sectigo-cab-reduce-ssl-tls-certificates-lifespan-47-days

Si ma dal 2029. A quell'epoca saremo tutti migrati su let's encrypt con rinnovo automatico... alla faccia della grande sicurezza.

 

-- Davide Bianchi

Torre

@ Davide Bianchi Di Torre postato il 04/12/2025 10:14 - rispondi

Mi chiedevo, infatti, perché all'alba del 2025 si usi ancora qualcosa che non sia Let's Encrypt...

Solo per il fatto che ha una cosa che piace tanto ai clienti: è aggratis!

https://www.sectigo.com/resource-library/sectigo-cab-reduce-ssl-tls-certificates-lifespan-47-days

Si ma dal 2029. A quell'epoca saremo tutti migrati su let's encrypt con rinnovo automatico... alla faccia della grande sicurezza.

 

 

 

-- Torre

Davide Bianchi

@ Torre Di Davide Bianchi postato il 04/12/2025 11:56 - rispondi

Mi chiedevo, infatti, perché all'alba del 2025 si usi ancora qualcosa che non sia Let's Encrypt...

Solo per il fatto che ha una cosa che piace tanto ai clienti: è aggratis!

Il costo di un certificato, se hai un sito che non e' una cagata (tipo il mio) ma lo usi per qualche cosa di funzionale (webshop o altro), e' infinitesimo.

L'hosting, sviluppo, gestione etc. e' quello che costa di piu'. E se il sito ti rende dei soldi, il fatto di avere un certificato "garantito" che non ti scade cosi' rapidamente e' decisamente meglio.

Che poi Sectigo decida di fare una cosa, non vuole dire che tutti gli altri gli andranno dietro... Si vedra' tra un 3~4 anni cosa decidono di fare.

 

-- Davide Bianchi

Anonymous coward

@ Davide Bianchi Di Anonymous coward postato il 05/12/2025 09:23 - rispondi

 

Il costo di un certificato, se hai un sito che non e' una cagata (tipo il mio) ma lo usi per qualche cosa di funzionale (webshop o altro), e' infinitesimo.

L'hosting, sviluppo, gestione etc. e' quello che costa di piu'. E se il sito ti rende dei soldi, il fatto di avere un certificato "garantito" che non ti scade cosi' rapidamente e' decisamente meglio.

Che poi Sectigo decida di fare una cosa, non vuole dire che tutti gli altri gli andranno dietro... Si vedra' tra un 3~4 anni cosa decidono di fare.

Purtroppo non è solo sectigo, è una direttiva di ca/browser forum e tutte le certifcation authority si devono adeguare pena perdita della certificazione. Anche le varie aziende di waf, bilanciatori stanno adeguando i loro prodotti per integrare acme configurabile con tutte le ca. 

Se 200 giorni sono ancora sostenibili, per me già 100 non si tollerano senza un aggiornamento automatico:

Dal 15 marzo 2026, la durata massima di un certificato TLS sarà di 200 giorni.

Dal 15 marzo 2027, la durata massima di un certificato TLS sarà di 100 giorni.

Dal 15 marzo 2029, la durata massima di un certificato TLS sarà di 47 giorni.

A questo punto un certificato ssl a pagamento non ha differenza con un certificato gratuito. Anzi molti prodotti precedentemente mensionati sono già integrati da tempo solo con Let's encrypt. 

 

 

-- Anonymous coward

Riccardo Bisleri

Di Riccardo Bisleri postato il 04/12/2025 17:17 - rispondi

A me quando chiedo come mai lo stesso lavoro viene fatto bene una volta e male un altra dal nostro fornitore esterno mi rispondono: "Devi essere fortunato a trovare il tecnico furbo". Il che mi fa incazzare e di molto perchè io (o meglio il mio datore di lavoro) pago uguale sia quello furbo che quello scemo. Quindi o pago poco il furbo o tanto lo scemo e quindi

-- Riccardo Bisleri

Massimo M.

Di Massimo M. postato il 05/12/2025 12:17 - rispondi

"E non ha controllato un fico secco dopo averlo fatto"

capisco che sono le 17:30 e vuoi andare a casa, ma qui non si tratta di cattiva pianificazione, è che stai lavorando da cani.

Mi si può dire che la schedulazione era stressante, che ti arriva all'ultimo la richiesta, ma i lavori o li fai interamente, controllando che funzionino, o non li fai proprio e li rimandi al giorno dopo.

quel tizio sarebbe da prendere a calci.

-- Massimo M.

JaM

@ Massimo M. Di JaM postato il 10/12/2025 10:10 - rispondi

 

"Mi si può dire che la schedulazione era stressante, che ti arriva all'ultimo la richiesta, ma i lavori o li fai interamente, controllando che funzionino, o non li fai proprio e li rimandi al giorno dopo.

quel tizio sarebbe da prendere a calci.

 

Beh, dipende anche da quanto la volontà di farlo fosse sua o del manager di turno.

A me obbligarono a fare un rilascio in fretta e furia, e senza testing, al cliente il giorno prima di iniziare le mie ferie estive (3 settimane), progetto per cui ero l'unico a lavorarci ed a sapere come funzionavano le cose... (fortunatamente non ci furono problemi bloccanti, solo un paio di cosette minori)

-- JaM

Messer Franz

Di Messer Franz postato il 12/12/2025 10:57 - rispondi

Lieto di rivederti vivo per una storia da sala macchine, ma la prima cosa cui ho pensato è... BigD ha - mi pare - una decina di anni più di me (sono classe '76)... ormai dovrebbe essere prossimo alla pensione... come passerà la giornata senza nessun paguro a tormentarlo? Si annoierà tantissimo! Dovrà trovarsi un lavoro come sistemista* facendosi passare per giovanotto come Fantozzi che provava a farsi assumere per il posto di (vado a memoria) vicecorruttorelateralemafioso....

 

*che ti diverte di più, lo sappiamo tutti!

-- Messer Franz

Davide Bianchi

@ Messer Franz Di Davide Bianchi postato il 17/12/2025 07:13 - rispondi

Lieto di rivederti vivo

(toccapalle)

per una storia da sala macchine, ma la prima cosa cui ho pensato è... BigD ha - mi pare - una decina di anni più di me (sono classe '76).

esagerato... '69.

.. ormai dovrebbe essere prossimo alla pensione.

pensioche? ah, quella cosa che te la porta una Valkirya nuda su un unicorno d'oro... o roba cosi'?

.. come passerà la giornata senza nessun paguro a tormentarlo?

andando in giro in moto ovviamente! Ed i paguri all'inseguimento (ovviamente).

 

Davide

-- Davide Bianchi

Messer Franz

@ Davide Bianchi Di Messer Franz postato il 03/01/2026 20:06 - rispondi

>.. ormai dovrebbe essere prossimo alla pensione.

>pensioche? ah, quella cosa che te la porta una Valkirya nuda su un unicorno d'oro... o roba cosi'?

Nel caso, tieniti la valkiria e l'unicorno, che l'oro sale di continuo. E seduci la Valkiria facendole leggere il tuo sito e mostrando quanto sei con l'animo del letterato.

Se non funziona passa alla botta in testa con il suddetto unicorno, che deve pesare parecchio...

-- Messer Franz

15 messaggi posta messaggio

Precedente Successivo

Copyright

Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.

Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project Powered By Gigan