Зашифрованный протокол https c 1 января 2017

Вот вы все говорите, "нафига козе баян нафига сайту ssl/tls". Не забываем, что нынче очень "стильно, модно, молодежно" перехватывать трафик, особенно этим грешат провайдеры, особенно мобильные. Всякие мегафоны, билайны и прочая срань. Так вот, я не думаю, что вам будет приятно, когда на вашем сайте будет висеть реклама "Увеличь свой перчик бесплатно без смс", а в директории сайта не будет никакой дряни. ssl/tls хоть как-то, но позволяют это предотвращать. Всем твердых и стоячих перчиков:glob:
 
o_O Это сколько бабосов надо будет для обслуживания сетки сайтов.
 
Еще один...Есть бесплатные сертификаты Let's Encrypt. Ссылка для ленивых - Для просмотра ссылки Войди или Зарегистрируйся
Поисковики нормально относятся к этим сертификатам, как и браузеры.
 
Еще один...Есть бесплатные сертификаты Let's Encrypt. Ссылка для ленивых - Для просмотра ссылки Войди или Зарегистрируйся
Поисковики нормально относятся к этим сертификатам, как и браузеры.

Я немного не в курсе. А создатели бесплатного сертификата могут перехватывать трафик домена?
Например, по схеме «человек посередине»?
Когда навязывается что-то, у меня всегда возникает интерес: а кому это нужно?
Тем более, что SSL не панацея — в нём находят дыры с завидной регулярностью, вспомните хотя бы последний нашумевший случай 2014г. — Для просмотра ссылки Войди или Зарегистрируйся
Мне уже хочется послать подальше «корпорацию добра». Слухи, что Гугл адекватнее Яши, оказались сильно преувеличены.
Upd
Обращаем ваше внимание, Let’s Encrypt имеет следующие ограничения:
  • Не поддерживаются интернационализованные доменные имена например: домен.рф
  • Можно заказать только 5 сертификатов в неделю (TLD, включая его поддомены)
  • Не поддерживаются wildcard сертификаты
Операция называется «прощай, кириллический домен!».
 
Последнее редактирование:
Я немного не в курсе. А создатели бесплатного сертификата могут перехватывать трафик домена?
Например, по схеме «человек посередине»?
А Comodo? A Thawte? А VeriSign? А владельцы корневых днс-ов? Винда стучит на всех налево и направо, не раскрывая информации о том, какие данные собираются и не предоставляя исходники, а let's encrypt ведущий свою деятельность в открытую вызывает у тебя подозрение? *QUADRO_FACEPALM*
P.S. Кирилические домены зло. С этим говном одни проблемы.
P.P.S. Тем более, что SSL не панацея < Т.е. ходить с голой жопой намного лучше, чем с прикрытой трусами? :conf:
 
Последнее редактирование:
P.P.S. Тем более, что SSL не панацея < Т.е. ходить с голой жопой намного лучше, чем с прикрытой трусами? :conf:
Только трусы дырявые кружевные. Так что разница не сильно большая.
Пойди пойми без открытия пути - хороший сертификат или нет:
Для просмотра ссылки Войди или Зарегистрируйся

Устанавливается эта штука довольно легко, т.е. включаем социальную инженерию или ошибки уровня ОС и продолжаем наслаждаться MitM-атаками.

Там ведь следует масовый переход на протокол HTTP 2.0 который не фуричит без шифрования.
Вот это гораздо важнее. Скорость при нормальной настройке заметно быстрее.

Вот бы они еще так же принуждали сайты к использованию IPv6 (хотя бы в dual stack), было бы вообще замечательно. :dead:
Рано, у меня ни смарт (3g от mts.ua) ни adsl (тут почти без вариантов в моём городе) не фурычат.
 
Последнее редактирование:
А Comodo? A Thawte? А VeriSign? А владельцы корневых днс-ов? Винда стучит на всех налево и направо, не раскрывая информации о том, какие данные собираются и не предоставляя исходники, а let's encrypt ведущий свою деятельность в открытую вызывает у тебя подозрение? *QUADRO_FACEPALM*
P.S. Кирилические домены зло. С этим говном одни проблемы.
P.P.S. Тем более, что SSL не панацея < Т.е. ходить с голой жопой намного лучше, чем с прикрытой трусами? :conf:
Ты и прав и не прав, дружище.
Винда стучит на всех налево и направо, не раскрывая информации о том, какие данные собираются и не предоставляя исходники, а let's encrypt ведущий свою деятельность в открытую вызывает у тебя подозрение? *QUADRO_FACEPALM*
Прикол в том, что мы добровольно сливаем инфу, регистрируясь в Гугл или Яше, а здесь я вижу honeypot в неприкрытом виде.
Если раньше злоумышленникам нужно было стараться, чтобы сломать сайт, то теперь, сломав 1 сайт с «бесплатным сертификатом», они завладеют множеством сайтов. Уже многие кинулись устанавливать серификаты от let's encrypt, не дожидаясь января 2017.
И вот сам эксперимент. Я установил этот сертификат и вуаля:
fromgomelbyssl.png
То есть, толку от такого сертификата → почти ноль. В строке браузера отображается, что сайт ненадёжен, и что «браузер там что-то заблокировал». Интересно что? И зачем?
P.S. Кирилические домены зло. С этим говном одни проблемы.
Согласен. Только раз процесс этот начат, он должен был быть пройден до конца, а не так вот глупо гибнуть. Тем более, что одной кириллицей дело не ограничивается — в мире насоздавали и других, на китайском и т.д.

Вангую, что при массовом переходе на SSL обнаружатся новые уязвимости протокола либо сломают этот хваленый бесплатный let's encrypt и уязвимыми окажутся миллионы сайтов. Тем более, что у let's encrypt куча владельцев, а потому никто ни за что не отвечает.
Получается, инфу они сливать могут, а претензии к ним → в сумме оплаченного, то есть 0.

P.P.S. Тем более, что SSL не панацея < Т.е. ходить с голой жопой намного лучше, чем с прикрытой трусами?
Каким это образом SSL защищал мой сайт? Никаким, бро. А широкое распространение автоматически подписываемых бесплатных сертификатов подсказывает мне, что и пользователя никак не защитит.

Как будут фишинговые сайты, так и будут. Как спам рассылали, так и будут рассылать. Ну и тогда зачем это всё?
В переход на новую версию протокола не верю. Такие переходы насильным образом и срочно, за 3 месяца, делаться не должны.
Верю в заговор. В заговор из-за бабла — тем более.

Мне вспоминается аналогичный случай борьбы с ветряными мельницами в PHP.
Многие горе-вебмастера при записи в БД забывали экранировать данные.
Разработчики языка не просто разработали 2 новых концепции работы с MySQL, а ещё и отключили драйвер, который посчитали устаревшим, в новых версиях языка.
«Устаревший» драйвер почему-то работал не медленнее новых, и был не более уязвим, чем новые.
Просто к новым с кривыми руками подходить сложней.
 
То есть, толку от такого сертификата → почти ноль. В строке браузера отображается, что сайт ненадёжен, и что «браузер там что-то заблокировал». Интересно что? И зачем?
Т.е. ты не в курсе, что веб-сайты могут отображать ресурсы не только по своему домену, но и по чужим (аналитики, метрики, шрифты, карты, скрипты, css и т.д.)? И в таком случае на сайте случается 'mixed content', когда часть ресурсов отображается по https, а часть по http. И в этом случае ты винишь Let's Encrypt (подставить любое другое название)?
Вангую, что при массовом переходе на SSL обнаружатся новые уязвимости протокола либо сломают этот хваленый бесплатный let's encrypt и уязвимыми окажутся миллионы сайтов. Тем более, что у let's encrypt куча владельцев, а потому никто ни за что не отвечает.
Получается, инфу они сливать могут, а претензии к ним → в сумме оплаченного, то есть 0.
1. Странно, чего же тогда другие центры сертификации не взломали? Ммм? Тем более если ломанут Let's Encrypt, создатели браузеров прекратят доверие корневому сертификату. За примером далеко ходить не надо Для просмотра ссылки Войди или Зарегистрируйся
2. Расскажи об этом opensource-сообществу. Я думаю они тебя с интересом выслушают :D
Каким это образом SSL защищал мой сайт? Никаким, бро. А широкое распространение автоматически подписываемых бесплатных сертификатов подсказывает мне, что и пользователя никак не защитит.
Ты не будешь против, если твои транзакции банковские к примеру будут происходить без защиты? Это ведь никак не защищает сайт и/или тебя, верно? :-]
В переход на новую версию протокола не верю. Такие переходы насильным образом и срочно, за 3 месяца, делаться не должны.
Верю в заговор. В заговор из-за бабла — тем более.
IPv4 адреса давно закончились, но мыши продолжали жрать кактус...Без прогресса мы бы до сих пор ходили в набедренных повязках и вытирали жопы лопухом...
 
Ты не будешь против, если твои транзакции банковские к примеру будут происходить без защиты? Это ведь никак не защищает сайт и/или тебя, верно? :-]
Я тебе про сайт-визитку, а ты мне про банки, которые составляют менее 1% интернета.
Что с тобой не так?
Прям как в старом фильме «а если б он патроны вёз?».
Теперь что, всем сигнализации на жопу нацепить вместо трусов, и пофиг, что последние деньги ушли на эту сигнализацию и жрать нечего?
Странно, чего же тогда другие центры сертификации не взломали?
SSL показывает свою уязвимость с завидной периодичностью, и дыры иногда не закрываются годами Для просмотра ссылки Войди или Зарегистрируйся
 
Я тебе про сайт-визитку, а ты мне про банки, которые составляют менее 1% интернета.
Что с тобой не так?
Прям как в старом фильме «а если б он патроны вёз?».

SSL показывает свою уязвимость с завидной периодичностью, и дыры иногда не закрываются годами Для просмотра ссылки Войди или Зарегистрируйся
1. А какая разница, какой сайт? По-факту это роли не играет.
2. В проприетарщине уязвимости могут вообще никогда не закрываться и эксплуатироваться по тихому злоумышленниками. Security through obscurity прям какой-то в проприетарщине. Так что лучше пусть находят и исправляют, пусть и не сразу (стоит ли говорить про форки BoringSSL, LibreSSL?), чем сидеть на бомбе замедленного действия. :conf:
 
Назад
Сверху