Forum in HTTPS [reply]

[conraid]

Abbiamo impostato il forum in modo che funzioni in HTTPS.
La cosa è ancora in fase di testing, se notate problemi ed anomalie segnalatecele.

Grazie

[ZeroUno]

Rispondo quì perchè su Annunci non è possibile rispondere ai post.

Abbiamo impostato il forum in modo che funzioni in HTTPS.

Ok il CONSENTIRE l'https, ma non vedo il motivo di FORZARLO ad HTTPS.

La cosa è ancora in fase di testing, se notate problemi ed anomalie segnalatecele.

Si, uno: il certificato è self-signed!!
In firefox metti l'eccezione e buonanotte.
Internet Explorer.... beh, IE non esiste
Chrome però ti dice ogni volta che il certificato non è valido e che stai andando su un sito potenzialmente insicuro, il che non essendo vero, è solo una scocciatura!!

[conraid]

Rispondo quì perchè su Annunci non è possibile rispondere ai post.

ops... ok continuiamo tutti qui

Abbiamo impostato il forum in modo che funzioni in HTTPS.

Ok il CONSENTIRE l'https, ma non vedo il motivo di FORZARLO ad HTTPS.

così evitiamo i link non protetti, magari uno pensa di essere in https e non lo è.
Ma come detto siamo in fase di testing, non è detto che rimanga così

La cosa è ancora in fase di testing, se notate problemi ed anomalie segnalatecele.

Si, uno: il certificato è self-signed!!
In firefox metti l'eccezione e buonanotte.
Internet Explorer.... beh, IE non esiste
Chrome però ti dice ogni volta che il certificato non è valido e che stai andando su un sito potenzialmente insicuro, il che non essendo vero, è solo una scocciatura!!

Beh sì, se ci trovate una autority a basso costo ben venga. Ca-cert.org non va bene, anche quella non è considerata valida da alcuni browser e quindi saremmo con lo stesso "problema".
Comunque mi sembra eccessivo per noi prendere un certificato da una autority, alla fine molti siti, anche di quelli "grandi e famosi" fanno la stessa cosa che abbiamo fatto noi

[ZeroUno]

Abbiamo impostato il forum in modo che funzioni in HTTPS.

Ok il CONSENTIRE l'https, ma non vedo il motivo di FORZARLO ad HTTPS.

così evitiamo i link non protetti, magari uno pensa di essere in https e non lo è.[/quote]
Che intendi per link non protetti?
Le pagine che richiedono https sono due: quella di login e quella di registrazione!

Sono tanti i siti, pure quelli importanti, talvolta bancari, che hanno solo il form di login e poco altro in https e il resto in http.

Beh sì, se ci trovate una autority a basso costo ben venga. Ca-cert.org non va bene, anche quella non è considerata valida da alcuni browser e quindi saremmo con lo stesso "problema".
Comunque mi sembra eccessivo per noi prendere un certificato da una autority, alla fine molti siti, anche di quelli "grandi e famosi" fanno la stessa cosa che abbiamo fatto noi

Concordo che un certificato costa (lavoro nel campo e un certificato generato non da una ca mondiale ma da una sua derivata e quindi trustata come valida, lo paghiamo 1000€)
Il problema è che TU che sei il sistemista del server, e IO che lavoro nel settore, e QUALCUN'altro che intuisce anche se non la sa tutta, sappiamo benissimo che un self-signed può proteggere paradossalmente più di un certificato valido (quello valido solitamente cifra al massimo a 2kbit, uno selfsigned lo puoi far cifrare anche a 10kbit, tanto non lo paghi di più); ma tutto il resto della cittadinanza mondiale (anche se sono utenti linux) vede una barra rossa e una pagina di avvertimento rosso sangue, si spaventa e non viene più!
Inoltre in questo modo non puoi impostare slacky come home perchè invece di vederti i post ti vedresti la schermata rossa finchè non clicchi su accetta, e la cosa è alquanto irritante!
Per questo non vedevo l'utilità di un https.
Io tempo fa presi da C.O.M.O.D.O. (mi sembra) un certificato valido (ca presente in tutti i browser) gratis per 6 mesi, ma non credo sia il caso.
EDIT: uno buono 3 mesi (solo 3, non 6) è meglio comunque di un selfsigned perchè l'utente si vede leggere a schermo "certificato scaduto" e non "certificato invalido" e cose peggiori.

[ZeroUno]

Non so se è vero o no, ma sembra che su http://www.affirmtrust.com danno certificati gratis validi 3 anni. Su chromium vedo la ca trustata. Una occhiata gliela darei. Dopo i 3 anni si vedrà.

Su COMODO un Essential SSL costa 80€/anno (sconti se acquistato per più anni).
Godaddy 49$/anno.

[zoros]

2 cose:
- la schermata di seamonkey o di firefox che ti segnala di diffidare del sito è veramente terrificante, ti passa la voglia di accettare il certificato ...
- da alcuni giorni kmail mi dice che dal pop di slacky.it il certificato non è valido ... ma quale certificato, visto che la connessione a pop3 è quella normale in chiaro?


EDIT: il messaggio di errore per il pop è il seguente:

L'indirizzo IP dell'host pop3.slacky.it non coincide con quello per cui è stato rilasciato il certificato.

ma il certificato sembra provenire da Aruba.it ... nella configurazione del pop, in "Cifratura" kmail si è settato su:

Utilzza TLS per lo scaricamento sicuro della posta

...
ho messo "Cifratura --> Nessuno" e lo scaricamento non da più errori ... può essere un problema di Aruba.it, altri account di posta Aruba, prima in chiaro ora TLS per prova, ricevono senza errori

[conraid]

Non so se è vero o no, ma sembra che su http://www.affirmtrust.com danno certificati gratis validi 3 anni. Su chromium vedo la ca trustata. Una occhiata gliela darei. Dopo i 3 anni si vedrà.

quando chiedi un certificato free...

We are launching soon and will notify you when AffirmSecureTM SSL is available. Just fill out our form below and we will send you an email on the day we launch. We look forward to providing you with free ssl certificates very soon!

ho messo la mail in modo che ci avvisino. Per l'acquisto dovremmo discuterlo in assemblea mi sa.

@zoros
per il pop non so, forse è dovuto al fatto che a quel dominio è abbinata anche la posta certificata, ma non saprei.
sì, è su aruba slacky.it

[conraid]

Le pagine che richiedono https sono due: quella di login e quella di registrazione!

Sono tanti i siti, pure quelli importanti, talvolta bancari, che hanno solo il form di login e poco altro in https e il resto in http.

ora ho forzato solo ucp.php che comprende login, registrazione, etc... il resto è accessibile sia in http sia in https
ditemi però se va bene, cioè se i dati passano criptati in modo corretto

[zoros]

ho fatto un paio di giri (login, ri-login, ecc.) e sembra ok ... io direi che, se l'accesso è inizialmente in chiaro, potrebbero essere sufficienti delle spiegazioni (in modo che la gente non prenda paura ) ... l'idea di https non è male (visto che su phpBB la pw passa in chiaro), però io lascerei comunque la possibilità di scegliere anche sul login ... molto bello invece sarebbe poter criptare le assemblee, lì mi sembrerebbe molto professionale il tutto

EDIT:

...
@zoros
per il pop non so, forse è dovuto al fatto che a quel dominio è abbinata anche la posta certificata, ma non saprei.
sì, è su aruba slacky.it

sembra proprio un problema Aruba-TLS vs kmail, l'errore appare, ad intermittenza, anche su altri miei account Aruba ... tutto ok se lascio cifratura=nessuno

[aschenaz]

Un pacchetto base (ma che per Slacky potrebbe essere sufficiente...) sull'hosting che ho preso io lo danno a $ 14,99 l'anno...

[conraid]

Non so se è vero o no, ma sembra che su http://www.affirmtrust.com danno certificati gratis validi 3 anni. Su chromium vedo la ca trustata. Una occhiata gliela darei. Dopo i 3 anni si vedrà.

Su COMODO un Essential SSL costa 80€/anno (sconti se acquistato per più anni).
Godaddy 49$/anno.

http://www.godaddy.com/Compare/gdcompar ... cytype=EUR
vedo che il primo anno c'è l'offerta buona, mmm

[zoros]

Offtopic: @Conraid, già che sei in zona, approfitto: non hai mai risposto a questo

[conraid]

Offtopic: @Conraid, già che sei in zona, approfitto: non hai mai risposto a questo

ti ho risposto di la

[ZeroUno]

Offtopic: questo

ecco là che cominciano i problemi http/https
Il link citato è in https, così ora siamo costretti a non poter disattivare l'https altrimenti diventerebbe un broken link!!

Per quanto riguarda godaddy va considerato che se quest'anno sono 9$ il prossimo ne sono almeno 40.
Però va anche considerato che quest'anno abbiamo avuto un bello sconto sulle spese del server, vero?

[EmaDaCuz]

Io ho un problema. Non riesco ad andare alla pagina principale del forum dopo aver visitato una sezione. Ed analogamente non riesco a ritornare alla sezione dopo che ho visitato un topic.
Succede con Chrome su Windows 7, OSX 10.6 e Arch e con Firefox su OSX 10.6