Crtificati SSL

[linknick]

Buongiorno a tutti,

Ho un dubbio che mi affligge su certificati SSL autofirmati.

Un sottodominio di un sito web che sto creando necessita per motivi di sicurezza di un certificato SSL. Ora, il sottodominio è accessibile solo a 2/3 persone che usano la sezione di questo sito, per cui non serve avere un certificato firmato da un'autorità di certificazione.
Il  provider però ha detto che per le policy aziendali non è possibile utilizzare certificati self-signed anche se cPnel consente di effettuare l'operazione e  il sito si appoggia su un hosting semidedicato.

Voi che ne pensate? Mi hanno detto così solo perché vendono certificati firmati, o c'è un reale problema tecnico?

[tomtomeight]

Il problema vero è l'IP, cioè se hai un ip con altri siti che condividono l'ip non puoi usarlo perché coprirebbe anche gli altri siti. Soluzione Ip e server dedicato, anche se compri un certificato, devi soddisfare le stesse condizioni altrimenti se te lo propongono abbinato ad un loro terzo livello è come se non lo avessi.

[mmleoni]

in realtà è possibile, già  da diversi anni, usare più certificati su un unico ip tramite l'estensione 'Server Name Indication' (SNI) di TLS; che poi si tratti di domini di secondo o terzo livello cambia poco.

tornando a bomba, non c'è un reale limite tecnico, ma che il provider abbia imposto ciò come policy aziendale ci sta tutto (certificati self-signed potrebbero non essere graditi a firewall/appliance IDS e/o IPS); se voi la contro prova digli che hai già un certificato trusted e chiedigli se puoi installarlo: se ti dice di no hai ragione a sospettare 

ciao

[tomtomeight]

Ooops, grazie dell'aggiornamento Marco, ero rimasto un po' indietro, grazie anche perché questa informazione mi torna utile per una mia esigenza.

[linknick]

Ho già posto la domanda, e mi hanno risposto che non posso utilizzare nemmeno certificati firmati da terzi.
Avevo già pensato ad un certificato firmato gratuito (non so se posso citare il famoso sito che offre gratis certificati di classe 1)

[mmleoni]

se il certificato è gratis e puoi usarlo dove vuoi non vedo perché tacere l'informazione...

quanto al provider, direi che anche loro si appoggiano, per lo sviluppo del business, alla famosa INC.COOL.8 di recente citata da crozza 

facevano più bella figura se rispondevano subito che il certificato dovevi comprarlo da loro.

ciao

[linknick]

Per i certificati gratis potete dare un'occhiata qui: https://www.startssl.com/

Per quanto riguarda il mio provider... Ho prima aperto un ticket per chiedere informazioni in merito, non contento gli ho telefonato e mi hanno candidamente detto che se facendo un controllo sugli hosting avessero trovato installato il certificato non venduto da loro, lo avrebbero rimosso.

Ma possono davvero farlo?  I vostri provider usano la stessa politica, o sono io che devo cambiare fornitore?

[mmleoni]

se lo hanno scritto nelle condizioni di servizio che tu hai accettato possono farlo, altrimenti, se il pannello ti consente l'installazione di un certificato non loro e non riporta avvisi contrari, una eventuale rimozione dello stesso può esporli ad una denuncia.

comunque in questi casi è meglio cambiare provider senza stare a discutere più di tanto; ovviamente bisogna vedere anche quanto costa il certificato: se il costo (hosting+certificato) è allineato con il mercato, per soluzioni di pari livello, fa' finta di niente e ripensaci al primo rinnovo.
certo che hanno fatto proprio una figura barbina... deve essere il periodo: non vi dico che in che essere (titolare di provider!) mi sono imbattuto proprio in questi giorni.

ps: dato che nel mio caso l'hosting lo pagano i clienti io, per non avere questi grattacapi, scelgo sempre soluzioni top  almeno se glielo devo gestire io, se vogliono risparmiare se lo smazzano loro 

[linknick]

Ho letto le condizioni di servizio, non mi pare di trovare riferimenti a simili limitazioni.

Alla fine il servizio che offrono è ottimo, mi dispiacerebbe davvero spostare i siti attivi per una simile stupidata, anche se mi girano davvero le scatole dover pagare un certificato che potrebbe essere gratis...

Purtroppo comandano loro,  metterò su una mia farm e risolverò il problema!