proposta: https reso facile anche in Altervista

[yapos2]

Metto qui questa proposta, perché non è (ancora) un malfunzionamento (lo diventerà quando i diversi browser riconosceranno come "validi" i siti in https e "sospetti" quelli in http, cioè a quanto pare entro il 2017).

Ho notato che su Altervista (dove ho sia un Blog che un Forum phpBB) è piuttosto macchinoso passare da http a https: attivazione CloudFlare, creazione di un Certificato digitale per il dominio di terzo livello (es: miosito.altervista.org), invio SMS, modifica di eventuali link interni al sito...

Ho altri siti e blog presso Google (domini es: miosito.blogspot.com, miosito.appspot.com), per i quali passare da http a https è stata questione di un click, senza modifiche al codice e senza attivazione di Certificati sui miei domini di terzo livello: semplicemente Google mette a disposizione i suoi Certificati per https sui suoi domini di secondo livello (il Certificato punta a: *.blogspot.com o *.appspot.com rispettivamente, sempre lo stesso per tutti).

Chiedo se non sarebbe utile, per tutti quegli utenti che non hanno la capacità tecnica o la voglia di sbattersi per passare da http a https, dare una funzionalità simile anche in Altervista? In aggiunta e non in alternativa a quanto già esistente.

Grazie se vorrete rispondere a questa mia proposta.

Cordiali saluti

[darkwolf]

In effetti l'uso di cloudflare per l'https sa di pezza. Non ho mai capito perché av non usi un certificato wild card da applicare a tutti i sottodomini e pace fatta (ok, costerebbe qualche centinaio di €l'anno, ma non penso sia un costo insormontabile).

[webpaul]

Tra l'altro ora si possono avere certificati https gratuiti con Let's Encrypt ( https://letsencrypt.org/ )

[darkwolf]

Ma anche letsencrypt non è così facilissimo (richiede un qualcosa che lo aggiorni periodicamente ecc... e anche il setup non èpoi cosìimmediato! io l'ho fatto e cpanel me lo aggiorna, giusto per avere una spalla nel caso in cui dovessi disabilitare cloudflare e per abilitare l'ssl strict, ma noioso, fidati!).
la cosa più semplice, imho, rimane un certificato wildcard per sotto-domini illimitati e pace fatta, ma se non l'hanno fatto avranno i loro motivi :P

[karl94]

Metto qui questa proposta, perché non è (ancora) un malfunzionamento (lo diventerà quando i diversi browser riconosceranno come "validi" i siti in https e "sospetti" quelli in http, cioè a quanto pare entro il 2017).

No, i browser non segnaleranno i siti in HTTP come sospetti.
I browser segnalano i siti in HTTP come non sicuri, perché è corretto: i siti in HTTP non sono sicuri come quelli in HTTPS. Ora, questo ovviamente non significa che i siti in HTTP sono pericolosi e quelli in HTTPS no. Significa solamente che se si sta navigando in un sito HTTP non è possibile avere la garanzia di autenticità, integrità e confidenzialità.
Ossia, il nostro browser non ha modo di verificare che i dati che invia e che riceve provengano effettivamente dal server che gestisce il dominio che puoi leggere nella barra degli indirizzi (autenticità), non ha modo di verificare che i dati scambiati con il server non vengano manomessi durante il transito da terzi (integrità), e tutti i dati vengono trasmessi in chiaro e quindi leggibili dai nodi per cui transitano.
Con l'HTTPS invece il traffico HTTP viene incapsulato all'interno di un tunnel TLS, che fornisce autenticità, integrità e confidenzialità.
L'autenticità viene verificata mediante un certificato X.509, che mediante la crittografia asimmetrica e il sistema di firma digitale delle Certificate Authority garantisce di poter identificare se si sta dialogando con il server responsabile di quel dominio.
L'integrità e la confidenzialità vengono invece assicurate dallo specifico cifrario simmetrico che il browser ed il server scelgono all'inizio di ogni connessione TLS.

L'HTTPS quindi consente di prevenire attacchi di tipo man in the middle o semplici intercettazioni passive dei dati dove l'attaccante non ha modo di modificare le comunicazioni in transito.

La spinta verso a connessioni cifrate dai maggiori produttori di browser la trovo del tutto normale: sempre più persone utilizzano Internet, e sempre più persone vi accedono mediante reti poco sicure e facilmente attaccabili. Collegarsi ad una rete Wi-Fi pubblica o di uno sconosciuto è un'operazione quotidiana ad esempio, e collegandosi a reti sconosciute ci si espone alla possibilità di attacchi come quelli che ho indicato prima.

Quindi, tutte le connessioni HTTP non sono sicure, ma è sempre stato così!
E non sicuro non significa pericoloso, un sito può essere pericoloso anche se viene visitato mediante protocollo HTTPS: un eventuale falla di sicurezza di un browser può venire sfruttata da un malintenzionato anche se si visitano solo pagine in HTTPS. In realtà con l'HTTPS possiamo sapere solo che la connessione al sito è sicura, non che il sito in sé sia sicuro o meno.

Ed è questo che stanno cercando di fare i produttori di browser: avere il maggior numero di connessioni possibile sicure, in modo che dati sensibili come password o numeri di carte di credito vengano trasmessi in maniera sicura.

Ho notato che su Altervista (dove ho sia un Blog che un Forum phpBB) è piuttosto macchinoso passare da http a https: attivazione CloudFlare, creazione di un Certificato digitale per il dominio di terzo livello (es: miosito.altervista.org), invio SMS

Non mi sembra così complesso: devi solo avere CloudFlare attivo (la maggior parte degli account lo ha già attivo), inviare un SMS per verificare la tua identità (se non l'hai già fatto per sbloccare le connessioni server to server), e attivare il servizio HTTPS.
Il certificato viene generato in automatico, non devi mica richiederlo a parte o altro.

modifica di eventuali link interni al sito...

Questa è necessariamente responsabilità di chi gestisce il sito: se l'hai creato in modo che non sia compatibile con l'HTTPS allora AlterVista non ti può aiutare qua, devi risolvere tu le incompatibilità.

Ho altri siti e blog presso Google (domini es: miosito.blogspot.com, miosito.appspot.com), per i quali passare da http a https è stata questione di un click, senza modifiche al codice e senza attivazione di Certificati sui miei domini di terzo livello: semplicemente Google mette a disposizione i suoi Certificati per https sui suoi domini di secondo livello (il Certificato punta a: *.blogspot.com o *.appspot.com rispettivamente, sempre lo stesso per tutti).

Continuo a non capire quali siano i problemi con il certificato: una volta che attivi il servizio HTTPS CloudFlare genera un certificato valido per i domini nomesito.altervista.org e *.nomesito.altervista.org. Qual è il problema?
Per quanto riguarda invece la compatibilità dell'applicativo, è normale che se forniscono l'HTTPS con un CMS specifico, allora non ci saranno particolari modifiche da apportare manualmente. A parte eventuali codici che hai inserito e puntano a risorse esterne in HTTP come ad esempio script JavaScript: quelli verranno automaticamente bloccati dai browser per sicurezza.

[yapos2]

@karl94 ti ringrazio per la lezioncina su https e IT security: sono cose di cui mi sono occupato professionalmente da circa 20 anni a questa parte. Magari potranno essere informazioni utili per altri utenti che non le conoscono, ma non spiegano perché (per esempio) io debba fornire il mio numero di cellulare a un servizio che "non conosco".

Vorrà dire che, quando vorrò dichiarare l'autenticità di quello che scrivo su un Blog, mi rivolgerò ad altri, come già faccio da tempo. Su Altervista manterrò cazzatine meno importanti e più facilmente hackerabili (in teoria).

Grazie comunque per il chiarimento. Ora so che queste cose da voi non cambieranno.

Ciao, ho visto il post e pensavo fosse opportuno chiedere qui. Ho attivato https con cloudflare però come ho letto sopra credo che non funzioni perché dovrei apportare modifiche al codice. Premettendo che io non ho scritto una riga di codice per creare il sito e abbia modificato tramite wordpress solamente, potresti specificare dove dovrei andare a modificare il codice e con cosa?

Scusate, vorrei attivare il protocollo https al mio sito in Altervista ma non ho capito dove mettere le mani per inviare questo sms a cloudflare. Il servizio è attivato ma non vedo richieste di invio sms.
Ringrazio per l'aiuto.

[nisinatura]

Buongiorno, ok, l'https è stato reso "facile" anche su altervista, peccato che mentre prima funzionasse tutto perfettamente, adesso noto più problemi che altro, il file .htaccess non reindirizza, anzi lo fa forse un po' troppo visto che finisco in loop di reindirizzamenti e non vedo la pagina.
Ma sopratutto abbiamo faticato parecchio per farci conoscere da Google con il risultato che adesso Google conosce abbastanza bene l'URL con ".ssl." ma che di fatto non porta da nessuna parte, visto che quell'url non esiste più...
Non era forse meglio lasciare il vecchio sistema a questo punto?

[peppelog]

Nel caso non l'aveste notato, visto che per quanto ne so non è stato annunciato: da qualche tempo https può essere abilitato anche senza cloudflare: usa un certificato firmato da Let's Encrypt invece che COMODO (come succede usando cloudflare) e funziona senza problema alcuno sull'indirizzo principale del sito tuonome.altervista.org, senza ssl.tuonome e altre soluzioni ineleganti. Grazie Admin! (ora dacci anche rsync, per favore <3)