Vai al contenuto

Come avevo preannunciato in dicembre 2016 ho finalmente implementato l'https su questo blog.

A parte l'accesso amministrativo che richiede un autenticazione e quindi mandare le credenziali in chiaro (con http) non è sicuro, il resto non ha un motivo pratico per richiedere la cifratura delle comunicazioni.

Il motivo è un altro. A tendere tutti i siti web dovrebbero passare ad https e questo porterà all'abitudine di aspettarsi che un sito sia https. Questo aiuta ad essere sicuri che il sito che si sta visitando sia realmente quello che ci aspettiamo.

In realtà anche un malintenzionato può mettere in piedi un sito truffa in https ma almeno dovremo solo controllare il nome del sito a destra del lucchetto per essere sicuri che corrisponda a quello sul quale volevamo andare.

Anche google dice ormai che nei risultati delle ricerche verranno penalizzati i siti che non saranno in https quindi conviene non rimanere indietro.

Ora veniamo a qualche informazione tecnica che potrebbe esservi utile per la

MIGRAZIONE DA HTTP A HTTPS

Il passaggio, che è sempre un pre requisito ogni volta che si mette mano al proprio blog, è quello di fare un backup completo: sia del database che della /var/www del blog (o della cartella dove risiede)

Come segnalato all'inizio con il link al mio vecchio post il primo passaggio è quello di richiedere il certificato.

Se nei vostri vecchi post avevate delle immagini e i link erano con indicato http avrete un problema: i browser segnaleranno qualcosa che non va. Per sistemare ho usato un plugin wordpress che si chiama Search & Replace e ho sostituito src="http:// con src="// togliendo così il riferimento e lasciando il default del sito. Ovviamente nelle impostazioni generali dovrete cambiare l'indirizzo del blog mettendo https.

Anche da altre parti potrebbe essere rimasto qualche riferimento ad immagini http. Tipicamente nelle colonne laterali ma si tratterà di pochi link che dovrete controllare a mano e sistemare senza la necessita di tool automatizzati come per le immagini dei post che invece potrebbero essere tante.

   Il senato degli USA ha appena approvato l'uso di Signal per il suo staff.

Signal è un sistema di messaggistica (sul quale è anche basato whatsapp) senza backdoor e senza nessuna grande azienda alle spalle sulla quale sia possibile fare pressione per farne installare.

Bruce Schneier dice che forse è ottimista ma crede che abbiamo appena vinto la guerra della cifratura: una parte molto importante del governo degli USA sta dando priorità alla sicurezza rispetto alla sorveglianza.

Sono d'accordo con lui e sono contento.

2

letsencryptBreve nota per segnalare Let's Encrypt.

Forniscono certificati e facili procedure per trasformare un sito http in https. In questo modo se ne facilita l'adozione e si rende più sicuro il web.

Prima o poi lo attiverò sul questo mio blog.

(via Schneier on Security)