Re: Https e caddy

To: Diego Zuccato <diego.zuccato@unibo.it>
Cc: debian-italian@lists.debian.org
Subject: Re: Https e caddy
From: Leonardo Boselli <leo5css@trail.it>
Date: Mon, 13 Nov 2023 12:42:00 +0100 (CET)
Message-id: <[🔎] alpine.DEB.2.21.2311131233540.30291@w.trail.it>
In-reply-to: <[🔎] 9478d6ac-f969-4eab-acbb-db7ccbd57dcf@unibo.it>
References: <[🔎] CAKpfxasVp9oE6EO-yMn_y94yB2inbZth__WZOTVWmtafP2LvtQ@mail.gmail.com> <[🔎] trinity-16101e8b-92b4-46e5-a4e2-6b3e70ffec71-1699177939387@3c-app-mailcom-lxa10> <[🔎] CAKpfxatBQ3y3dRmszc5r7Hc6kDUaQqrDAa3iVRsoijggk+EuRQ@mail.gmail.com> <[🔎] alpine.DEB.2.21.2311051852170.4511@w.trail.it> <[🔎] trinity-ea26cf12-a906-43ce-adf7-a8243aa294b8-1699781402384@3c-app-mailcom-lxa07> <[🔎] 9478d6ac-f969-4eab-acbb-db7ccbd57dcf@unibo.it>

chiedo una cosa: questi certificati per indirizzi interni erano esessi perun indirizzo numerico o per un nome, che poi veniva risolto con unindirizzo locale ?Perché nulla osta di ottenere il certificato ponendo nel DNS un indirizzopubblico a cui risponde la macchina che si autentica; dopo di che metterenel DNS un indirizzo privato, che quindi sarà accessibile solo dallemacchine della intranet.dare un certificato a 10.10.10.10 non è ammesso, ma dare un certificato aserveri.my-nonpublic-network-example.net che ha un record A 10.10.10.10 èperfettamante ammissibile. ( e il record A lo puoi semp0re cambiare: pensaa quei domini che hanno solo un cname: quello che succede ai record A eAAAA della macchina a cui punta il cname sogno al di fuori del controllo.



 On Mon, 13 Nov 2023, Diego Zuccato wrote:

Se li hai visti emessi da CA riconosciute per indirizzi di reti nonroutabili, allora vanno segnalati: sono contrari alle policy CA/B forum!
Infatti il certificato potrebbe venir riutilizzato su una rete diversa,facendo così credere all'utente di essere collegato ad un sito quando inveceè collegato ad un altro.Inoltre, non essendo indirizzi routabili, vuol dire che non c'è stataverifica del sito.
questo non è corretto, io ho visto certificati emessi per un indirizzo IP.
Li ho visti per siti interni ad una rete 10.x.x.x e quindi penso che in
teoria possano essere emessi anche per altri indirizzi.
L'unica cosa è che se lo fai emettere per un indirizzo IP poi non puoi
cambiarlo, pena il non funzionamento dell'esposizione in TLS.


--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it
tel:+393287329225

Reply to:

Follow-Ups:
- Re: Https e caddy
  - From: Davide Prina <Davide.Prina@null.net>

References:
- Https e caddy
  - From: Giuliano Curti <giulianc51@gmail.com>
- Re: Https e caddy
  - From: Davide Prina <Davide.Prina@null.net>
- Re: Https e caddy
  - From: Giuliano Curti <giulianc51@gmail.com>
- Re: Https e caddy
  - From: Leonardo Boselli <leo5css@trail.it>
- Re: Https e caddy
  - From: Davide Prina <Davide.Prina@null.net>
- Re: Https e caddy
  - From: Diego Zuccato <diego.zuccato@unibo.it>

Prev by Date: Re: Errore nel creare un volume con lvcreate
Next by Date: Re: Errore nel creare un volume con lvcreate
Previous by thread: Re: Https e caddy
Next by thread: Re: Https e caddy
Index(es):
- Date
- Thread