|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: https://www.hwupgrade.it/news/sicure...tps_74528.html
Ben 23 mila chiavi crittografiche di altrettanti certificati TSL sono state inviate dal CEO di Trustico ad un partner, rendendole automaticamente compromesse Click sul link per visualizzare la notizia. |
![]() |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 5263
|
Email o non email, a me pare che tutto il discorso si basi sul fatto che il venditore possiede copia delle chiavi dei clienti.
A questo punto dovremmo leggere sui siti "certificato da ABC e/o modificato da ABC"... |
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
|
Ci vorrebbe una bella blockchain per creare un sistema trustless.
|
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
|
L'errore è sempre umano...
|
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Mar 2009
Città: Londonistan
Messaggi: 9752
|
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
__________________
"If a politician is not allowed to criticize an ideology anymore this means that we are lost, and it will lead to the end of our freedom" - Geert Wilders La mia Nuova e Possente Gloriosa Macchina da Guerra |
![]() |
![]() |
![]() |
#6 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 12634
|
Quote:
![]()
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
★ Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 ★ Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb ★ ★ Google Pixel 8 pro ★ iPhone 15 plus ★ Canon EOS 600D ★ Sony DSC-RX100 ★ |
|
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
no.
altrove si legge che trustico (venditore) voleva far revocare le chiavi a digicert (generatore), ma visto che digicert correttamente ha risposto che solo i clienti di trustico potevano far revocare i certificati, a meno che non fossero compromessi, allora per forzare la mano trustico ha mandato in chiaro le chiavi private x email (APPOSTA, non per errore, non per caso) in modo che queste dovessero per forza essere considerate compromesse da digicert. insomma, mi pare trustico sia il top della scorrettezza nei confronti dei propri clienti. fossero idioti sarebbe una cosa, ma qui hanno compromesso APPOSTA (mandandole in giro per mail) le chiavi dei loro clienti per loro motivi commerciali. invece non ho ben capito la frase "decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi."... ma mi sembra anche più preoccupante...
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) Ultima modifica di zappy : 04-03-2018 alle 09:01. |
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
|
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
|
![]() |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Jul 2006
Messaggi: 810
|
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...
e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc... Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti... tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto) |
![]() |
![]() |
![]() |
#10 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 12634
|
Quote:
Hai totalmente ragione, felice che qualcuno l'abbia capito!! L'unica cosa in cui spero è che ci sia una class action e una forte multa per questa cosa... Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile... Ovviamente questa "imposizione" per esser gentile nel definirla... crea problemi e menate a internet provider di piccole dimensioni, web designer, web master ecc... Quindi le zuppe per i lavoratori web e tempo perso che dovranno usare verso i loro clienti per spiegare bene le cose... ma i guadagni per google? Secondo voi è corretto?
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
★ Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 ★ Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb ★ ★ Google Pixel 8 pro ★ iPhone 15 plus ★ Canon EOS 600D ★ Sony DSC-RX100 ★ Ultima modifica di Wikkle : 05-03-2018 alle 11:17. |
|
![]() |
![]() |
![]() |
#11 | |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 21673
|
Quote:
![]() ![]() il problema non è l'immutabilità del dato il problema li è il servizio della CA (ovvero la società che associa la tua identità reale alla tua coppia di chiavi asimettriche) certo puoi sempre inviare via raccomandata una copia della tua chiave e della tua carta di identità a 3.8 miliardi di persone (50%+1 della popolazione mondiale) così potresti usare una CA basata su blockchain al costo di una finanziaria di uno stato medio piccolo ![]() ![]()
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
|
![]() |
![]() |
![]() |
#12 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 10333
|
Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.
![]() NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co. Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generare un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato. Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata. Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key. Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati. PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.
__________________
Le mie 80+ Trattative del Mercatino Vendo: Case Koolink midtower con pannelli fonoassorbenti Ultima modifica di WarSide : 05-03-2018 alle 12:02. |
![]() |
![]() |
![]() |
#13 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 5263
|
Quote:
Non so niente di certificati SSL, ma se si tratta di un sistema a chiavi asimmetriche, la chiave privata non si crea appunto in locale? Che bisogno c'è di comprare una chiave privata da altri? Devono solo certificare la tua chiave/firma pubblica! |
|
![]() |
![]() |
![]() |
#14 |
Senior Member
Iscritto dal: Dec 1999
Messaggi: 5320
|
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).
Poi si, avete ragione su tutto il resto, probabilmente. By(t)e P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile" marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..." Ultima modifica di andbad : 05-03-2018 alle 13:38. |
![]() |
![]() |
![]() |
#15 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 10333
|
Quote:
Magari lo hanno anche generato in automatico assieme alla private key ![]()
__________________
Le mie 80+ Trattative del Mercatino Vendo: Case Koolink midtower con pannelli fonoassorbenti |
|
![]() |
![]() |
![]() |
#16 | |
Senior Member
Iscritto dal: Jun 2011
Messaggi: 895
|
Quote:
Sì, ok, ne hanno fornito uno nuovo gratis, ma dubito che la fiducia torni così facilmente. |
|
![]() |
![]() |
![]() |
#17 | |
Senior Member
Iscritto dal: Dec 1999
Messaggi: 5320
|
Quote:
![]() By(t)e
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile" marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..." |
|
![]() |
![]() |
![]() |
#18 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 10333
|
Sono da denuncia. Altro che omaggio.
__________________
Le mie 80+ Trattative del Mercatino Vendo: Case Koolink midtower con pannelli fonoassorbenti |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:04.