DV certificati per l'autenticazione dei domini

[DragoRosso]

I certificati DV (DOmain Validation) sono certificati SSL usati per l'autenticazione dei domini.
Tali certificati garantiscono che il sito che si visita è quello indicato (si può verificare la corrispondenza del certificato da tutti i browser), e che le comunicazioni con il sito sono criptate e sicure (nessuno può accedere alle informazioni in transito).

Di base sono gli stessi certificati che si possono generare privatamente con OpenSSL, l'unica differenza è quelli pubblici hanno validità globale perchè garantiti da una delle varie autorità di certificazione tramite la catena di validtà (trust chain).

Il più noto è sicuramente "Let's encrypt" che produce certificati gratuiti di validità massima di tre mesi usabili da tutti i siti pubblici (provate ad andare su https://cloud.dyn-o-saur.com e verificate il certificato (con gli alias abbinati).

Un certificato può garantire più siti contemporaneamente (alias) e si possono usare (se permesso) anche il carattere * per tutti i sottodomini.

E' notizia di questi giorni che si sono affacciati sul mercato altri provider che forniscono certificati DV gratis con durata sino a 6 mesi, elenco qui i tre a me noti:

1) Let's Encrypt: https://letsencrypt.org/, durata di 3 mesi. Carattere * permesso.

2) Google Trust Services: https://pki.goog/, durata impostabile tra i 3 giorni e i 6 mesi. Carattere * permesso. Il link, ancorchè sia strano è corretto ... 

3) BuyPass: https://www.buypass.com/products/tls-ssl-certificates/read-more-go-ssl-acme, durata 6 mesi, massimo 5 alias e carattere * non ammesso. Questo è l'unico fornitore Europeo che conosco. Ha una offerta più limitata (quella gratis ovviamente) ma può andare bene sicuramente per la maggior parte dei casi.

I certificati vengono forniti solo ed esclusivamente tramite un client chiamato ACME che procede autonomamente alla richiesta e allo "scarico" dei  certificati relativi. Ci sono client compilati in Pascal (per adesso compatibili con Delphi).
Per funzionare il client ACME devono girare nel dominio da certificare, che DEVE rispondere anche a tutti gli alias eventualemente richiesti !!!!, usando una o più tecnologie di accesso. Di fatto non serve alcun documento o attività amministrativa ne burocratica ... è necessario che abbiate il controllo del dominio (quindi con il client caricato) o dei vari DNS (come nel casi dei DDNS) in caso di alias distribuiti (fate puntare tutti i DNS al client ACME).

Ciò viene usato soprattutto per i server pubblici "proprietari" perchè normalmente quelli in hosting hanno già il certificato DV incluso nel "noleggio".

I certificati rilasciati hanno valore solo ed esclusivamente per la verifica del domini. Non possono essere usati per nessun altro scopo.

Inoltre i certificati vengono generati solo per i domini pubblici in quanto devono essere raggiungibili dai server dei certificatori e devono poi ovviamente rispondere esclusivamente a quel dato nome: ciòè un www.miodom.com verrà certificato così e se dall'interno lo raggiungo come "localhost" o tramite IP privato ad esempio il certificato non verrà validato e il browser vi bloccherà (o meglio vi allerterà). Nel caso di servizi (come REST ad esempio) inoltre se il certificato non viene validato non sarà possibile accedere al servizio (in linea generale).

P.S.: il sito https://cloud.dyn-o-saur.com risiede su un normale PC e fà capo ad un programma Pascal che propone una servizio server https / http. E fatto in Delphi per convenienza ma potrebbe essere portato in Lazarus visto che è sviluppato con Indy.

[DragoRosso]

A proposito di Google Trust Services, è vero che il rilascio di un certificato TLS è gratis, ma a quanto pare serve un account "a pagamento" ... almeno tentando la procedura di rilascio Google mi richiede un account cloud, free per un tot di tempo poi a pagamento (pena il blocco di tutti i servizi).

Se qualcuno ha notizie più corrette in merito può postarle.

Grazie