Quote:
Originariamente inviato da Wikkle
Hai detto bene, VENDE. Di autorità che vendono certificati ce ne sono a bizzeffe. E quindi?
Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...
|
Aspetta, per prima cosa Let's Encrypt non funziona solo su linux, esistono implementazioni del protocollo ACME e relativi client anche in Powershell, es
https://github.com/ebekker/ACMESharp e
https://github.com/PKISharp/win-acme, ergo anche su Windows si può usare Let's Encrypt direttamente.
In secondo luogo occorrono 5 minuti 5 per configurare una qualsiasi distribuzione con Apache con dei virtualhost che agiscano da reverse proxy.
Apache agisce da endpoint https e inoltra tutte le richieste verso IIS in modo da semplice e trasparente, con in più tutti i vantaggi del caso, logging che IIS si sogna, rewrite che su IIS sono impossibili o richiedono sforzi sovrumani e tanto tanto tanto altro ancora.
Ci sono persino provider e cdn (es i servizi di Cloudflare) che forniscono gratuitamente servizi di endpoint https per stimolare l'uso del protocollo https.
Quote:
|
Di motivi per avere un sito in http ce ne sono e parecchi, in primis i miliardi di siti statici che non passano 1 sola informazione sensibile e ciò nonostante sono marchiati come NON SICURI, spavenatando inutilmente gli utenti poco esperti.
|
Quote:
Originariamente inviato da danieleg.dg
Probabilmente è stato un caso isolato, ma è già successo che nelle connessioni http sul wifi di un aereo veniva iniettata pubblicità nelle pagine.
|
Una decina di anni fa sarei stato d'accordo con voi, ma oggi non più.
L'equazione "sito statico=sito sicuro, semplice e innocuo" ormai non è più vera; le esigenze del design web, dei dispositivi e le richieste dei clienti sono tali per cui ormai persino le pagine statiche di cortesia sono diventate un'accozzaglia di javascript e framework che fanno tutto e il contrario di tutto.
Ecco perchè anche il progetto più banale ormai non può fare più a meno di garantire la comunicazione tra webserver e client, e questo può essere fatto solo con il protocollo https.
I casi di siti manomessi (e non parlo di xss o sql injection eh, manomissioni avvenute e applicabili anche ai siti statici) al fine di inserire javascript malevolo per fare tutto e il contrario di tutto (incluso mining di criptomonete) sono stati tanti e tanto clamorosi da aver smontato il paradigma di cui parlavo sopra.
Un'ultima nota, leviamoci dalla testa l'idea che solo i dati "sensibili" sono critici, ormai lo sono anche i dati "personali", e l'interpretazione generale ormai è che qualsiasi dato che permette di identificare l'utente è "personale", ergo anche associazione tra IP e dettagli del client, vedi GDPR.