Consiglio nuovo mac

[RickS]

Quando le vecchie versioni di TLS saranno deprecate completamente, il certificato sarà obbligatorio sia da fuori che dentro la rete locale.

Da dentro la rete locale la vedo dura, come faranno a rilasciare un certificato per un oggetto che ha un IP privato e neanche un nome di dominio ?
Tipo un NAS che non ha alcun collegamento su internet, e di NAS così ce ne saranno sempre per ovvi motivi di sicurezza.
Ma anche un router quando accedi alla sua interfaccia.

[RickS]

In autonomia, anche già oggi, non puoi accedere in modalità sicura ad un NAS QNAP senza passare attraverso QNAP o terzi, come hai scritto, ad esempio Cloudflare ma anche direttamente Let's Encrypt

Non vorrei sbagliarmi ora non posso controllare ma mi sa che con gli ultimi update dopo l'ultimo attacco ransomware QANP a tolto la possibilità di usare Let's Encrypt almeno per la parte myQNAPCloud, e comunque anche prima era piuttosto complesso creare un loro certificato.
In pratica ti obbligano a comprarlo da loro

[Scialla]

Sì lo so che si può fare. Ma ci sono alcune limitazioni e ci saranno maggiormente.
Come hai scritto giustamente "lasciando sempre gestire a loro i certificati”.
In autonomia, anche già oggi, non puoi accedere in modalità sicura ad un NAS QNAP senza passare attraverso QNAP o terzi, come hai scritto, ad esempio Cloudflare ma anche direttamente Let's Encrypt se il NAS e/o dispositivo lo supporta. Qualche anno fa sono stato costretto da QNAP ad acquistare il loro certificato. Era la sola modalità 2/3 anni fa. Adesso ad esempio accettano anche Let's Encrypt. Dipende dal tipo di dispositivo e software. Sicuramente andremo verso una situazione più semplice (ma anche verso una ricerca maggiore della sicurezza ed i certificati ne fanno parte). E non è detto che vecchie configurazioni e vecchi dispositivi saranno compatibili. Sempre nel mio caso il NAS l’ho dovuto “forzatamente” aggiornare. Immagina chi non può aggiornare perché non adeguato agli aggiornamenti. (Non parlo di dispositivi di 15/20 anni fa eh!)

L'unico problema di Let's Encrypt e di tutti i certificati selfsigned è che mediamente scadono a 3 mesi e devi rinnovarli. L'esempio di caddy in tal senso ti libera anche da sto problema in quanto li genera e se li rinnova in autonomia e te ne dimentichi proprio.

io lo uso in docker non solo per i certificati ma per le sue qualità di reverse proxy

(docker è una figata)

[andrea_mac]

io lo uso in docker non solo per i certificati ma per le sue qualità di reverse proxy

(docker è una figata)

Immagino...
Dai apri un thread e racconta!
Butta lì qualcosa, poi altri aggiungeranno le loro esperienze.
È sicuramente un mondo molto molto interessante!

[RickS]

io lo uso in docker non solo per i certificati ma per le sue qualità di reverse proxy

(docker è una figata)

Immagino...
Dai apri un thread e racconta!
Butta lì qualcosa, poi altri aggiungeranno le loro esperienze.
È sicuramente un mondo molto molto interessante!

Si dai, interessa anche a me

[andrea_mac]

L'unico problema di Let's Encrypt e di tutti i certificati selfsigned è che mediamente scadono a 3 mesi e devi rinnovarli.

Allora, io sono più esperto ed aggiornato in ambiente Hosting.
Negli Hosting il rinnovo è automatizzato.
Gestisco dei Reseller hosting con WHM e client cPanel.
La maggior parte dei domini/clienti sono con Let's Encrypt a rinnovo automatico.

Ho visto giusto ieri che Let's Encrypt è stato aggiunto come certificato al mio NAS QNAP.
Devo metterci la testa.
Come diceva RickS per myQNAPCloud che apre in maniera sicura il QNAP all’esterno, senza fare port forward del router e senza esporre il router e il NAS direttamente in rete esterna.

Invece mi “preoccupava” la questione certificati SSL sui dispositivi del mondo iOT giusto perché immagino che ogni possibilità di guadagno viene considerata e tenuta in seria considerazione. Potrebbero farlo come potrebbero non farlo. Poi ci sono gli utenti expert che se la cavano comunque.

[andrea_mac]

L'esempio di caddy in tal senso ti libera anche da sto problema in quanto li genera e se li rinnova in autonomia e te ne dimentichi proprio.

Comunque grazie per aver indicato Caddy che non conoscevo https://caddyserver.com/docs/ ed ho capito che ogni tanto devo avere un approccio diverso per risolvere certe questioni. Abituato al mondo hosting, poi magari evito di mettere in pratica conoscenze informatiche per risolvere problemi locali dove qualche “hack” ti risolve un sacco di ostacoli magari puramente “commerciali”.
Non ti dico in locale i problemi e le incazz… con AMPPS https://en.wikipedia.org/wiki/AMPPS che usavo comodamente e poi ha messo tutto a pagamento con diversi paletti e mi ha reso la vita difficile in locale mannaggia a loro! E sono proprio loro che mi hanno fatto pensare male riguardo eventuali certificati a pagamento ovunque. Magari mi sbaglio, speriamo.

[andrea_mac]

io lo uso in docker non solo per i certificati ma per le sue qualità di reverse proxy

(docker è una figata)

Immagino...
Dai apri un thread e racconta!
Butta lì qualcosa, poi altri aggiungeranno le loro esperienze.
È sicuramente un mondo molto molto interessante!

Si dai, interessa anche a me

Scialla (che conosco) è un bravissimo autodidatta che si impunta e risolve sempre usando testa, impegno, conoscenze, testardaggine.
È molto bravo e migliorato tantissimo in tutte le sue varie “applicazioni" “casalinghe”.
Complimenti a lui!
Peccato che tiene tutto per sé

[andrea_mac]

A tal proposito, ne parlavo con qualcuno, mi rendo conto, che chi nelle tecnologie nell’informatica nel web ci lavora, come me, purtroppo a volte è limitato nei ragionamenti, perché c’è poco tempo per approfondire e trovare soluzioni alternative e soprattutto il ritorno economico da girare al cliente.
Un vero peccato!
Infatti vorrei tanto più tempo a disposizione per migliorarmi ed approfondire le conoscenze, che per mia fortuna, sono lavoro ma anche passione!

[RickS]

Ho visto giusto ieri che Let's Encrypt è stato aggiunto come certificato al mio NAS QNAP.
Devo metterci la testa.
Come diceva RickS per myQNAPCloud che apre in maniera sicura il QNAP all’esterno, senza fare port forward del router e senza esporre il router e il NAS direttamente in rete esterna.

Sul QNAP puoi avere due o più certificati SSL, uno è quello usato da myQNAPCloud dove in pratica sei costretto ad usare quello di QANP a meno che tu non sia davvero molto esperto, e gli altri che servono quando tu fai fare al QANP il server WEB o altro tipo di server.
Personalmente da utilizzatore di QANP da più di 15 anni, sconsiglio vivamente di usarlo per pubblicare servizi su internet, WEB, file server, telecamere, ecc.
Negli ultimi anni ci sono state troppe falle sfruttate per attacchi ransomware tappate da QANP in ritardo quando il danno era fatto, ed senza una adeguata comunicazione ai propri utenti.

Invece mi “preoccupava” la questione certificati SSL sui dispositivi del mondo iOT giusto perché immagino che ogni possibilità di guadagno viene considerata e tenuta in seria considerazione. Potrebbero farlo come potrebbero non farlo. Poi ci sono gli utenti expert che se la cavano comunque.

Si concordo, il problema è che il certificato SSL viene veduto a gli utenti normali, come se fosse uno scudo indistruttibile contro qualsiasi attacco, quando purtroppo non è così, vedi appunto QNAP e tutti i suoi servizi cloud.

[andrea_mac]

Si concordo, il problema è che il certificato SSL viene veduto a gli utenti normali, come se fosse uno scudo indistruttibile contro qualsiasi attacco, quando purtroppo non è così, vedi appunto QNAP e tutti i suoi servizi cloud.

Sì infatti. Proprio ieri guardavo un video su YT dove facevano passare un indirizzo HTTPS come “sicuro”. Mamma mia!
E parlavano di adware, malware, spyware, trojan, etc.
Come hai scritto in precedenza, un conto è il protocollo TLS (e/o SSL), relativa versione, relativi bug precedenti.
Un conto è un “semplice” certificato SSL che semplicemente certifica la crittografia dei dati. Non è garanzia di sicurezza avanzata.
In ogni caso non è un protocollo e non è un servizio attivo.
È semplicemente un documento. Relativamente importante. Quantomeno l’ultimo della catena della crittografia e sicurezza di un servizio web.
Almeno che parliamo di SSL come protocollo di comunicazione e non di certificato SSL.
Forse era meglio chiamare il certificato in un’altro modo.

[andrea_mac]

Sul QNAP puoi avere due o più certificati SSL, uno è quello usato da myQNAPCloud dove in pratica sei costretto ad usare quello di QANP a meno che tu non sia davvero molto esperto, e gli altri che servono quando tu fai fare al QANP il server WEB o altro tipo di server.
Personalmente da utilizzatore di QANP da più di 15 anni, sconsiglio vivamente di usarlo per pubblicare servizi su internet, WEB, file server, telecamere, ecc.
Negli ultimi anni ci sono state troppe falle sfruttate per attacchi ransomware tappate da QANP in ritardo quando il danno era fatto, ed senza una adeguata comunicazione ai propri utenti.

Sì sì concordo!
Uso ed ho utilizzato myQNAPCloud per alcune cartelle non importanti per scambio documenti.
Per un certo periodo di tempo l’ho disattivato per i problemi noti.
Comunque non ho mai esposto condivisioni importanti del NAS.
E non ho mai pubblicato i servizi del NAS.
Ho 2 schede di rete separate e 4 dischi.

In genere comunque uso i server hosting, anche per le condivisioni, come ad esempio un paio di ownCloud ed altri (ProjectSend, eXtplorer, LetoDMS, Pydio, Drupal).

[andrea_mac]

RickS guarda! https://i.imgur.com/6beuxIc.jpeg
Questo non c’era tempo fa!
Let's Encrypt!

myQNAPcloud: Il Certificato del servizio web SSL di myQNAPcloud offre un ambiente sicuro per lo scambio di informazioni confidenziali online e conferma l'identità del sito ai dipendenti, partner aziendali, e altri utenti. I certificati SSL possono essere acquistati online da QNAP Software Store. Visitare Caratteristiche myQNAPcloud per ulteriori informazioni sui certificati SSL.

Let's Encrypt: Let's Encrypt è un'autorità di certificazione gratuita, automatica e aperta che rilascia certificati di sicurezza convalidati dal dominio. È possibile installare i certificati Let's Encrypt con il servizio DDNS offerto da myQNAPcloud. Questo certificato viene rinnovato automaticamente fino a quando si sceglie di rimuoverlo.

[RickS]

RickS guarda! https://i.imgur.com/6beuxIc.jpeg
Questo non c’era tempo fa!
Let's Encrypt!

myQNAPcloud: Il Certificato del servizio web SSL di myQNAPcloud offre un ambiente sicuro per lo scambio di informazioni confidenziali online e conferma l'identità del sito ai dipendenti, partner aziendali, e altri utenti. I certificati SSL possono essere acquistati online da QNAP Software Store. Visitare Caratteristiche myQNAPcloud per ulteriori informazioni sui certificati SSL.

Let's Encrypt: Let's Encrypt è un'autorità di certificazione gratuita, automatica e aperta che rilascia certificati di sicurezza convalidati dal dominio. È possibile installare i certificati Let's Encrypt con il servizio DDNS offerto da myQNAPcloud. Questo certificato viene rinnovato automaticamente fino a quando si sceglie di rimuoverlo.

Si è vero, ad un certo punto quando introdussero i certificati c'era anche Let's Encrypt!, poi la tolsero non so per quali problemi ed io era rimasto a quel punto, ed adesso l'hanno rimesso.
Ottimo almeno gli utenti normali non hanno bisogno di tirare fuori altri soldi, spero che la procedura per ottenerlo sia a portati di utente QNAP medio, mi ricordo che all'inizio era piuttosto complesso farlo.

Ovviamente io ho rinnovato il mio certificato con QNAP neanche 6 mesi fa.

[RickS]

Ho amici che con gli ultimi attacchi su QNAP e Synology si sono trovati davvero in brutte situazioni.
tipo 5 anni di fatture, rendiconti dei clienti persi, file di lavoro, ecc.
Ma anche backup persi perché usavano il NAS come storage per il backup