• F
    Super User

    Ciao Sermatica,
    la considerazione che faccio è personale, oltre che tecnica: che senso ha avere un certificato ssl per un blog o un sito vetrina?
    La mia risposta è che non serve a una beatissima mazza...
    Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio).

    La verità è che il web è "governato" dallo strapotere di google... Tutto quello che vi dice di fare, voi lo fate a comando: sembrate una massa di pecore che seguono le indicazioni del pastore.

    Riagganciandomi ai problemi trattati in questo thread, da quando hanno acquisito Android non si sono mai preoccupati di sviluppare dei meccanismi che aggiornassero il sistema in modo automatico (vedi un comunissimo dist-upgrade in una derivata Debian).
    In definitiva, Android non è un sistema sicuro, ma solo un prodotto commerciale di largo consumo che espone gli utenti a grandissimi rischi!
    Quello che accade sui vecchi dispositivi è che non riconoscono i certificati root, vuoi perché sono scaduti o vuoi perché non sono presenti (per esempio, dubito che un vecchio dispositivo riconosca un certificato Let's Encrypt).

    Buona giornata!

    0
  • S
    User Attivo

    @francois007 said:

    Ciao Sermatica,
    che senso ha avere un certificato ssl per un blog o un sito vetrina?
    La mia risposta è che non serve a una beatissima mazza...
    Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio).

    Ciao,

    non sono d'accordo. Un blog a meno di essere un blog statico (tipo Jekyll e simili), e' probabile che richieda autenticazione per pubblicare post e gestire i contenuti in generale. Cosi' anche per un sito di e-commerce, a prescindere dall'uso di un payment gateway di terzi. In questi casi https per l'intero sito e' un must, perche' i cookies (se non flaggati "secure") viaggiano con tutte le http requests e dunque c'e' sempre la possibilita' di session hijacking se un utente e' per es. loggato ma si ritrova a vedere il sito in plaintext http, perche' magari https non viene imposto a causa di cattiva configurazione. Qualunque sia il caso, se ci sono dati sensibili in gioco e' bene configurare il sito perche' imponga HTTPS (non solo redirect automatico da HTTP, ma anche e soprattutto STS) e configurare cookies come secure giusto in caso... Per me' e' un bene che i maggiori players stiano muovendo Internet verso "https everywhere". In passato https rallentava i siti e c'erano problemi tipo con le CDN e cose di questo tipo, ma ormai questi problemi non sono piu' problemi in realta', anche considerando HTTP/2 (per il primo).

    0
  • M
    User Attivo

    @francois007 said:

    Ciao Sermatica, la considerazione che faccio è personale, oltre che tecnica: che senso ha avere un certificato ssl per un blog o un sito vetrina? La mia risposta è che non serve a una beatissima mazza... Non ha senso avere un certificato ssl nemmeno per un ecommerce, perché quasi tutti utilizzano dei gateway di pagamento di terze parti (PayPal, Skrill per esempio). La verità è che il web è "governato" dallo strapotere di google... Tutto quello che vi dice di fare, voi lo fate a comando: sembrate una massa di pecore che seguono le indicazioni del pastore. Ciao francois007, personalmente non mi trovo d'accordo con il tuo punto di vista perché HTTPS se configurato correttamente è l'unico modo per salvaguardare la privacy: non penso che sia suggeribile crittare la password con JavaScript per il login, o forse tu lo fai con i tuoi servizi? Non credo che vada bene nemmeno nell'ambito business per le ragioni dette da SkyLinx. Infine anche per siti teoricamente statici/vetrina se privi di HTTPS potrebbero far violare le leggi di qualche Governo con gravi conseguenze o magari pensi che sia un problema degli altri? E dico tutto questo guardandomi bene dai discorsi ideologici che purtroppo non sono rari nei tuoi post e che in parte ricordano quelli che faceva un collega circa vent'anni fa. Tra l'altro il tuo nome è abbastanza simile al suo, mentre sono sicuro che la Nazionalità coincida. Per inciso non mi pare che i tuoi server in firma siano dotati di HTTP2, ma tanto si sa se non è HHVM con non so che altro tutto il resto è male solo nel criticare gli altri senza vedere le proprie.

    0
  • F
    Super User

    Ciao SkyLinx,
    ripeto e ribadisco che sono punti di vista personali, sinceramente non saprei che farmene dei dati di login sniffati che non riconducono a nulla...

    @MenteLibera
    I miei servizi lasciamoli da parte per favore!

    0
  • B
    Super User

    L'errore è presente anche su semantica it ..pace per il dispositivo vecchio era ora di sostituirlo .... magari cambio anche il tablet e ne piglio uno decente ....

    0
  • sermatica
    Moderatore

    Direi che è una buona idea...oppure prova a vedere se c'è un aggiornamento di Android

    0
  • F
    Super User

    @bino1979 said:

    L'errore è presente anche su semantica it ..pace per il dispositivo vecchio era ora di sostituirlo .... magari cambio anche il tablet e ne piglio uno decente ....

    Perché non installi Firefox invece di spendere soldini inutilmente? Almeno per il momento...

    0
  • sermatica
    Moderatore

    Ciao
    Davo per scontato che aveva già provato con Chrome?

    0
  • F
    Super User

    Ciao Sermatica,
    mi pare che Chrome carica direttamente i certificati root di sistema, quindi continuerebbe ad avere lo stesso problema.
    Meglio fare dei test con Firefox, almeno per il momento, prima di passare all'acquisto di nuovi dispositivi.

    Purtroppo non esistono aggiornamenti di sistema per Android (ovvero avanzamenti di versione, tranne che per pochi modelli e su "gentile" concessione del produttore)...

    0
  • B
    Super User

    Anche aggiornando il sistema del vecchio cell tutto invetriato.... dai nuovi tutto ok invece

    0
  • S
    User Attivo

    Perchè stai usando Let's Encrypt su cPanel? cPanel di default installa i certificati gratuiti di Comodo, che sono molto più supportati, anche da vecchi dispositivi.

    EDIT: Scusami bino1979, ho confuso alcuni tuoi post con quelli di Sermatica, ignora quello che ho scritto sopra.

    0
  • sermatica
    Moderatore

    Ciao io uso Let's Encrypt perchè l'hosting mi ha installato quelli di default

    0
  • xlogic
    User Attivo

    Ho letto con interesse la discussione, tieni presente che se ricevi errore: err_cert_autoryti_invalid il certificato ssl ha problemi, quindi verifica con questo tool se è valido: https://sslanalyzer.comodoca.com/

    Ciao.

    0
  • sermatica
    Moderatore

    Ciao ho analizzato il mio ed è valido.

    0
  • xlogic
    User Attivo

    Hai analizzato il sito di bino1979 ? hai il link, giusto?

    Ciao.

    0
  • B
    Super User

    Ho controllato e risulta valido

    0
  • xlogic
    User Attivo

    ok, Ciao.

    0
  • S
    User Attivo

    @Sermatica said:

    Ciao io uso Let's Encrypt perchè l'hosting mi ha installato quelli di default

    Male, ma puoi sempre provare a chiedergli di cambiare.

    0
  • G
    User Newbie

    Offtopic, spostata domanda in nuova discussione: "Sono diventato HTTPS ma non per la serp di google"

    0
Effettua l'accesso per rispondere