Addio CAcert

23 febbraio 2017

Ho installato certificati CAcert dal 2008, quando ho installato il nuovo server al piano rialzato. In effetti, ho pensato, non è corretto richiedere ai visitatori di installare la mia certification authority (CA) privata, perché se tutti facessero così ci sarebbero così tante CA da non venirne più a capo. Allora ho scelto CAcert, un'organizzazione australiana che emette certificati "free".

Le CA precaricate nel browser compaiono nel 1996, con Netscape Navigator 3.0. Quella versione aveva una lista di 16 CA precaricate, tra cui RSA, VeriSign, Thawte, AT&T. La possibilità di aggiungere al volo una CA sconosciuta era considerata un vantaggio:

Netscape Navigator consente di connettersi a siti i cui certificati sono stati firmati da certifying authorities (CAs) sconosciute. Internet Explorer, invece, non ti permette di vedere un tale sito, ma solo il suo certificato. Per esempio, non potresti connetterti a Schwab Online se il loro sito fosse certificato da una CA sconosciuta a meno di ottenere il certificato di quella CA, installarlo, e quindi riconnetterti al server di Schwab Online —una bella perdita di tempo per l'utente.

La questione chiave è se l'utente è consapevole della portata della lista. Si tratta delle CA che il sistema considera affidabili, sia precaricate sia aggiunte in seguito, possibilmente dall'utente stesso. È troppo facile scordarsi di controllare la connessione, molti guardano semplicemente l'icona col lucchetto e si dimenticano di controllare se il certificato è autentico. Ma cosa significa autentico? Vi ricordate la scena qui a fianco, ne il maratoneta in cui Laurence Olivier chiede al malcapitato Dustin Hoffman —È sicuro?

Che cosa è sicuro? Si parla di sicurezza in internet senza dire di che si tratta. In questi anni ho spesso pensato che il gesto di aggiungere CAcert a quella lista, dietro mia richiesta, potesse servire a domandarsi che effetto possa avere, e possibilmente darsi una risposta. Ho sbagliato di molto? Vi ho torturato che basta?

Leggete la versione sicura di questa pagina. Si vede la differenza?

È sicuro?

CAcert è più viva che mai, ma sembra che abbia rinunciato a comparire sui browser. I dettagli sono riassunti su en.wikipedia. Il nuovo certificatore è sicuramente più comodo, dato che non bisogna farsi domande. Ma allora scrivo questa pagina, così ve la posso fare lo stesso, la domanda:

È sicuro?

17 dicembre 2019

Fino a maggio 2021 valgono questi certificati COMODO, pagati 5~7€ per tre anni da domflow. In seguito, come ovunque, arriveranno i certificati Let's Encrypt, che sono completamente free, sopratutto nel senso della libertà di individuale crittare. Lo spirito di CACERT, ma con una tecnica superiore. Il fatto che siano organizzati da Electronic Frontier Foundation è una garanzia per entrambi gli aspetti.