The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные

17.07.2019 10:47

Разработчики Firefox представили план перехода Firefox к пометке всех страниц, открытых по HTTP, индикатором небезопасного соединения. Изменение планируется применить в выпуске Firefox 70, намеченном на 22 октября. В Chrome вывод индикатора, предупреждающего об установке небезопасного соединения, для открытых по HTTP страниц выводится начиная с выпуска Chrome 68, предложенного в июле прошлого года.

В Firefox 70 также планируется убрать кнопку "(i)" из адресной строки, ограничившись постоянным размещением индикатора уровня безопасности соединения, который также позволяет оценить состояние режимов блокировки кода для отслеживания перемещений. Для HTTP будет явно показан значок проблем с безопасностью, который также будет выводиться для FTP и в случаях проблем с сертификатами:

Предполагается, что отображения индикатора небезопасного соединения будет стимулировать владельцев сайтов переходить по умолчанию на HTTPS. По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 78.6% (год назад 70.3%, два года назад 59.7%), а в США - 87.6%. Некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим, выдано 106 млн сертификатов, охватывающих около 174 млн доменов (год назад было охвачено 80 млн доменов).

Переход к пометке HTTP небезопасным является продолжением ранее предпринятых попыток форсирования перехода на HTTPS в Firefox. Например, начиная с выпуска Firefox 51 в браузере был добавлен индикатор проблем с безопасностью, отображаемый в случае обращения без использования HTTPS к страницам, содержащим формы аутентификации. Также началось ограничение доступа к новым Web API - в Firefox 67 для страниц, открытых вне защищённого контекста, запрещён вывод системных уведомлений через API Notifications, а в Firefox 68 при незащищённых обращениях блокируются запросы к вызову getUserMedia() для получения доступа к источникам мультимедийных данных (например, камере и микрофону). В настройки about:config также ранее был добавлен флаг "security.insecure_connection_icon.enabled", позволяющий опционально включить пометку небезопасного соединения для HTTP.

  1. Главная ссылка к новости (https://groups.google.com/foru...)
  2. OpenNews: Обновление Firefox 66.0.5 и 60.6.3 ESR. Отключение некоторых API при доступе без HTTPS
  3. OpenNews: Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов
  4. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
  5. OpenNews: Chrome 68 начнёт помечать все HTTP-соединения небезопасными
  6. OpenNews: Релиз web-браузера Chrome 68
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox, https, http
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (203) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, edv (?), 11:01, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Можно ещё небезопасными помечать ssl-соединения заверенные любыми публичные CA. Оно же тоже небезопасно.
     
     
  • 2.13, Аноним (13), 11:50, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А непубличные CA это какие? Подконтрольные спецслужбам?
     
     
  • 3.24, mumu (ok), 11:59, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Свой собственный
     
     
  • 4.83, имя (?), 15:42, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Предлагаю сообщать о небезопасности пользователи который только включил компьютер
     
  • 4.115, Аноним (115), 18:33, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И кому твой собственный кроме тебя самого интересен? Добавишь свой собственный в список доверенных в твоей собственной установке Firefox, и он будет доверять твоим собственным сайтам.
     
  • 2.67, Аноним (67), 14:15, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть разница между "провайдер МОЖЕТ" подслушать и "провайдер ТОЧНО подслушает". В случае публичныъх провайдер может получит доступ к трафику и сохранит данные в логах, а может нет. Без сертификата точно да.
     
  • 2.140, хотел спросить (?), 00:48, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы не долбаный гугл, то можно было бы делать Certificate Pinning

    А так для гугла надо исключение...

     

  • 1.2, n1rdeks (ok), 11:02, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Расчёсывают под одну гребёнку. Свой сайт не создать. Нужно одобрение дяди сверху.
     
     
  • 2.3, _hide_ (ok), 11:05, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Создавайте, только смотреть никому нельзя, потому что интернет принадлежит... Ну пока ещё делят, делят между собой...
     
  • 2.4, AnonPlus (?), 11:08, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Значок в адресной строке браузера мешает тебе создать сайт?
     
     
  • 3.135, goobels (?), 23:55, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    значок звезды давида на лацкане мешает тебе жить?
     
     
  • 4.148, Аноним (148), 03:26, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Таки помогает!
     
     
  • 5.150, Аноним (150), 05:51, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты не очень хорошо знаешь историю, да? Почитай, когда и где так людей "помечали".
     
  • 4.169, пох. (?), 10:07, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > значок звезды давида на лацкане мешает тебе жить?

    первое время - пару лет даже, кажется - многим совершенно не мешал. Потом мешал, но не так чтоб очень. Потом - время военное, вот после победы заживем!
    Лягушку главное ж варить - медленно. Был один хорошо (само)задокументированный прецедент, до лагеря  чуть-чуть не доехал, жена-немка пинками отправила на запад в уже самый последний момент.

     
  • 3.141, Kuromi (ok), 01:01, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы забвваете чтов  отдаленной перспективе разработчики ФФ хотя вообще отказаться от поддержки HTTP без шифрования. Скажет тот же режим HTTP2 без TLS в фф отказались реализовывать.
    Медленно но верно выдавливают. И да, убирание i из строки адреса сдлеает сложнее выявление чьим сертификатом подписан сайт.
    Вы ведь знаете как это делается, сначала они убирают это из строки адреса в page info, а через год говорят "по статистике никто там это не смотрит, выбрасываем".
     
     
  • 4.142, Аноним (142), 01:56, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда инфа про поддержку?
    Кнопка i и замок в текущих версиях - лдна и та же кнопка. Резонно предположить что нажатие на замок покажет то же окошко, что i а текущих версиях, но до этого конечно довольно трудно догадаться
     
     
  • 5.188, Kuromi (ok), 21:15, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они даже в своем блоге об этом заявляли - https blog mozilla org security 2015... текст свёрнут, показать
     
  • 3.155, Аноним (155), 09:24, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в следующей версии удалят возможность открывать
     
  • 2.5, Аноним (5), 11:11, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Создавай сколько влезет. Только знай что пользователю если и не скажут прямо то точно намекнут о том как он к нему конектится
     
  • 2.7, Аноним (7), 11:18, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Let's Encrypt
     
     
  • 3.11, Owlet (?), 11:43, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Который не работает с дешёвыми хостингами и становится единой точкой отказа?
     
     
  • 4.15, Аноним (7), 11:50, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Говорилось о сайте, для меня домашняя страничка с фотками кота на дешевом хостинге не входит в это понятие.

    Но давайте поставим вопрос иначе. В 2к19 году вообще имеет смысл создавать сайт без сертификата? Не знаю как вы, а я на такие по дефолту не захожу. Провайдеру незачем знать по каким страницам я шарюсь. С этой т. з. инициатива Mozilla очень даже похвальная - подталкивают к тому, чтобы шифрованного трафика в интернете было больше и анбшникам жить было сложнее.

     
     
  • 5.33, Провайдер (?), 12:26, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    DNS? DPI? ХАХАХА
     
     
  • 6.214, ZiNk (ok), 18:43, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    DNS over HTTPS, DPI не помогает против TLS/SSL, тут нужен полный MITM с подменой сертификатов и или внедрение своего корневого или кража чужого закрытого ключа/сотрудничество с существующими центрами не имеющими но и против этого есть https://transparencyreport.google.com/https/certificates?hl=en
     
  • 5.35, Andrey Mitrofanov_N0 (??), 12:36, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Но давайте поставим вопрос иначе. В 2к19 году вообще имеет

    " Первое правило 2к19-клуба всегда и всем рассказывай про как вообще оно надо в 2к19ом году. "

     
  • 5.37, ананимус (?), 12:39, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты забыл про ipmi. Если авторы firefox продолжат развивать этот театр безопасности, то всякие встраиваемые http морды, на безопасность которых всем в общем-то плевать, придется снабжать сертификатами внутри конторы. И никакого letsencrypt, руками рассовывать придется.
     
     
  • 6.189, Kuromi (ok), 21:19, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты забыл про ipmi. Если авторы firefox продолжат развивать этот театр безопасности,
    > то всякие встраиваемые http морды, на безопасность которых всем в общем-то
    > плевать, придется снабжать сертификатами внутри конторы. И никакого letsencrypt, руками
    > рассовывать придется.

    Вы будете таки смеяться. Видео тут недавно сетевую камеру от TP-Link. Так вот, в ней сделан TLS 1.0 (о котором кстати ФФ верещит что через год его поддержку уберут) - потому что там так реализоано вещание LiveView  с камеры в её админке что без HTTPS оно не заводится.

     
  • 5.42, пох. (?), 12:58, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    правильно, должен остаться только пейсбук Ты, кстати, у них на зарплате, или по... текст свёрнут, показать
     
     
  • 6.128, имя (?), 21:51, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> В 2к19 году вообще имеет смысл создавать сайт без сертификата?
    > да. Например, чтобы не сливать информацию о всех мимо пробегавших твоему работодателю.
    > сайт без сертификата
    > чтобы не сливать

    Разверни мысль.

     
     
  • 7.170, пох. (?), 10:11, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> В 2к19 году вообще имеет смысл создавать сайт без сертификата?
    >> да. Например, чтобы не сливать информацию о всех мимо пробегавших твоему работодателю.
    >> сайт без сертификата
    >> чтобы не сливать
    > Разверни мысль.

    лень на тебя время терять. Если тебе эта мысль непонятна - значит ты вообще не знаком с  деталями технологии, которую всем навязывает мурзила и гугль. Но радостно верещишь что "сайт без сертификата очень опастно".

    При том что "во-первых, об этом, разумеется, уже знаю я, во-вторых, конечно же будет знать сам китаец"...

     
     
  • 8.183, имя (?), 16:23, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом H... текст свёрнут, показать
     
     
  • 9.191, пох. (?), 11:39, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    блин, ну нельзя же ТАК тормозить записывай вкратце hpkp отменил гугель То е... текст свёрнут, показать
     
     
  • 10.192, имя (?), 15:57, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ох Если б я так не тормозил, то, например, на моей бы клавиатуре давно бы вырос... текст свёрнут, показать
     
  • 5.131, Аноним (-), 22:13, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В 2к19 году вообще имеет смысл создавать сайт без сертификата?

    Веб интерфейс управления чем-либо локальным, например

     
  • 5.151, Аноним (150), 05:55, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В 2к19 году вообще имеет смысл создавать сайт без сертификата? Не знаю как вы, а я на такие по дефолту не захожу. Провайдеру незачем знать по каким страницам я шарюсь.

    Еще приватное окно открой, тогда провайдер точно не узнает (сарказм).

     
  • 4.27, Аноним (27), 12:13, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > становится единой точкой отказа?

    Это в смысле, заломав Let's Encrypt, можно подделать любой сертификат, выпущенный Let's Encrypt? Так проблема гораздо глубже. Заломав какой-нибудь Comodo, тоже можно подделать любой сертификат, выпущенный Let's Encrypt. Любой CA может выпустить сертификат для любого сайта. Так что, увы, точка отказа далеко не едина.

     
  • 4.34, Домохозяйка анонима (?), 12:30, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Цены на VPS начинаются от $1 в месяц, куда уж дешевле?
     
     
  • 5.76, MT (ok), 15:13, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И каждый владелец сайта или даже веб-разработчик — непременно одновременно ещё и админ, угу.
     
     
  • 6.82, Мама (?), 15:34, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вот и выросло поколение.
     
     
  • 7.93, пох. (?), 17:06, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    людей, умеющих ценить свое время и не тратить его на выполнение скучной неинтересной работы, только ради счастия держать сайтик с котиками? Ну да.

    Они еще, гады такие, и деньги тратить на хостинг с поддержкой всех приседаний с летсшиткриптой и ее однодневками-сертификатами не хотят, видимо, потому что деньги тоже давно не мамины.

     
     
  • 8.193, трурль (?), 21:52, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что за бред, какие приседания Один раз установить certbot и забыть о продлении ... текст свёрнут, показать
     
     
  • 9.194, имя (?), 22:07, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А мониторинг этого 171 навсегда 187 кто организовывать будет Видели мы, как... текст свёрнут, показать
     
  • 4.36, N (?), 12:38, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всмысле не работает? На любую впс за 5 баксов можно поставить.
    А пользоваться типичными российскими ограниченными конструкторами, где нет полноценного доступа к процессам и поддержка только пхп это пережиток прошлого и деньги на ветер.
     
  • 4.47, Аноним (47), 13:06, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, это дешёвые хостинги с ним не работают. А многие "бесплатные" специально сидят на древних версиях софта с формулировкой "хотите нового - меняйте тарифный план" и любые мало-мальски стоящие сайты переводят на платные планы принудительно. there is ain't no thing as free lunch
     
     
  • 5.89, iFRAME (ok), 16:48, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    there ain't no thing as free lunch
     
  • 4.48, BlackRot (?), 13:07, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Let s Encrypt по барабану какой у тебя хостинг, от слова совсем Если на вашем... текст свёрнут, показать
     
     
  • 5.77, MT (ok), 15:15, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Например, Зенон Н.С.П. не поддерживает Let’s Encrypt на «устаревших» тарифах, предшествовавших линейке «Зенон-xxx».
     
     
  • 6.103, Ключевский (?), 17:34, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Например, Зенон Н.С.П. не поддерживает Let’s Encrypt на «устаревших»
    > тарифах, предшествовавших линейке «Зенон-xxx».

    Ну так смени хостера

     
  • 4.118, Гентушник (ok), 19:31, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю о каких хостингах речь, но хостинг который я юзаю не поддерживает Let's Encrypt.
    Однако в acme.sh (юзаю вместо certbot) можно добавлять свои команды (хуки) которые выполняются при установке сертификата.
    На хостинге используется CPanel и у него есть API для залива сертификатов. Добавил в хук вызов этого метода API и готово!
     
  • 4.177, Клыкастый (ok), 10:52, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле "не работает"?
     
  • 2.40, Аноним (40), 12:48, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Свой сайт не создать.

    Легче и дешевле чем когда бы то ни было.

     
     
  • 3.49, BlackRot (?), 13:08, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    100% бесплатно и легко.
     
  • 2.92, AlexYeCu_not_logged (?), 17:04, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Свой сайт не создать.

    Свой сайт?
    В Хроме и клонах уже давно нельзя без лишней мороки зайти на вебинтерфейс роутера или какого-нибудь демона в локалке.

     
     
  • 3.94, Ключевский (?), 17:10, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И зачем ты врешь?
    Все заходит и никаких проблем нет, а главное я не могу придумать какие бы могли быть.
     
     
  • 4.96, AlexYeCu_not_logged (?), 17:17, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >а главное я не могу придумать какие бы могли быть

    Ну вот и подумай, прежде чем незнакомым людям хамить.

     
     
  • 5.97, Аноним (97), 17:26, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну судя по всему это проблема конкретно твоего браузера.
    У меня тоже никаких проблем не наблюдается
     
     
  • 6.124, AlexYeCu_not_logged (?), 21:14, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну судя по всему это проблема конкретно твоего браузера.
    > У меня тоже никаких проблем не наблюдается

    Ок, беспроблемный ты наш, как в Хроме/Хромиуме добавить в исключения https ресурс, если браузеру не нравится (пусть даже по вполне объективным причинам) сертификат?

     
     
  • 7.133, KonstantinB (ok), 22:40, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Certificate -> Export + certutil
     
     
  • 8.138, AlexYeCu_not_logged (?), 00:15, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Без мороки ... текст свёрнут, показать
     
  • 8.171, пох. (?), 10:17, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это если хромой соизволит, после долгих уговоров, сайт вообще открыть А он може... текст свёрнут, показать
     

     ....нить свёрнута, показать (52)

  • 1.6, Аноним (6), 11:15, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очень важно чтобы ни одно фото котика не осталось незашифрованным при передаче. :)
     
     
  • 2.52, BlackRot (?), 13:09, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    речь не о фото, а о ваших паролях и данных кредитных карт, или о другой важной информации которую вы отправляете или принимаете.
     
     
  • 3.159, Аноним (155), 09:34, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а что с шифрованием нельзя отправить?
     
  • 3.178, Аноним (6), 10:53, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Именно поэтому нужно зашифровать абсолютно все соединения в интернете Даже на т... текст свёрнут, показать
     

  • 1.8, Аноним (8), 11:33, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    и как раньше интернет существовал-то, небезопасный?.. 25 лет в страшной опасности
     
     
  • 2.9, Аноним (27), 11:41, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как галактика что ли?
     
     
  • 3.17, Аноним (17), 11:51, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Давным-давно в далёкой-далёкой галактике ..." (с)
     
  • 2.19, Аноним (7), 11:54, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Комфортно существовал, пока был наводнен айтишниками. Как только полез бизнес, биг дата, толпы хомяков и прочий мусор - стало небезопасно.
     
     
  • 3.30, Аноним (8), 12:16, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как только полез бизнес

    Крах доткомов - 2000й год.


    > толпы хомяков

    Майспейс - 2003й. Одноклассники - 2006й.

     
     
  • 4.45, Аноним (7), 13:04, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Я же не виноват, что ты не застал более ранние времена.
     
     
  • 5.63, Аноним (8), 13:44, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ни к селу, ни к городу рассказать о своей олдовости, ага.
     
     
  • 6.70, Аноним (7), 14:30, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я же не виноват, что чтобы понять написанное выше, тебе надо хотя бы закончить школу.
     
     
  • 7.75, Аноним (8), 15:05, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да как же тебя понять, коли ты херню городишь? (с)
     
     
  • 8.79, Аноним (7), 15:17, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Объясню в 90-х он и был относительно безопасным В начале-середине нулевых пере... текст свёрнут, показать
     
     
  • 9.81, Аноним (8), 15:29, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С чего вдруг он стал небезопасным в начале нулевых При чём здесь айтишники, биз... текст свёрнут, показать
     
  • 9.84, Аноним (8), 15:44, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно, разверну мысль Защищённый протокол продаётся не как защита от спецслужб,... текст свёрнут, показать
     
     
  • 10.86, Аноним (7), 16:00, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Этого я не утверждал, но в сегодняшних реалиях это самое очевидное его преимущес... текст свёрнут, показать
     
     
  • 11.91, пох. (?), 17:03, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    тогда у меня для тебя очень хреновая новость http isrg trustid ocsp identrust... текст свёрнут, показать
     
     
  • 12.100, Аноним (7), 17:31, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну о 100 безопасности при доступе по https я речи не вел Но вот жизнь любителя... текст свёрнут, показать
     
     
  • 13.108, пох. (?), 18:12, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    каким Вот этим, из трендмикры - упрощается, раньше они вообще о тебе ничего не ... текст свёрнут, показать
     
     
  • 14.119, Гентушник (ok), 19:37, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может и не интересно, но подсматривать всё же обязан Пакетик яровой же ... текст свёрнут, показать
     
     
  • 15.121, пох. (?), 20:04, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пока не реализован И если и будет - очень вероятно, что реализуют его так, что ... текст свёрнут, показать
     
     
  • 16.136, Аноним (136), 00:01, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так говоришь, как будто товарищмайор - единственный, кому ты по-настоящему до... текст свёрнут, показать
     
     
  • 17.172, пох. (?), 10:21, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у него в кармане имеются очень убедительные аргументы То есть ему не доверять н... текст свёрнут, показать
     
  • 13.112, Аноним (112), 18:24, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Прозрачной занавесочкой отгородился На все вопросы - ну так, прозрачная же ... текст свёрнут, показать
     
  • 12.109, Аноним (109), 18:16, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут, скорее, не о безопасности А о том, что сотовые и не очень провы всё ещё ... текст свёрнут, показать
     
     
  • 13.114, пох. (?), 18:30, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты вот правда думаешь, что мурзилу беспокоят полтора сотовых монополиста в одной... текст свёрнут, показать
     
     
  • 14.122, Аноним (109), 20:26, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да ваще не Зачем проталкивают https мы все знаем Кто не знает, тому не надо ... текст свёрнут, показать
     
  • 3.69, threescarth (ok), 14:27, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чувство собственной важности не жмёт?
     
  • 2.105, Аноним (105), 17:55, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пару лет назад был в Индии, их сайты напомнили мне начало нулевых. Например, было непривычно сабмитить хтмл форму через незащищенный HTTP.
     

     ....нить свёрнута, показать (25)

  • 1.10, Аноним (10), 11:42, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На развлекательных и новостных сайтах - абсурд. Любые статические сайты тоже.
     
     
  • 2.23, Аноним (23), 11:58, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да правильно они все делают. Вам не предлагается не открывать, просто будет информация что это не безопасно
    Сейчас он развлекательный, а через минуту хоп, и в комментах поперло что-то не то. Зачем это надо?
     
     
  • 3.25, mumu (ok), 12:03, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никто никого не сжигает. Просто пока вешают на вас бирку.
    Если какая-то бабка обозвала вас ведьмой, это же не значит, что сразу на костёр. Можно же и понасиловать для разнообразия.
     
  • 2.26, Аноним (26), 12:11, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это выглядело абсурдом до того, как большинство сотовых операторов не начало подставлять в HTTP-трафик свои виджеты и рекламу. Про подставновку вредоносного кода в локальной сети при хаке шлюза и говорить нечего (устанавливаемые клиентам беспроводные точки доступа и модемы поголовно дырявые и их уже сотнями тысяч автоматизированно ломают). Проблема не в том, что кто-то подсмотрит, что вы читайте, а в том, что теперь массово в транзитные запросы HTTP подставляют разную гадость.
     
     
  • 3.66, Аноним84701 (ok), 14:07, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще-то это должно решаться уровнем повыше 8211 законодательном Иначе это... текст свёрнут, показать
     
     
  • 4.73, Аноним (73), 15:01, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обход шифрования? Запили, может нобелевку получишь.
     
     
  • 5.80, Аноним84701 (ok), 15:19, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Обход шифрования? Запили, может нобелевку получишь.

    MITM? Принудительное проксирование? Отказ в доступе к магазину, если магазин не поделился с провайдером?
    Перенаправление всех нерасшифровываемых(или просто не загрузивших рекламу) на
    "Чтобы получить доступ к сети, скачай и установи приложение по ссылке: <добавляльщик провайдера к root CA> или <плагин для браузера, скачивающий и показывающий рекламу> или <придумать свое>"
    с возможностью свободного выбора: установить или сидеть без интернета, потому что провайдер единственный на сотню км вокруг или потому что все провайдеры между собой договорились и оно везде теперь так, ведь  четко прописанные обязанности, полномочия и запреты для провайдеров "НИНУЖНА, есть HTTPS!"?

    Не, не слышали …

     
     
  • 6.129, DerRoteBaron (ok), 21:53, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все кроме "договориться с владельцем сайта" работает плохо. Спасибо гуглу и Android.
    И это, наверное, первый случай, когда я публично благодарю Google за изменения в Android.
    То ли с Android 6 (API 23) то ли с Android 7 (API 24) приложения будут доверять подсунутому пользователем сертификату только если в коде приложения это явно разрешено.
    Из способов обхода только изменение приложения, либо изменение вшитых в ОС сертификатов.
     
     
  • 7.184, Аноним (184), 16:45, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все кроме "договориться с владельцем сайта" работает плохо. Спасибо гуглу и Android.
    Из способов обхода ... изменение вшитых в ОС сертификатов.
    ---
    На ноль поделил.
     
  • 7.203, Lefsha (?), 18:22, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Android 6 (API 23) то ли с Android 7 (API 24) приложения будут

    Вы из какого года пишите. У нас на дворе 2019 и Андроид 9.

     
  • 4.143, Аноним (142), 02:02, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, законодательство то намного сильнее криптографии
    А какие у тебя еще есть интересные способы гонять пароли по сети, которые не эквивалентны оборачиванию в тлс? (не говоря о способе хранения в базе)
     
     
  • 5.147, Аноним84701 (ok), 03:01, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Угу, будете слать шифрованые пакеты по RFC 2549, если провайдер решит, что подсо... текст свёрнут, показать
     
     
  • 6.156, Аноним (142), 09:27, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    О как от тлса шагнули до вайтлистов сразу. То есть, по твоему, раз законодательство не работает, надобно еще заодно и криптогоафию не использовать, все равно же бесполезно
    С впа, конечно, отличный пример. Жалко только что у впа стоит задача о обмене ключами, и только в следствии этого - аутентификации. В интернете же обычно стоит задача максимально прочто обеспечить только аутентификацию. И зачем, значит, тебе надо было так нагло подменять контекст?
     
     
  • 7.180, Аноним84701 (ok), 12:06, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, это ты решил почему-то, что сотовые операторы встраивают свою рекламу искл... текст свёрнут, показать
     

  • 1.16, Аноним (16), 11:51, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    все худщее копируют с гугла. а ведь могли бы своим путем идти.
     
  • 1.18, Аноним (16), 11:53, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    на каком-нибудь простом одноплатнике статический сайт уже не похостишь. шифрование будет сжирать проц.время, которого там и так нехватает.
     
     
  • 2.46, Аноним (46), 13:05, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В AArch64 вроде бы AES/Sha-1 инструкции в стандарте?
     
     
  • 3.78, НяшМяш (ok), 15:16, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я помню, за криптографические функции ARMу надо заносить отдельно, так как в основной поставке дизайна процессора их нет. Так что у каких-нибудь полуподвальных китайских одноплатников могут появиться проблемы.
     
     
  • 4.144, Аноним (142), 02:07, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    risc-v походу надо
     
  • 2.95, Ключевский (?), 17:11, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И ведь снова вранье. На Orange Pi Zero проблем нет, сайт работает и не жужжит. Объясни мне зачем ты врешь? Понятно, что ты за то, что бы товарищ майор мог читать чужой трафик, но зачем так явно врешь?
     
     
  • 3.110, пох. (?), 18:16, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И ведь снова вранье. На Orange Pi Zero проблем нет, сайт работает

    не у всех сайты с полутора посетителями в год (или как у тебя, с единственным), и не все любят кипятильники типа orange pi.

    > и не жужжит. Объясни мне зачем ты врешь? Понятно, что ты
    > за то, что бы товарищ майор мог читать чужой трафик, но

    ну вот он это прочитает, и что? Премию, думаешь, мне выпишет? Или себе, хотя бы?

    или с горя застрелится, что приходится иметь дело с таким феноменально глупым населением?


     

  • 1.20, Штунц (?), 11:56, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как раз на Опеннете и проверим
     
     
  • 2.28, Аноним (26), 12:14, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http wiki opennet ru ForumHelp FAQ Почему до сих пор для всего сайта не сделан... текст свёрнут, показать
     
     
  • 3.57, BlackRot (?), 13:19, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    переходной период закончился, уже старых телефонов нет, можно делать принудительный переход на https.
    я так сделал 2 года назад и трафик совершенно не изменился на сайте, кажись даже быстрее подниматься начал)
     
     
  • 4.107, Аноним (109), 18:08, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > уже старых телефонов нет

    Нет есть.

     
     
  • 5.134, BlackRot (?), 22:42, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть, нерабочие на свалке. У меня есть и рабочий, в коробке на шкафу.
    Скажите, кто сейчас пользуется интернетом на старом телефоне?
    Сейчас у всех сенсорные телефоны, планшеты, современные версии браузеров которые спокойно работают с https.
    Тот контингент который использует древние аппараты явно не сидит с них в интернете. Но я вас конечно переубеждать не буду, вам же в окно лучше видно.
     
  • 3.204, Lefsha (?), 18:28, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Принудительного редиректа любого запроса на HTTPS не будет, так как у пользователей должна быть возможность выбора

    Требую сделать поддержку первой Nokia, которая без WiFi. Сайт посылать через SMS,
    а лучше на дом в печатном виде! Не у Всех есть телефоны и электричество!

    P.S. Боже! Откуда столько идиотов... В каком веке они живут? В какой стране они живут и так понятно...

     

  • 1.21, Аноним (23), 11:57, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    давно подумываю а что если у себя на роутере http трафик вообще запретить, оставить только https?
     
  • 1.22, тоже Аноним (ok), 11:57, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Переход к пометке HTTP небезопасным является продолжением ранее предпринятых попыток форсирования перехода

    Извилинам читающего угрозу вижу я здесь...

    Кстати, об Опеннете. У меня браузер помнит его еще HTTP-шным, и сам сайт, открытый так, выдает в углу зачеркнутую надпись HTTPS. Кто-нибудь может объяснить логику, по которой эта надпись ведет в личный кабинет, а не на HTTPS-адрес открытой страницы?
    То есть на этой-то странице она ведет правильно, а вот при заходе тупо на http://opennet.ru ссылка указывает на https://www.opennet.ru/cgi-bin/opennet/rb2?login_js

     
     
  • 2.31, Аноним (27), 12:20, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, поправили уже.
     
  • 2.32, Maxim Chirkov (ok), 12:21, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > То есть на этой-то странице она ведет правильно, а вот при заходе
    > тупо на http://opennet.ru ссылка указывает на https://www.opennet.ru/cgi-bin/opennet/rb2?login_js

    Это баг из-за вызова через JavaScript. Исправил.

     
     
  • 3.51, тоже Аноним (ok), 13:09, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это баг из-за вызова через JavaScript. Исправил.

    Тогда уж задам очевидный вопрос: а что не просто редирект? Кто-то обращается к сайту не из браузеров?

     
     
  • 4.60, Maxim Chirkov (ok), 13:39, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Моя позиция в том, что сайт не должен принуждать к использованию других технологий, выбор должен осознанно делать пользователь. Существуют обстоятельства, когда достаточно доступа по HTTP.  Например, когда провайдер и инфраструктура заслуживают доверия, и не используется аутентифицированный вход на сайт, для просмотра в режиме только для чтения шифрование не обязательно. Жесткая же привязка к HTTPS ставит сайт в зависимость от дополнительных сущностей, таких как удостоверяющий центр, код проверки сертификатов в браузере, списки отзыва сертификатов, код своевременного обновления  сертификатов и т.п. Случаев когда сайт превращался в тыкву из-за необдуманного применения PKP/HSTS или потери контроля за хостингом полно.

    Предупреждение, что не используется  HTTPS выводится в шапке на каждой странице OpenNet, этого вполне достаточно. Для мобильный устройств была попытка жесткой привязки к HTTPS, но сразу посыпались жалобы о несовместимости с сертификатом Let's Encrypt. Была идея использования HSTS только при изначальном заходе по HTTPS, но я пока не решаюсь её реализовать.

    Если уж на то пошло, задача перекидывания на HTTPS браузера, а не сайта. В Firefox 70 сделают метку небезопасного соединения для HTTP, но почему-то до сих пор если набрать site.com без http:// и https:// по умолчанию открывается http://. Здесь нужно менять в первую очередь поведение по умолчанию и добавлять в настройки опцию, которая позволяет если хоть раз зашёл по https, в дальнейшем автоматически перекидывать на https.

     
     
  • 5.72, Аноним (7), 14:37, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У вас на страницах довольно много ссылок, которые ведут на http. Лучше их сделать относительными.
     
  • 5.213, Lefsha (?), 22:03, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С чего Вы решили, что Вы один понимаете суть Т е Google сути не понимает, а Ва... текст свёрнут, показать
     

  • 1.29, Аноним (29), 12:15, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Читаю коменты, вижу кое-что понимать начали. А то полгода назад при подобной новости сплошной кипучий восторг по поводу того, что "все становится бизапасне". От провайдера конечно защитят, как и от всего остального - того что хочешь и не очень.
     
     
  • 2.38, Аноним (23), 12:46, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Функция ориентирована на массового потребителя. Если у тебя какая-то своя малинка стоит в локалке и работает по http никаких проблем, игнорируй сообщение о безопасности и продолжай. Ты сам все прекрасно понимаешь.
    Тут функция для домохозяйки.
     
     
  • 3.44, Аноним (44), 13:01, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А если они http рубанут вообще. Как ты запоёшь интересно?
     
     
  • 4.55, BlackRot (?), 13:13, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не рубонут, с чего такие мысли?
    на такой шаг они не пойдут я уверен. слушком много коричневой жижи упадёт на головы разработчиков браузеров, да я сам их за такие вещи добавил бы в спам рассылку
     
     
  • 5.116, Michael Shigorin (ok), 18:41, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > с чего такие мысли? на такой шаг они не пойдут я уверен

    Прям Operation Unthinkable, ага.

     
  • 3.120, Аноним (120), 19:54, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > для домохозяйки

    но зачем?
    у домохозяйки уже есть chrome

     

  • 1.41, Аноним (41), 12:49, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати, обратите внимание - wosign тихой сапой разблокировали - стоило только тем отказаться от идеи раздавать сертификаты забеслатно. хотите торговать dv за 488юаней + 388 за каждый дополнительный altName? Пожалуйста! А вот с бизнесом startssl конкурировать не смейте, это - кого надо нога!

     
     
  • 2.54, Аноним (47), 13:11, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за инфу, пойду забаню у себя в браузере все китайские корневые серты.
     
     
  • 3.90, пох. (?), 16:48, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    шнур еще из розетки выдернуть не забудь!

    А то шапочка из фольги не поможет.

    P.S. тебя ждет много интересных и занимательных приключений, поскольку современный браузер _ничего_ тебе не покажет, если таким сертификатом будет закрыта не корневая страница сайта, а аякс/банальный css/картинки/скрипты. Просто _молча_ их проигнорирует.

    Последним браузером, который еще мог работать, доверяя конкретным сертификатам, а не у6людочной идее "CA", была мазила 3.6

     

  • 1.43, Аноним (43), 13:00, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что теперь мне, например, делать? У меня на баше на одноплатнике крутится простой сервак с минимальным статичным контентом, который парочка клиентов заходит глянуть (там, типа, индикаторы "у вас все ок, можно не звонить")?

    Есть какие-то демоны, которые прозрачно пробросят https<->http на локальной машине, и так, чтобы все ресурсы на это не ушли? Ось - линь.

     
     
  • 2.50, Аноним (73), 13:09, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что тебе мешает не делать ничего?
     
     
  • 3.61, Аноним (43), 13:43, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    паника клиентов, которые будут задалбывать вопросами "у вас там вирусы , да?"
     
     
  • 4.74, Аноним (73), 15:02, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И ты этой паре клиентов по чесноку всё объяснить не сможешь что ли? Ну офигеть теперь.
     
     
  • 5.102, Аноним (43), 17:34, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это клиенты, а не друзья.
    И если браузер большими красными буквами им будет писать "АЗАЗА, ЗДЕСЬ ТРОЯН", они каждый раз будут меня доставать по телефону "а проверьте, пожалуйста, что там у вас сломано"; плюс будет страдать репутация "он по полгода не исправляет опасных вещей".

    В общем поднагадили мне эти фурри...

     
     
  • 6.117, Ононимко (?), 19:08, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если это клиенты, то они должны приносить деньги. Соответственно отношение к веб-сервису должно быть как к инструменту. Текущий инструмент перестал удовлетворять бизнес / клиентов - инвестируй в апгрейд / новый инструмент.

    Если клиенты денег НЕ приносят, то может ну его, таких клиентов? Или такой "бизнес"?

     
     
  • 7.185, Аноним (184), 16:51, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот обожаю интернетовские обсуждения. Специалисты от батонов до контрацептивов.
    > Текущий инструмент перестал удовлетворять бизнес / клиентов - инвестируй в апгрейд / новый инструмент.

    Прямо сто советов как стать миллионером. Без тебя не догадались бы. Правда на вопросы - за чей счет сей банкетец-то? Глазки в сторону отводят. И главное поставить телегу впереди лошади. Задаться вопросом - а зачем поголовный хттпс - да ни в жизнь. Лучше коучером на опеннете поработать.

     
  • 2.53, mimocrocodile (?), 13:10, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    nginx же
     
     
  • 3.62, Аноним (43), 13:43, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ?
    он умеет так делать? спасибо, пойду гляну.
     
  • 2.56, BlackRot (?), 13:15, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    какой веб сервер используете?
    это можно сделать легко и совершенно не скажется на потреблении памяти
     
     
  • 3.64, Аноним (43), 13:44, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    bash

    типа https://habr.com/ru/post/37245/ но понятнее

     
     
  • 4.190, Аноним (190), 09:54, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    По ссылке не баш, а nc
    Сама командная оболочка не умеет прослушивать TCP-порты.
     
  • 2.58, Ordu (ok), 13:26, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня на баше на одноплатнике крутится простой сервак с минимальным статичным контентом, который парочка клиентов заходит глянуть (там, типа, индикаторы "у вас все ок, можно не звонить")?

    Парочка клиентов? Это в смысле 2 запроса в сутки? Или в минуту? Но в любом случае твой одноплатник не заметит нагрузки на шифрование, просто поставь nginx в режиме reverse proxy и всё будет норм.

     
     
  • 3.59, Аноним (44), 13:33, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А как ты в железяку собрался сертификат добавлять?
     
     
  • 4.71, Ordu (ok), 14:34, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я никак не собрался. Идея держать сайт на одноплатнике -- это хорошая идея, мне нравится, но это связано с проблемой поиска достаточно хорошего соединения с сетью, поэтому нафиг.

    Но если ты хочешь это сделать, и не знаешь как, то я бы предложил воспользоваться ssh. Я с малинкой именно по ssh и общаюсь, самый удобный способ.

     
  • 3.65, Аноним (43), 13:45, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо.
    Выше тоже порекомендовали - уже ушел смотреть.
     
  • 2.111, Аноним (111), 18:17, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Есть какие-то демоны, которые прозрачно пробросят https<->http на локальной машине, и так, чтобы все ресурсы на это не ушли?

    Например, https://github.com/varnish/hitch
    А вообще гугли ssl termination

     
     
  • 3.132, Аноним (43), 22:39, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!
     
  • 2.113, пох. (?), 18:25, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    арендуешь vps с однодолларовыми, правда, нынче напряженка, добрые итальянцы при... текст свёрнут, показать
     
     
  • 3.126, Аноним (43), 21:27, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > арендуешь vps

    И заодно вставляешь себе в задницу очередной анальный зонд. Нет, спасибо - у меня нет желания делиться с поставщиком услуги и, заодно, проходящими рядом взломшиками секретными данными клиентов.

     
     
  • 4.173, пох. (?), 10:27, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И заодно вставляешь себе в задницу очередной анальный зонд. Нет, спасибо -
    > у меня нет желания делиться с поставщиком услуги и, заодно, проходящими
    > рядом взломшиками секретными данными клиентов.

    секретные данные клиентов, ходивших на одноплатник по http ради странички "система работает/у системы плановые выходные, звонить в техподдержку не надо" ? Ню-ню.

    А анальный зонд тебе присунут без твоего желания, других браузеров и других поставщиков сертификатов у нас уже нет.

     

  • 1.68, Аноним84701 (ok), 14:19, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты

    После  'сообщества' пропущено уточнение и перечисление:
    корпораций Cisco, Google, Facebook, Akamai, OVH
    честнейше заверяющих, что и  Vasyan, Johnny и Hans-Peter имеют возможность контроля :)

    Board of Directors
    Josh Aas (ISRG)
    Richard Barnes (Cisco)
    Aanchal Gupta (Facebook)
    Pascal Jaillon (OVH)
    Stephen Ludin (Akamai)
    Laura Thomson (Mozilla)

     
     
  • 2.85, Фанника План (?), 15:56, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Странно, что гугла в списке нет.
     
     
  • 3.88, мурзилла (?), 16:44, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мы знаем, кто нас ужинает, не переживайте.
     
  • 3.137, OpenEcho (?), 00:08, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нафиг они гуглю, они нагнули весь интернет чтоб он был через HTTPS под видом беспокйства о нас грешных, но по факту -  у них certificate transparency хостится не только от летскрипта, а также от всех других CA.

    User ->https://site
    User<-htpps://site/public-cert
    User->OSCP(if (htpps://site/public-cert) isValid)

    Result = юзверь засветил на OSCP свой IP и сайт куда он ходил(как часто и т.д. и т.п.)

    просто еще один механизм иследовать поведение и преференсы хомоНоНеСапиенс

     
     
  • 4.174, пох. (?), 10:33, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > у них certificate transparency хостится не только от летскрипта, а также

    certificate transparency - это не ocsp. Это совершенно отдельная мулька, предназначенная для шантажа и планомерного истребления уцелевших независимых CA (и вот после этого - будете пользоваться единственно-верным с его единственно-верным ocsp, ага).
    Браузеры к нему не обращаются, зачем, и что делать пользователю с этой информацией?

    > просто еще один механизм иследовать поведение и преференсы хомоНоНеСапиенс

    и управлять им - никто ведь не обещал что неправильный сертификат неправильного домена нельзя внезапно поменять, ничего ни в какую транспаренсию при этом не отправляя? Для этого, если что, всего-то и нужен закрытый ключик CA.
    Ну или просто объявить отозванным из соображений мира и демократии.

     
     
  • 5.179, OpenEcho (?), 11:14, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Браузеры к нему не обращаются, зачем, и что делать пользователю с этой
    > информацией?

    а вдруг какой CA сломают и наподписывают левых certs?
    Это-ж все забота о юзерах и безопасности, их ведь эти CA каждый день ломают, и народ сидит и мониторит CT, чтоб котиков по MITM не просматривали, а  бедные браузеры, ну никак не могут отозвать хакнутый CA, у них же телеметрия только в одну сторону строчит (Т-с-с-c, мы не слышали как будто, как они удаленно могут обновлятся)

    > Ну или просто объявить отозванным из соображений мира и демократии.

    автоматом получать список активных доменов - вот IMHO и есть основное назначение CT log-a, ну и прибить непокорных CA в случае чего, если не будут сливать подписанные сerts

     
     
  • 6.181, пох. (?), 15:11, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    они даже хакнутый серт отозвать не могут - потому что загрузка crl ов выполняла... текст свёрнут, показать
     
     
  • 7.187, OpenEcho (?), 18:03, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    грустно это все, от того что правда ... но пока люди не перестанут верить в чудеса и обезяничать по любoму поводу, то так оно всегда и будет - пастухи и бараны. (Не баран, нет? ничего страшного, толпа баранов все равно затопчит, когда побежит за новой халявушкой от пастуха)

     

  • 1.87, Аноним (87), 16:24, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше бы этой мозиле добавить проверку используемых корневых сертификатов:

    https://www.opennet.ru/openforum/vsluhforumID10/5494.html

    Пользы для безопасности будет больше.

     
  • 1.99, anono (?), 17:31, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    тупо глобальный развод на бабки покупать сертификаты...
     
  • 1.106, Аноним (106), 17:56, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    могли бы хоть для локальной сети разрешить убрать надписи недоверенного шифрования для https или так можно ?
     
  • 1.127, Аноним (127), 21:36, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Половина интернета под контролем Let's Encrypt никого не смущает? Децентрализованная сеть, ага.
     
     
  • 2.139, OpenEcho (?), 00:47, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Shipple удивительно хорошо предсказуем:

    халява = сыр в мышеловке

    даже если смартные это понимают, они ничего не изменят, толпа халавщиков банально сомнет

     
     
  • 3.146, Аноним (142), 02:14, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я вижу несколько другую перспективу: подпись сертификата практически не требует никаких затрат, кроме (право сказать, ничтожного) процессорного времени на непосредственно подпись сертификата. Это - не халява, а, напротив, вполне успешная попытка не торговать воздухом.
     
     
  • 4.154, OpenEcho (?), 08:46, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это - не халява, а, напротив, вполне успешная попытка не
    > торговать воздухом.

    Бесплатно - это не  халява ?

    Правда верите в чудо, что такие монстры как facebook, cisco, ovh, google просто из любви к человечеству отстегивают бабло на существование letsencrypt ? (а содержать это добро для человечества не так уж и дешево)

    коммунизм даже при союзе не получилось построить, а уж ожидать такой щедрости от капитализма, я извиняюсь, но это очень наивно.

     
     
  • 5.158, Аноним (142), 09:32, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну я стало быть на халяву вдыхаю воздух на улице. Так метафора яснее?
    Я не берусь строить конспирологических теорий, я хочу лишь отметить что это именно тот путь, который выглядит более здоровым, в противовес продаже цертов
     
     
  • 6.168, пох. (?), 10:01, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну я стало быть на халяву вдыхаю воздух на улице.

    воздух пока еще не производит конгломерат из циски, шиттитраста и гуглезилы, причем запретив это делать всем остальным под высосанными из пальца предлогами, так доходит?
    А когда начнет, потому что уличный "случайно" окажется загажен так, что им дышать невозможно - еще как ты эту халяву начнешь им отрабатывать.

    > Я не берусь строить конспирологических теорий, я хочу лишь отметить что это именно тот путь,
    > который выглядит более здоровым,

    да-да, уничтожение всех бесплатных сертификатов кроме единственно-верного CA с идиотской политикой, исключающей любой способ пининга - безусловно более здоровый.

    Санитары, блин, вы где?!

     
  • 6.176, OpenEcho (?), 10:48, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну я стало быть на халяву вдыхаю воздух на улице. Так метафора
    > яснее?

    Вот если бы ваш собственный self-signed certificate принимался бы браузерами без воя, тогда метафора годится. В случае же с летсэнкриптом - нет. Cодержать дата центр, с оборудованием и инжинерами, верифицурующим ownership, обслуживающими пол мира - это далеко НЕ free ВОЗДУХ, это очень затратно, значит бухгалтерский баланс как то должен сбиваться. Дальше как в физике - энергия не появляется из ничего и не изчезает в небытие. Если вам дали халяву, значит есть выгода, которая покроет расходы на летсэнкрипт и еще на икорку останется. И отгадайте, кто в итоге косвенно покроет все затраты...

    > Я не берусь строить конспирологических теорий, я хочу лишь отметить что это
    > именно тот путь, который выглядит более здоровым, в противовес продаже цертов

    продажa цертов - это сервис, гарантирущий что сертификат действительно принадлежит хозяину, а это работа по верификации документов(которая должна оплачиваться), плюс гарантийная выплата  довольно большой страховки в случае если CA лохануся с верификацией.

    Много страховки вам выплатит letsencrypt в случaе, если сайт хакнут и автоматом нагенерят сертификатов на имя хозяина домена?

     
     
  • 7.182, пох. (?), 16:02, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > продажa цертов - это сервис, гарантирущий что сертификат действительно принадлежит хозяину,
    > а это работа по верификации документов(которая должна оплачиваться), плюс гарантийная выплата

    я бы как раз это оставил на желание и кошелек клиента.

    Меня вполне устраивает сертификат с "this website does not supplied ownership information" (владелец не обязан светиться перед всеми) и возможность выбора, нужна мне такая страховка или нет. Для сайта, не обрабатывающего чьи-то платежи - очевидно, это лишние расходы на малонужную деятельность.

    Ну и отдельно непонятно, как быть со страховкой, если сертификат выпущен потому, что товарищмайор очень-очень попросили (что случалось, причем это были intermediate).

     
     
  • 8.186, OpenEcho (?), 17:55, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    100 пудово согласен должны быть разные уровени сертификации, кому то нужнa пр... текст свёрнут, показать
     

  • 1.130, DerRoteBaron (ok), 22:13, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То, что HTTPS и вообще вся система доверия в сети построена не пойми на чём, не делает использование HTTP без реализации шифрования поверх HTTP в публичных сетях сколько-нибудь благоразумным.
    ISP, подставляющие рекламу и вредоносный JS только вершина всего телеком позорища.
     
     
  • 2.201, Lefsha (?), 18:15, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сами поняли, что написали? - похоже что нет.
     

  • 1.145, Аноним (142), 02:10, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут, в комментах, невероятное количество людей, которое увидело в этом нововведении непреодолимое препятствие от хостинга своих сайтов на одноплатниках и плохих хостингах. Господа, а чем вам вообще мешает этот замочек? Как он препятствует использованию сайта?
     
     
  • 2.152, namenameless (?), 07:07, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это пока замочек. Потом будет предупреждение, а потом на части устройств вообще открываться не будет.
    И сертификат не получишь так просто, нужно будет пройти верификацию на отсутствие неправомерного контента...
     
     
  • 3.160, Аноним (142), 09:34, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А еще война начнется, ух, страшно
     
  • 3.165, пох. (?), 09:52, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это пока замочек. Потом будет предупреждение, а потом на части устройств вообще
    > открываться не будет.
    > И сертификат не получишь так просто,

    как минимум, ты не можешь получить сертификат на ip (тем более из приватных диапазонов) или на не-публичный dns name. Каждому холодильнику и каждому ipmi в закрытой и изолированной air-gap сети - по публичному имени! И менять сертификат два раза в день, а то ж "пользователи же ж тyпые! они же ключи теряют без конца, нельзя давать им долгосрочные сертификаты, никак нельзя!"

    надо бы еще self-signed запретить окончательно, и вообще перестать допускать юзера манипулировать сертификат стором, по крайней мере пока не перекинет двадцать скрытых преференсов в пяти недокументированных файлах.


     
  • 3.200, Lefsha (?), 18:13, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что мешает получению сертификата? - Отсутствие знаний? - Тогда наймите человека или фирму и Вам сделают сертификат
     
     
  • 4.215, torbasow (ok), 13:48, 30/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы точно думаете, что это нормально - предлагать человеку платить деньги, чтобы всё работало, как раньше, и радоваться?
     

  • 1.153, namenameless (?), 07:17, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще в этом безумии с браузерами есть последовательность, возможно это во мне проблема, но от подобной фигни я начинаю верить в ZOG.
    Все эти иногда довольно мелкие изменения призванные сделать так, чтобы браузер был в том числе как можно менее контролируемой платформой.
    Самое интересное, что и лиса и хром проводят здесь одинаковую политику. Если прочитать все изменения в браузерах за последнее время, то они просто складываются в линию и хитрый план.

    Можно мне галоперидолу?

     
     
  • 2.166, пох. (?), 09:55, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще в этом безумии с браузерами есть последовательность, возможно это во мне
    > проблема, но от подобной фигни я начинаю верить в ZOG.

    newer attribute to malice that which is adequately explained by stupidity, к сожалению.
    Главаря ЗОГ можно скормить пираньям в собственном пруду, отправить из собственной пушки на луну, уговорить превратиться в мышь и сожрать с особым цинизмом - см. телевизор, там много способов демонстрируют.

    Со стадами же баранов, возглавляемых овцой - сделать ничего уже нельзя, жги, Господи!

    > Все эти иногда довольно мелкие изменения призванные сделать так, чтобы браузер был
    > в том числе как можно менее контролируемой платформой.

    "пользователь - тyпой! Ему нельзя ничего доверить контролировать!" (поэтому я не верю что предупреждением в новом-модном баре, где уже не осталось места для url, все и ограничится, это только первый шажок).
    Разработчики гуглезилы и их копчоные менеджеры искренне в эту идею верят, потому что, сюрприз - сами они именно такие, умение кое-как ляпать гуанокод закрывая таски - не делает человека умным.
    А умных и в других местах неплохо кормят, где не надо вежливо улыбаться на code review 3-2рaсам, интересующимся, нет ли в твоем коде случайно харрасмента.

    > Самое интересное, что и лиса и хром проводят здесь одинаковую политику. Если

    индусы у них если и не из одной деревни, то из соседних, чего тебя удивляет?

    > Можно мне галоперидолу?

    только по рецепту, вот вам талончик в очередь на получение талончика на запись к специалисту по направлениям к специалистам, примерное время вашей очереди - через 200 лет, не забудьте отмечаться каждые два часа.

     

  • 1.157, Ilya Indigo (ok), 09:29, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Давно пора!
    У меня уже давно на серверах 80-ый порт даже не прослушивается.
     
     
  • 2.163, Аноним (155), 09:48, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    запрети ещё запуск JS, вход с помощью Хрома и Яндекса
     
     
  • 3.164, Ilya Indigo (ok), 09:51, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > запрети ещё запуск JS, вход с помощью Хрома и Яндекса

    Вы сами поняли что ляпнули?
    1 Как можно запретить с сервера JS, а главное зачем?
    2 запретить != не поддерживать

    P.S. Между прочим, после удаления 80-ого порта, у меня вместе с ним и отпало как минимум 99% вредоносного трафика от всяких ботнетов!
    Лог стал намного приятнее!

     
     
  • 4.198, Lefsha (?), 18:11, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Двоечник.

    Нормальный обычный человек вбивает сайт точка tld. 99.99% никогда не вбивают htpps
    по умолчанию попадая на 80й порт, который у Вас закрыт.

    Это называется сам себе злобный буратино без знаний о мат части.

    Наймите специалиста, если сами не умеете.

     
     
  • 5.202, Ilya Indigo (ok), 18:17, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Двоечник.
    > Нормальный обычный человек вбивает сайт точка tld. 99.99% никогда не вбивают htpps
    > по умолчанию попадая на 80й порт, который у Вас закрыт.
    > Это называется сам себе злобный буратино без знаний о мат части.
    > Наймите специалиста, если сами не умеете.

    1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.

    2 Левша к доске! Рассказывайте что такое HSTS?
    Я не знаю, учитель. :-(
    Садитесь Левша! Два!

    https://ru.wikipedia.org/wiki/HSTS

     
     
  • 6.206, Lefsha (?), 18:51, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.

    Да, ладно. А зачем браузеры хранят историю URL-ов.
    Я лично постоянно вбиваю по 2-5 букв. Обычно на 2-3ей появляется нужный сайт.

    Чтобы зайти сюда через гугл - нужно сначала вбить гугл, а потом вбить название сайта
    и только потом перейти по ссылке через внутренний счетчик гугла...

    Это выглядит как клинический маразм дедушки, которому внучки объяснили как работает интернет.
    И это доказывает, что Вы совсем не понимаете как работает интернет!!!

    Зря Вы так прилюдно в лужу садитесь.


    > 2 Левша к доске! Рассказывайте что такое HSTS?

    Лучше и не продолжайте, а то снова опозоритесь...

     
     
  • 7.207, Ilya Indigo (ok), 19:02, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> 1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.
    > Да, ладно. А зачем браузеры хранят историю URL-ов.

    Как это противоречит тому что я написал?
    > Я лично постоянно вбиваю по 2-5 букв. Обычно на 2-3ей появляется нужный сайт.

    То есть переходите Вы по ссылке сохранённой браузером, а не потому что Вы вбили?
    > Чтобы зайти сюда через гугл - нужно сначала вбить гугл, а потом...

    Чтобы зайти сюда можно просто в строке написать "опенет" на русском и с ошибкой, и гугл Вас поймёт
    > Это выглядит как клинический маразм дедушки,

    Действительно, ведь Опера давным давно придумала вкладки, которыми уже все браузеры используют.
    > И это доказывает, что Вы совсем не понимаете как работает интернет!!!

    Да-да-да, пациент, конечно продолжайте. :-)

    > Зря Вы так прилюдно в лужу садитесь.
    > Лучше и не продолжайте, а то снова опозоритесь...

    Вот именно, если не меня, то послушайте хотя бы себя!

    P.S. До меня только что дошло, если Вы не знаете про HSTS то как Вы собирались предложить админу сайта (Максу) перенаправлять на https, через ,htaccess что ли? XD

     
     
  • 8.211, Lefsha (?), 19:18, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тем что я не перехожу по ссылке от Гугла И о ужас иногда вбиваю название сайта ... текст свёрнут, показать
     
  • 8.212, Lefsha (?), 21:35, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу не отметить выше цитированный бред отдельно 1 HSTS не имеет ничего об... текст свёрнут, показать
     
  • 3.167, пох. (?), 09:57, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > запрети ещё запуск JS, вход с помощью Хрома и Яндекса

    еще надо обязательно перекусить сетевой кабель - я слышал, что без этого даже полный запрет 80го порта небезопастен! Пользователи все равно могут зайти на этот ненужно сайт, и потом жалеть о потерянном времени.

     

  • 1.161, Аноним (155), 09:46, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно вообще запретить открывать все сайты за пределами тора.
    На всех хостингах установить тор и фринет.
     
     
  • 2.175, пох. (?), 10:36, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно вообще запретить открывать все сайты за пределами тора.

    у вас в слове facebook восемь опечаток.

     

  • 1.195, Аноним (195), 08:58, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Перед этим делом пусть придумают, как нормально создавать сертификаты для локальных продуктов.
     
     
  • 2.209, Lefsha (?), 19:05, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Делается wildcard сертификат и на этом все.
    Остальное автоматом.
     

  • 1.196, Lefsha (?), 18:06, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда уже opennet.ru перестанет давать http страницу по умолчанию.
    Бред какой-то неужели не состоянии сделать переброс на https???
     
     
  • 2.199, Ilya Indigo (ok), 18:12, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда уже opennet.ru перестанет давать http страницу по умолчанию.
    > Бред какой-то неужели не состоянии сделать переброс на https???

    Спросил тот, кто ранее сказал что глупо прослушивать только 443 порт.
    Мне Вашу логику действительно не понять.

     
     
  • 3.208, Lefsha (?), 19:03, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Спросил тот, кто ранее сказал что глупо прослушивать только 443 порт.
    > Мне Вашу логику действительно не понять.

    Мда... Оказывается все гораздо хуже чем я думал.
    Хорошо хоть Вы признались, что Вам не понять...
    Это первый шаг на пути просветления. Теперь осталось взять в руки книги
    или ссылки и читать читать читать...

    Подсказка.
    1. www.domain.com - на сегодня автоматически попадает в http://www.domain.com
    Есть разные плагины это изменить, но пока это так!

    2. Вы не можете создать https соединения, если у Вас нет сертификата.
    Вы не получите сертификат например через letsencrypt если у них не будет
    доступа к /.well-known/acme-challenge/ где будет создан файл и прочитан
    CA через ТАДАМ... http доступ, так как другого на тот момент времени нет.
    https еще не работает!

    Есть правда другие способы получения сертификата, но этот тоже очень важный.

    Возможно в последствии можно отказаться от http, но пока веб сервер должен отвечать
    на данном порту и перебрасывать клиента на https соедниение.

    Так делают все!!! адекватные админы. Пример Гугла уже приводился.
    Но если тут кто-то считает, что он умнее, то он ошибается.

     
     
  • 4.210, Ilya Indigo (ok), 19:15, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Мда... Оказывается все гораздо хуже чем я думал.

    Согласен, Вы, пациент, меня не перестаёте удивлять.

    > 1. www.domain.com - на сегодня автоматически попадает в http://www.domain.com
    > Есть разные плагины это изменить, но пока это так!

    Попробуйте перейти на один из моих сайтов сайтов gricargo.com или даже так http://gricargo.com
    Прослушивается у меня только 443-ий порт, и доложите о результатах.
    Только не думайте что это магия - это HSTS!

    > 2. Вы не можете создать https соединения, если у Вас нет сертификата.
    > Вы не получите сертификат например через letsencrypt если у них не будет
    > доступа к /.well-known/acme-challenge/ где будет создан файл и прочитан
    > CA через ТАДАМ... http доступ, так как другого на тот момент времени
    > нет.
    > https еще не работает!

    Так Левша к доске! На этот раз Вы хоть выучили?
    Какие Вы знает поддерживаемые методы подписи сертификата у LE?

    HTTP

    И всё, а ещё 2?

    Я не знаю. :-(

    Садитесь Левша! Снова Два!
    Учите матчасть!
    TLS-ALPN и DNS

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру