+ Rispondi alla Discussione
Risultati da 1 a 8 di 8

Certificato https let's encrypt vs certificati https a pagamento differenze

Ultimo Messaggio di guadagnaeuro il:
  1. #1
    User Attivo
    Data Registrazione
    Sep 2006
    Località
    Messina
    Messaggi
    2,986

    Certificato https let's encrypt vs certificati https a pagamento differenze

    Buonasera

    Faccio una domanda a cui ho ricevuto risposta praticamente opposte.

    Che differenze ci sono tra il certificato https gratuito let's encrypt (o altro certificato gratuito) e i certificati a pagamento (alcuni costano davvero tanto).

    Mi interessa proprio sapere per un sito internet cosa cambia ?

    Un programmatore abbastanza esperto mi ha detto che a suo parere è la stessa idendica cosa e dunque ritiene piu che sufficiente un certificato https let's encrypt per qualsiasi sito internet.

    Diversamente ho letto altri articoli che parlano che i certificati a pagamento prevedono anche un indennizzo e tutelano in maniera piu elevata.

    Ho visto su internet anche vari ecommerce che utilizzano let's encrypt dunque mi chiedo quali sono le differenze rispetto un certificato a pagamento e se realmente conviene spendere il prezzo per un certificato a pagamento quando ne esistono alcuni gratuiti che sembrerebbe svolgano le medesime funzioni.

    Ringrazio per i pareri
    SUPERADV.COM Affiliazione Per Siti Internet - ADVHITS.COM Pubblicità Per Siti

  2. #2
    hub
    hub è offline
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    775
    Citazione Originariamente Scritto da guadagnaeuro Visualizza Messaggio
    Un programmatore abbastanza esperto mi ha detto che a suo parere è la stessa idendica cosa e dunque ritiene piu che sufficiente un certificato https let's encrypt per qualsiasi sito internet.
    Ciao, detto proprio terra terra, se hai un sito web vetrina, o un blog e nessun'area utenti Let's Encrypt è più che sufficiente, non devi preoccuparti di aspetti tecnici particolari, per esempio si rinnova automaticamente e non devi avere un indirizzo IP dedicato, ed è ovviamente gratuito.

    Se hai ad esempio un ecommerce quindi un'area utenti, pagamenti online, etc, è decisamente consigliabile un certificato di livello superiore e personalmente non sono per niente d'accordo con quanto ti ha detto il programmatore, i certificati non sono tutti uguali e la scelta dipende dalla tipologia di sito, web app, etc.

    Nei certificati commerciali poi ci sono ulteriori livelli, ad esempio i Wildcard, i Greeen Bar di livello superiore di sicurezza e che mostrano il nome dell'azienda nella barra indirizzi del browser, nello spazio che mostra la presenza del certificato, esempio: https://www.paypal.com/it/home/

  3. #3
    Utente Premium
    Data Registrazione
    Nov 2018
    Località
    Ragusa
    Messaggi
    220
    Aggiungi flaviors200 su Google+ Aggiungi flaviors200 su Facebook Aggiungi flaviors200 su Linkedin
    Ciao,

    esistono tre tipologie di certificati:

    • Certificati DV (Domain Validated), che certificano solamente il dominio e il cui rilascio da parte della CA avviene in poco tempo (di solito 1 ora o anche molto meno). Un certificato Let's Encrypt rientra in questa tipologia.
    • Certificati OV (Organization Validated), che certificano sia il dominio che l'organizzazione che ne fa richiesta. Richiedono più tempo per essere rilasciati rispetto ai DV, credo 1 giorno massimo.
    • Certificati EV (Extended Validation), che certificano sia il dominio che l'organizzazione e mostrano una barra verde con il nome dell'azienda. Richiedono diversi giorni per essere rilasciati, in quanto la CA deve effettuare diverse verifiche.

    Dal punto di vista della sicurezza intesa come integrità dei dati e invio degli stessi in forma crittografata, non cambia nulla tra un DV o un EV. Quello che cambia è la sicurezza che dai al visitatore, in quanto un DV può richiederlo chiunque (pure un malintenzionato) e certifica solo il dominio, d'altra canto per richiedere un EV ci vogliono diversi giorni perché devi dimostrare chi dici di essere tramite un'ampia documentazione. Inoltre agli utenti viene mostrata una barra verde, sinonimo di garanzia e affidabilità.

    Va da se che un DV è indicato per la maggior parte dei siti (tipo blog personali) e un OV o EV per eCommerce o azienda.

    Un'altro punto forse trascurato da molti è la configurazione SSL del server che ospita il tuo sito.

    Infatti la sicurezza di un certificato SSL dipende anche dalla forza dell'algoritmo utilizzato per crittografare i messaggi scambiati tra utente e sito web. Per questo sarebbe opportuno abilitare TLS a partire dalla versione 1.2 e disabilitare completamente SSL, in quanto utilizza algoritmi di cifratura vulnerabili. Se il server lo gestisci tu, la configurazione è a carico tuo, mentre se hai un hosting dovrebbe occuparsene il provider.


    Questo tool gratuito offre un modo veloce per verificare la configurazione e l'installazione del certificato https://www.ssllabs.com/ssltest/

    Un ultimo punto da tenere in considerazione, e che riguarda chi gestisce un eCommerce (o un booking engine) con salvataggio o invio di carte di credito, è la conformità PCI-DSS. Non entro troppo nel merito della questione, però in breve il discorso è questo: se gestisci (salvataggio o invio) carte di credito sul tuo sito, allora devi dimostrare che hai effettuato tutti i controlli del caso per mettere in sicurezza tali dati.

    Un esempio di provider che offre servizi di booking engine e channel manager con gestione carte di credito, è WuBook. Se vai sul loro sito noterai sia la barra verde, che sta ad indicare la presenza di un certificato EV, sia la certificazione PCI-DSS (in basso nel footer).

    Sul discorso della garanzia (warranty) offerta da chi rilascia il certificato non saprei dirti, non mi sono mai documentato in merito.
    Sviluppo siti web dinamici e gestionali | Flaviobiscaldi.it

  4. #4
    Esperto L'avatar di giuseppemorelli
    Data Registrazione
    Dec 2016
    Località
    Riccione
    Messaggi
    39
    Segui giuseppemorelli su Twitter Aggiungi giuseppemorelli su Linkedin
    Citazione Originariamente Scritto da flaviors200 Visualizza Messaggio
    Ciao,

    esistono tre tipologie di certificati:

    • Certificati DV (Domain Validated), che certificano solamente il dominio e il cui rilascio da parte della CA avviene in poco tempo (di solito 1 ora o anche molto meno). Un certificato Let's Encrypt rientra in questa tipologia.
    • Certificati OV (Organization Validated), che certificano sia il dominio che l'organizzazione che ne fa richiesta. Richiedono più tempo per essere rilasciati rispetto ai DV, credo 1 giorno massimo.
    • Certificati EV (Extended Validation), che certificano sia il dominio che l'organizzazione e mostrano una barra verde con il nome dell'azienda. Richiedono diversi giorni per essere rilasciati, in quanto la CA deve effettuare diverse verifiche.

    Dal punto di vista della sicurezza intesa come integrità dei dati e invio degli stessi in forma crittografata, non cambia nulla tra un DV o un EV. Quello che cambia è la sicurezza che dai al visitatore, in quanto un DV può richiederlo chiunque (pure un malintenzionato) e certifica solo il dominio, d'altra canto per richiedere un EV ci vogliono diversi giorni perché devi dimostrare chi dici di essere tramite un'ampia documentazione. Inoltre agli utenti viene mostrata una barra verde, sinonimo di garanzia e affidabilità.

    Va da se che un DV è indicato per la maggior parte dei siti (tipo blog personali) e un OV o EV per eCommerce o azienda.

    Un'altro punto forse trascurato da molti è la configurazione SSL del server che ospita il tuo sito.

    Infatti la sicurezza di un certificato SSL dipende anche dalla forza dell'algoritmo utilizzato per crittografare i messaggi scambiati tra utente e sito web. Per questo sarebbe opportuno abilitare TLS a partire dalla versione 1.2 e disabilitare completamente SSL, in quanto utilizza algoritmi di cifratura vulnerabili. Se il server lo gestisci tu, la configurazione è a carico tuo, mentre se hai un hosting dovrebbe occuparsene il provider.


    Questo tool gratuito offre un modo veloce per verificare la configurazione e l'installazione del certificato https://www.ssllabs.com/ssltest/

    Un ultimo punto da tenere in considerazione, e che riguarda chi gestisce un eCommerce (o un booking engine) con salvataggio o invio di carte di credito, è la conformità PCI-DSS. Non entro troppo nel merito della questione, però in breve il discorso è questo: se gestisci (salvataggio o invio) carte di credito sul tuo sito, allora devi dimostrare che hai effettuato tutti i controlli del caso per mettere in sicurezza tali dati.

    Un esempio di provider che offre servizi di booking engine e channel manager con gestione carte di credito, è WuBook. Se vai sul loro sito noterai sia la barra verde, che sta ad indicare la presenza di un certificato EV, sia la certificazione PCI-DSS (in basso nel footer).

    Sul discorso della garanzia (warranty) offerta da chi rilascia il certificato non saprei dirti, non mi sono mai documentato in merito.
    Ottima spiegazione.
    Aggiungo solo una cosa in più sul fatto sicurezza: i certificati DV sono creati diciamo "al volo" direttamente nel server dove si trova il sito questo implica che se per caso la configurazione DNS viene compromessa (di fatto modifico l'ip del server dal "vero" a uno finto) posso avere un clone del sito con tanto di certificato valido senza troppi problemi (il famoso Man in the middle).

    Non è che con gli altri certificati sia impossibile replicare questa tipologia di problema, ma per farlo bisognerebbe bucare/entrare nel server e copiarsi la chiave e il certificato che ci sono nel nuovo server "truffa" (oltre che modificare il DNS).
    Magento Backend Developer - www.giuseppemorelli.net

  5. #5
    Utente Premium
    Data Registrazione
    Nov 2018
    Località
    Ragusa
    Messaggi
    220
    Aggiungi flaviors200 su Google+ Aggiungi flaviors200 su Facebook Aggiungi flaviors200 su Linkedin
    Citazione Originariamente Scritto da giuseppemorelli Visualizza Messaggio
    Ottima spiegazione.
    Aggiungo solo una cosa in più sul fatto sicurezza: i certificati DV sono creati diciamo "al volo" direttamente nel server dove si trova il sito questo implica che se per caso la configurazione DNS viene compromessa (di fatto modifico l'ip del server dal "vero" a uno finto) posso avere un clone del sito con tanto di certificato valido senza troppi problemi (il famoso Man in the middle).

    Non è che con gli altri certificati sia impossibile replicare questa tipologia di problema, ma per farlo bisognerebbe bucare/entrare nel server e copiarsi la chiave e il certificato che ci sono nel nuovo server "truffa" (oltre che modificare il DNS).
    Grazie Giuseppe.

    Scusa ma il rilascio del certificato implica un controllo sulla configurazione DNS, se questa non è corretta il certificato non viene rilasciato/rinnovato. O forse non ho capito bene cosa intendi
    Sviluppo siti web dinamici e gestionali | Flaviobiscaldi.it

  6. #6
    Moderatore L'avatar di Sermatica
    Data Registrazione
    Oct 2016
    Località
    Maleo
    Messaggi
    4,399
    Aggiungi Sermatica su Facebook
    Ciao
    aggiungo anche che i certificati a pagamento offrono un assicurazione per il venditore. In caso di "problemi" e transazioni fraudolente fornitore e clienti sono tutelate dal Certificato.
    MODHelp Center: consigli per il tuo progettoMODE-Commerce
    Consulente con P.IVA: SEO / SEM / Google Business / Amazon - Sermatica.it


  7. #7
    Esperto L'avatar di giuseppemorelli
    Data Registrazione
    Dec 2016
    Località
    Riccione
    Messaggi
    39
    Segui giuseppemorelli su Twitter Aggiungi giuseppemorelli su Linkedin
    Citazione Originariamente Scritto da flaviors200 Visualizza Messaggio
    Grazie Giuseppe.

    Scusa ma il rilascio del certificato implica un controllo sulla configurazione DNS, se questa non è corretta il certificato non viene rilasciato/rinnovato. O forse non ho capito bene cosa intendi
    Cerco di spiegarlo con un esempio:

    - il sito pippo.com punta a 57.20.35.69 (numero a caso) ed ha il dns con l'azienda X quindi magari ns1.x.com ns2.x.com
    - creo il certificato let's encrypt
    - tutto ok, ora il sito è in https

    Per negligenza o phishing o altro, riesco ad impossessarmi dell'accesso ai dns ns1.x.xom e ns2.x.com
    (Questa operazione ovviamente è illegale.)

    - clono il sito pippo.com
    - modifico il dns ns1.x.com e ns2.x.com facendo puntare pippo.com sul clone di pippo.com (es. 60.25.68.69 - sempre numero a caso)
    - creo il certificato let's encrypt
    - tutto ok, ora il sito è in https (ma il sito è un fake)

    Questo è creare il man in the middle.

    Ovviamente parlo di un hacking, non di procedure standard


    -------

    Se avevo un certificato OV o EV dovevo bucare/accedere anche al server per copiarmi i file dei certificati.
    Magento Backend Developer - www.giuseppemorelli.net

  8. #8
    User Attivo
    Data Registrazione
    Sep 2006
    Località
    Messina
    Messaggi
    2,986
    Ringrazio tutti per le gentili risposte
    SUPERADV.COM Affiliazione Per Siti Internet - ADVHITS.COM Pubblicità Per Siti

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.