Certificati let's encrypt. possiamo definirli standard de-facto?

Ho notato che sempre più portali web “vicini” ad agid e al Team utilizzano certificati ssl emessi da let’s encrypt.
E’ una buona cosa sicuramente.
Sarebbe bello avere un documento, una linea guida o qualcosa di simile per rendere i certificati emessi da let’s encrypt lo standard de-facto della PA italiana.

Che ne dite?

Ma cosa intendi per standard “de facto”? Un’Amministrazione deve essere libera di decidere qual’è il certificatore che gli dà più garanzie.

Spesso la differenza la fanno i servizi al contorno. Non è solo il mero certificato.

bhe non è quasi mai così: a me piacerebbe scegliere il gestore di telefonia…ma di fatto non posso perchè c’è una convenzione consip attiva, ad esempio.

Mi riferivo ovviamente ai certificati SSL-DV, dove sinceramente non si capisce la differenza tra uno gratuito di lets encrypt e uno a pagamento di una qualunque altra CA.

Poi ovvio, se la necessità è quella di dotarsi di un certificato EV… allora ci si rivolge al mercato.

Mai dire mai…

Anche per certificati SSL-DV potresti aver bisogno di servizi di rekeying o nuovi certificati con SAN diversi nel caso di wildcard certificate e allora un certificatore con un support di un certo peso fa la differenza. Soprattutto se chi gestisce lato IT queste cose ne sa poco di PEM, OpenSSL, PKCS#12 e PKI in generale. E la differenza la senti in giornate uomo buttate nel capire come fare le cose.

Poi voglio dire non è che stiamo parlando di 20K all’anno per un certificato. I costi oramai sono abbastanza contenuti. Ma capisco che la differenza la fa la grandezza della PA.

Comunque viva Let’s encrypt, intendiamoci.

1 Mi Piace

senza dubbio, hai ragione. Ma in molte realtà un certificato lets encrypt fa il suo sporco lavoro degnamente.

Può essere anche un modo per sensibilizzare sul problema.
Qui puoi trovare un report dettagliato sulla situazione http/https della PA italiana, del buon Antonio Prado.

https://www.prado.it/2014/11/27/https-zombies-among-italian-public-administrations-web-sites/

1 Mi Piace

I certificati emessi da Let’s Encrypt sono già standard de facto in una rilevante parte del web. Una raccomandazione de iure è invece sconsigliabile, giacché minerebbe il principio dell’interoperabilità che rende pressoché equivalenti tutti i certificati di identico livello.

Preferenze per una qualsiasi authority, benché animata dalla trasparenza e senza scopi di lucro, risultano ingiustificate.

1 Mi Piace

Non ho capito cosa intendi con questa frase. Potresti chiarirla?

grazie

Gli standard TLS/SSL consentono ai browser di trattare allo stesso modo qualunque certificato emesso da una certificate authority affidabile.

Norme e linee guida del settore pubblico dovrebbero basarsi sui suddetti standard, senza privilegiare alcuna certificate authority in particolare, neanche se dalle intenzioni indubbiamente lodevoli come Let’s Encrypt.

Sono invece pienamente giustificate raccomandazioni generiche e nel merito, quali ad esempio:

  • richiedere algoritmi di cifratura recenti e robusti;
  • adottare implementazioni verificate dei suddetti algoritmi;
  • preferire certificate authority senza fini di lucro;
  • configurare il rinnovo automatico dei certificati (ad es. mediante Certbot).

Ciascuna amministrazione sceglierebbe il fornitore valutando le proprie esigenze, i costi e i servizi di contorno.

Eventuali future alternative a Let’s Encrypt potrebbero affermarsi anche nel settore pubblico apportando nuova concorrenza senza che alcun documento ufficiale debba essere aggiornato.

Sentir definire SSL e TSL degli standard e non dei protocolli crittografici mi fa abbastanza strano…

Comunque sono d’accordo sul fatto che la PA deve poter scegliere il certificatore che più la garantisce. Sia per aspetti legati alla sicurezza che per la gestione del certificato. Ben vengano esperienze come let’s encrypt.

La domanda è: chi mai si prenderà la responsabilità di fare questa scelta e non invece di tutelarsi con un certificatore più blasonato?

Ma adesso sto diventando decisamente OT

Protocolli standard certo… ad es. RFC 5246 (IETF) e s.m.i.

CA a pagamento possono offrire assistenza, ma anche gratuità e automazione non sono da sottovalutare.
Fondamentale far sapere alle amministrazioni che l’opzione Let’s Encrypt esiste ed è più che valida.

Lo ritengo un ottimo punto e concordo con Lei. C’è da considerare l’aspetto della PA che non voglia “legarsi” da un punto di vista di immagine a “Let’s encrypt” o voglia :slight_smile: