• Super User

    Ciao ragazzi, mi intrufolo in questa discussione e cercherò di fare un pò di chiarezza.
    Innanzi tutto non è un problema di Aruba, del server o di altra natura: è un problema comune dei browser per dispositivi mobili.
    Se si sta utilizzando il browser di sistema (Android per intenderci) e la versione del sistema operativo è precedente alla 4, non sono presenti i certificati ssl aggiornati (sono i certificati root presenti, in un sistema Linux, nella cartella /etc/ssl oppure in /etc/security/cacerts).
    Prova a installare Firefox per dispositivi mobile, questo browser utilizza gli ultimi certificati root aggiornati che non dipendono affatto da quelli di sistema.

    Good hacking.


  • Moderatore

    Ciao,
    se è così chi ha un telefono "vecchio" sarà abituato a quegli errori e quindi non sarà un problema.

    Ma sono ancora in dubbio. Innanzitutto non capisco il senso di programmare un sito in .net ( ameno che non ci sia un gestionale "Windows" dietro il sito. Poi Bino ti invito a prendere una di questi cellulari che da errore e fare il test con il tuo sito e con il mio in firma e vedere se da errore da entrambi o solo dal tuo.
    Fammi sapere.


  • Super User

    Ciao Sermatica,
    la considerazione che faccio è personale, oltre che tecnica: che senso ha avere un certificato ssl per un blog o un sito vetrina?
    La mia risposta è che non serve a una beatissima mazza...
    Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio).

    La verità è che il web è "governato" dallo strapotere di google... Tutto quello che vi dice di fare, voi lo fate a comando: sembrate una massa di pecore che seguono le indicazioni del pastore.

    Riagganciandomi ai problemi trattati in questo thread, da quando hanno acquisito Android non si sono mai preoccupati di sviluppare dei meccanismi che aggiornassero il sistema in modo automatico (vedi un comunissimo dist-upgrade in una derivata Debian).
    In definitiva, Android non è un sistema sicuro, ma solo un prodotto commerciale di largo consumo che espone gli utenti a grandissimi rischi!
    Quello che accade sui vecchi dispositivi è che non riconoscono i certificati root, vuoi perché sono scaduti o vuoi perché non sono presenti (per esempio, dubito che un vecchio dispositivo riconosca un certificato Let's Encrypt).

    Buona giornata!


  • User Attivo

    @francois007 said:

    Ciao Sermatica,
    che senso ha avere un certificato ssl per un blog o un sito vetrina?
    La mia risposta è che non serve a una beatissima mazza...
    Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio).

    Ciao,

    non sono d'accordo. Un blog a meno di essere un blog statico (tipo Jekyll e simili), e' probabile che richieda autenticazione per pubblicare post e gestire i contenuti in generale. Cosi' anche per un sito di e-commerce, a prescindere dall'uso di un payment gateway di terzi. In questi casi https per l'intero sito e' un must, perche' i cookies (se non flaggati "secure") viaggiano con tutte le http requests e dunque c'e' sempre la possibilita' di session hijacking se un utente e' per es. loggato ma si ritrova a vedere il sito in plaintext http, perche' magari https non viene imposto a causa di cattiva configurazione. Qualunque sia il caso, se ci sono dati sensibili in gioco e' bene configurare il sito perche' imponga HTTPS (non solo redirect automatico da HTTP, ma anche e soprattutto STS) e configurare cookies come secure giusto in caso... Per me' e' un bene che i maggiori players stiano muovendo Internet verso "https everywhere". In passato https rallentava i siti e c'erano problemi tipo con le CDN e cose di questo tipo, ma ormai questi problemi non sono piu' problemi in realta', anche considerando HTTP/2 (per il primo).


  • User Attivo

    @francois007 said:

    Ciao Sermatica, la considerazione che faccio è personale, oltre che tecnica: che senso ha avere un certificato ssl per un blog o un sito vetrina? La mia risposta è che non serve a una beatissima mazza... Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio). La verità è che il web è "governato" dallo strapotere di google... Tutto quello che vi dice di fare, voi lo fate a comando: sembrate una massa di pecore che seguono le indicazioni del pastore. Ciao francois007, personalmente non mi trovo d'accordo con il tuo punto di vista perché HTTPS se configurato correttamente è l'unico modo per salvaguardare la privacy: non penso che sia suggeribile crittare la password con JavaScript per il login, o forse tu lo fai con i tuoi servizi? Non credo che vada bene nemmeno nell'ambito business per le ragioni dette da SkyLinx. Infine anche per siti teoricamente statici/vetrina se privi di HTTPS potrebbero far violare le leggi di qualche Governo con gravi conseguenze o magari pensi che sia un problema degli altri? E dico tutto questo guardandomi bene dai discorsi ideologici che purtroppo non sono rari nei tuoi post e che in parte ricordano quelli che faceva un collega circa vent'anni fa. Tra l'altro il tuo nome è abbastanza simile al suo, mentre sono sicuro che la Nazionalità coincida. Per inciso non mi pare che i tuoi server in firma siano dotati di HTTP2, ma tanto si sa se non è HHVM con non so che altro tutto il resto è male solo nel criticare gli altri senza vedere le proprie.


  • Super User

    Ciao SkyLinx,
    ripeto e ribadisco che sono punti di vista personali, sinceramente non saprei che farmene dei dati di login sniffati che non riconducono a nulla...

    @MenteLibera
    I miei servizi lasciamoli da parte per favore!


  • Super User

    L'errore è presente anche su semantica it ..pace per il dispositivo vecchio era ora di sostituirlo .... magari cambio anche il tablet e ne piglio uno decente ....


  • Moderatore

    Direi che è una buona idea...oppure prova a vedere se c'è un aggiornamento di Android


  • Super User

    @bino1979 said:

    L'errore è presente anche su semantica it ..pace per il dispositivo vecchio era ora di sostituirlo .... magari cambio anche il tablet e ne piglio uno decente ....

    Perché non installi Firefox invece di spendere soldini inutilmente? Almeno per il momento...


  • Moderatore

    Ciao
    Davo per scontato che aveva già provato con Chrome?


  • Super User

    Ciao Sermatica,
    mi pare che Chrome carica direttamente i certificati root di sistema, quindi continuerebbe ad avere lo stesso problema.
    Meglio fare dei test con Firefox, almeno per il momento, prima di passare all'acquisto di nuovi dispositivi.

    Purtroppo non esistono aggiornamenti di sistema per Android (ovvero avanzamenti di versione, tranne che per pochi modelli e su "gentile" concessione del produttore)...


  • Super User

    Anche aggiornando il sistema del vecchio cell tutto invetriato.... dai nuovi tutto ok invece


  • User Attivo

    Perchè stai usando Let's Encrypt su cPanel? cPanel di default installa i certificati gratuiti di Comodo, che sono molto più supportati, anche da vecchi dispositivi.

    EDIT: Scusami bino1979, ho confuso alcuni tuoi post con quelli di Sermatica, ignora quello che ho scritto sopra.


  • Moderatore

    Ciao io uso Let's Encrypt perchè l'hosting mi ha installato quelli di default


  • User Attivo

    Ho letto con interesse la discussione, tieni presente che se ricevi errore: err_cert_autoryti_invalid il certificato ssl ha problemi, quindi verifica con questo tool se è valido: https://sslanalyzer.comodoca.com/

    Ciao.


  • Moderatore

    Ciao ho analizzato il mio ed è valido.


  • User Attivo

    Hai analizzato il sito di bino1979 ? hai il link, giusto?

    Ciao.


  • Super User

    Ho controllato e risulta valido


  • User Attivo

    ok, Ciao.


  • User Attivo

    @Sermatica said:

    Ciao io uso Let's Encrypt perchè l'hosting mi ha installato quelli di default

    Male, ma puoi sempre provare a chiedergli di cambiare.