StartCom StartSSL provider di certificati SSL per HTTPS gratuiti sfiduciato da Mozilla e Google

Siamo in un periodo burrascoso dal punto di vista politico a livello globale, e chi si occupa di tecnologia può ogni tanto avere l’impressione di trovarsi in una sorta di bolla virtuosa, una comunità di appassionati che discute in onestà e trasparenza in un generale clima di fiducia, fiducia che è alla base delle Autorità di Certificazione (CA) di cui abbiamo preinstallati i certificati di root nei nostri browser.

Ebbene è accaduto che StartCom StartSSL, una CA che permetteva la produzione di certificati SSL a scadenza di 1 anno per criptare il traffico dei siti web in HTTPS gratuitamente per siti non commerciali, questa fiducia l’ha persa.

A seguito di indagini condotte ad ampio raggio dalla community è emerso una condotta di emissione fraudolenta di certificati in aperta contraddizione con il codice etico che si presuppone tali autorità debbano rispettare, così a fine Ottobre 2016 due grandi big, Mozilla prima e Google poi, hanno deciso di sfiduciare StartCom SSL dai loro browser, rispettivamente FireFox e Chrome.

Alternative?

Dato che i miei certificati emessi da StartCom, menzionato nella mia guida per HTTPS, erano prossimi alla scadenza, mi sono attivato nella ricerca di un’alternativa sempre gratuita per mantenere il mio sito più sicuro, ed ho trovato sslforfree.

Rispetto a StartSSL i certificati emessi hanno una scadenza di soli 3 mesi, di contro il processo di verifica ed emissione è relativamente più semplice e veloce essendo possibile effettuarlo “manualmente” con la verifica di un file da caricare sul proprio hosting via FTP, come si fa ad esempio con la verifica di Google Analytics e Webmaster tools.

C’è da dire che lo stesso certificato di root di sslforfree, che è un sotto progetto del più vasto let’s encrypt sponsorizzato dai grandi del campo tech, ha una durata di validità minore, soli 5 anni con scadenza del 2021 mentre quello di StartCom andava a scadere nel 2030.

Probabilmente anche l’abbreviare la durata di validità del certificato di root è una nuova misura di sicurezza in modo da riconfermare tra pochi anni che sussistano ancora i presupposti per ritenere l’Authority affidabile, d’altronde si sa che a non fidarsi si fa peccato ma ci si azzecca sempre.

https://sresc.io/tKT

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.