Certificato ssl e fingerprint

[areagest]

premettendo di essere un po' a digiuno riguardo le tematiche di "security"..
vorrei sapere se fosse possibile ottenere un fingerprint del mio sito...

per intendersi..
eseguendo questo comando..
openssl s_client -connect altervista.org:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin | sed 's/:/ /g'
SHA1 Fingerprint=E4 CC B0 83 6F B0 85 0F 16 EB 4A 95 45 2F 46 F2 01 86 C4 69

ottengo il fingerprint di altervista..
costa che non posso ottenere dal mio sito...

openssl s_client -connect areagest.altervista.org:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin | sed 's/:/ /g'
unable to load certificate
4757665388:error:09FFF06C:PEM routines:CRYPTO_internal:no start line:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-22.200.4/libressl-2.6/crypto/pem/pem_lib.c:683:Expecting: TRUSTED CERTIFICATE


posso fare qualcosa?

grazie

[karl94]

Non puoi ricavare il fingerprint del certificato relativo al tuo sito in quel modo in quanto il server (nel tuo caso è quello di CloudFlare) richiede l'uso di SNI per sapere quale certificato presentare.
Ad ogni modo per cosa ti serve? Il certificato che ha rilasciato CloudFlare per il tuo sito scadrà a luglio, pertanto il fingerprint che otterresti sarebbe valido per pochi mesi. Per verificare che il certificato sia valido non ti serve il fingerprint.

[areagest]

Non puoi ricavare il fingerprint del certificato relativo al tuo sito in quel modo in quanto il server (nel tuo caso è quello di CloudFlare) richiede l'uso di SNI per sapere quale certificato presentare.
Ad ogni modo per cosa ti serve? Il certificato che ha rilasciato CloudFlare per il tuo sito scadrà a luglio, pertanto il fingerprint che otterresti sarebbe valido per pochi mesi. Per verificare che il certificato sia valido non ti serve il fingerprint.

Grazie per la risposta..
devo riuscire a far comunicare in https dei dispositivi esp8266 programmati con ide arduino..
il problema è che sia il bearssl che simili.. richiedono obbligatoriamente il fingerprint del sito.. o in connessione restituiscono un "emozionante" -1

[areagest]

è possibile in alternativa ottenere un certificato che non abbia bisogno di SNI?

[karl94]

Leggendo la documentazione mi risulta che BearSSL sia in grado di verificare la validità di un certificato a partire dai certificati delle CA.
Che codice stai usando?

[karl94]

è possibile in alternativa ottenere un certificato che non abbia bisogno di SNI?

No. Non è il certificato che richiede l'uso di SNI, serve al server per sapere quale certificato presentare.

[areagest]

No. Non è il certificato che richiede l'uso di SNI, serve al server per sapere quale certificato presentare.

si perdona la gaf, volevo dire.. sarebbe possibile ottenere un certificato dedicato?

Leggendo la documentazione mi risulta che BearSSL sia in grado di verificare la validità di un certificato a partire dai certificati delle CA.
Che codice stai usando?

come gia detto al primo post.. sono a quasi completo digiuno in materia..
..quindi mi attacco ad analizzare dei codici scritti su progetti arduino.. e provo a riprodurli con il medesimo ide..
con httpd riuscivo a collegarmi e fare determinate azioni .. ma solo in http.
sono incappato in questo problema durante i tentativi di migrazione a https...

[karl94]

Riporta il codice che stai provando a far funzionare.

[areagest]

Riporta il codice che stai provando a far funzionare.

https://pastebin.com/bmkm0W46

[areagest]

up ...

[alemoppo]

Sbaglio o in quel codice non vedo traccia di BearSSL? Dovresti trovare del materiale qui, o meglio su GitHub.

Ciao!

[karl94]

Prova a seguire questi esempi:
https://github.com/esp8266/Arduino/b....ino#L158-L203
https://github.com/esp8266/Arduino/b...ACertAxTLS.ino

[areagest]

Thanks for your replies!
i'm gonna to test it out asap.