Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно



    Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

    Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

    Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?

    Вот как разработчики объясняют это в официальном блоге:
    «Пользователи должны ожидать, что веб безопасен по умолчанию, а их предупредят при возникновении проблемы. Поскольку скоро все страницы HTTP будут отмечены как «незащищённые», мы делаем шаг вперёд и удаляем позитивные индикаторы безопасности, так что неотмеченное состояние по умолчанию становится безопасным».
    Если задуматься, то это впечатляющая смена парадигмы. Судите сами: раньше обычными считались сайты HTTP, а защищёнными — сайты HTTPS. Теперь индикаторы сдвигаются на ступеньку вверх. Обычными становятся сайты HTTPS, а защищённых нет вообще, потому что все обычные сайты считаются защищёнными по умолчанию! Если сайт не защищён сертификатом TLS, то он не не обычный — и заслуживает отдельной индикации как незащищённый!

    То есть защита сайта и шифрование трафика признаются нормой.

    С октября 2018 года (версия Chrome 70) браузер начнёт ещё более явно сигнализировать пользователям о незащищённых сайтах HTTP: серый индикатор станет изменяться на красный, если пользователь попробует ввести данные на веб-странице без шифрования трафика.



    С точки зрения восприятия пользователями это важное изменение интерфейса. Исследования показали, что пользователи не воспринимают отсутствие зелёной иконки с замочком «Защищено» в качестве предупреждения. Явное указание на опасность сайта более заметно.

    В России есть дополнительный повод для шифрования, потому что здесь скоро вступает в силу «закон Яровой» — с 1 октября провайдеры начнут хранить на серверах весь интернет-трафик пользователей. По этому закону операторы и веб-сайты обязаны предоставлять ключи шифрования по запросу спецслужб. Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане. Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.

    Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS» с инструкциями в том числе для Let's Encrypt). Очень скоро Chrome и Firefox начнут помечать как «не защищённые» сайты без HTTPS, так что сайты без защиты рискуют ухудшить свою репутацию в глазах пользователей. Это может негативно отразиться на посещаемости ресурса, если уже не отразилось, ведь отсутствие сертификата уже три года немного понижает сайты в поисковой выдаче Google.



    Объявляем акцию «Больше киберзащиты спорту»!
    image

    GlobalSign присоединяется к празднованию самого грандиозного события всех спортсменов и футбольных болельщиков – ЧЕМПИОНАТУ МИРА ПО ФУТБОЛУ 2018 и ДАРИТ 1 ГОД SSL ЗАЩИТЫ!*


    Условия акции:
    * При покупке любого однолетнего SSL-сертификата DV, OV или EV уровня, второй год вы получаете в подарок.
    • Акция распространяется на все сайты спортивной тематики.
    • Акция действует только на новые заказы и не распространяется на партнеров.
    • Чтобы воспользоваться предложением, отправьте запрос на сайте с указанием промо-кода: SL003HBFR.

    Акция продлится до 15 июля 2018 г.

    Получить дополнительную информацию по акции вы можете у менеджеров GlobalSign Russia по телефону: +7 (499) 678 2210.

    БОЛЬШЕ ЗАЩИТЫ c GlobalSign!
    GlobalSign 107,46
    Компания
    Поделиться публикацией
    Комментарии 76
      +2

      Как вариант для первого этапа, могли бы оставить зелёненький значок для EV-сертификатов, а обычные HTTPS без валидации оставить без значка.

        +2
        >EV-сертификат
        Разве это что-то даёт с практической точки зрения? Задача сертификата подтвердить что данные пришли именно с этого домена, а уж кто этим доменом владеет — дело десятое. А EV занимается как раз всякой бюрократической вознёй — паспорта/печати/лицензии и всякое такое, что не имеет никакого отношения к безопасности.
        Или я нихрена не понял и EV-сертификат это что-то другое?
          +7
          EV — защита от фишинга.
            0
            >фишинг
            Да, об этом я не подумал.
            +2
            Это именно то, что вы описали, но зерно правильности есть — DV сертификат может получить кто угодно (в том числе какой-нибудь paypol.com), а вот с EV всё сложнее и для них стоило оставить индикацию дополнительной защищённости.
              +2

              Так пользователь получает отметку "Одна уважаемая организация проверила, что сайт принадлежит такой-то компании, поэтому если вас тут обманывают — то это известно кто". Скажем, читать блог EV не нужен, а вот у онлайн-банка хочется. А то мало ли кто letsencrypt-нулся на похожий домен.

                +2
                Я слышал, что получали некоторые EV-сертификаты на фирмы-однодневки вполне себе успешно. Со стороны пользователя ощущение что «всё проверено» а по факту обмануть-то всё равно можно. Да, сложнее, но тем не менее.

                Ибо единственное что доказывает EV — это что домен принадлежит компании такой то, и не более — ни «похожесть» названия домена/компании на общепринятый, ни наличие или отсутствие фишинга на самом сайте никто не проверяет при выпуске EV. С таким подходом можно вполне успешно проверить кому принадлежит домен через какой-нибудь whois.

                И среди некоторых есть мнение, что от EV по сути толку мало, сертификаты (даже EV) НЕ являются средством верификации легитимности сайта, а только лишь способом обеспечения безопасности применяемого шифрования от браузера до конкретного домена, и не более.
                  +1
                  То, что вы описали, больше на OV похоже, чем на EV. С другой стороны, вся эта система с DV/OV/EV держится на ЦСах, и если они косячат с жёсткостью проверок, то уровни всё равно не работают :\
                    +1
                    Я слышал, что получали некоторые EV-сертификаты на фирмы-однодневки вполне себе успешно.

                    А я не вижу причин почему одно юрл лицо может получить EV а другое не может. Однодневка или нет в уставе организации не написано. А так всё есть. И документы и гос регистрация. В итоге после проверки этих данных станет ясно что домен paypol.com принадлежит ООО «Ромашка» а не ООО НКО «ПэйПал РУ» в этом и суть EV сертификата. А не в том чтобы убедится что ООО «Ромашка» открыта позавчера и доверия не вызывает.
                      0
                      А ещё оно может принадлежать ООО «ПейПол Денежные Системы», что точно так же сможет привести к фишингу. Эта информация по сути не играет роли большой, что она показывается, что нет.
                      0
                      Да, сложнее, но тем не менее.
                      Для меня вот это и есть ключевое отличие.
                  0
                  Я думал, это и имеется ввиду? И это очень хорошо. Я не знаю ни одного пользователя, который бы вообще обращал внимания на эти надписи, и уж тем более, понимал зачем они нужны. EV — это хоть какая-то защита от фишинга, которой можно обучать людей. Но для этого нужно убрать бессмысленную надпись «Защищено» для обычных сертификатов.
                  +7
                  Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно

                  Значит и вас забанят. Ну, по крайней мере, попробуют. [sarcasm]
                    0
                    Весело будет сайтам на HTTPS на страницы которых пользователи вставляют картинки с http сайтов: всякие форумы и прочее. Ведь такие страницы хром, скорее всего, тоже будет помечать небезопасными, хотя владелец сайта здесь сделать ничего не может особо.
                      +1
                      ну выгрузить картинку на свой сервер и отдавать независимо. Это не костыль, а хорошее решение. Минус конечно есть. Это ресурсы, а также важно чтобы не заблокировали.
                        0
                        Ага, особенно когда у пользователей есть возможность вставлять картинки со внешним ссылкам :)
                          0
                          так хабр так и делает
                            0
                            Кстати да
                            Заголовок спойлера
                            image
                              0
                              Будет лишний повод пользоваться hsto.org, а не всякими левыми хостингами, которые то отваливаются под нагрузкой, то вообще удаляют картинку по причине истечения срока годноты.
                              Вообще, ИМХО, неплохо бы запретить вставку картинок с внешних доменов и заставить всё на habrastorage заливать.

                              UPD.: Или Хабр теперь автоматически картинку выкачивает и заливает на habrastorage? Если да, то как-то это нововведение мимо меня прошло)
                                0
                                Да он сам перезаливает к себе
                                  +1
                                  habr.com/post/189610
                                  И уже довольно давно он так делает.
                                    0
                                    Спасибо, что подсказали. Круто, очень классная фича.
                            0
                            и кстати страницы со смешанным трафиком сейчас не помечаются безопасными. А значит вскоре будут небезопасными.
                              0
                              Грубое решение: запретить http ссылки и пройтись по базе разок
                              +3
                              Раз пошла такая тема.
                              Обьясните мне разницу между сертификатом LetsEncrypt и платным(а порой ОЧЕНЬ) платным.

                              Чем они отличаются для конечного пользователя сайта и чем для администратора этого сайта?
                                +2
                                С точки зрения безопасности — вроде как ничем.
                                  –6
                                  По умолчанию сертификаты LetsEncrypt имеют рейтинг B на https://www.ssllabs.com/ssltest/, это из соображений совместимости со старыми браузерами. И только специальными настройками можно выключить устаревшие шифры для получения A.
                                    0
                                    Но такой вариант (со специальными настройками) тоже бесплатен?
                                      +4
                                      Шифры выключаются не в сертификате а на сервере. Так же как и рейтинг этот касается сервера.
                                    +2

                                    Это в основном касается уровней сертификатов, в порядке возрастания цен и надёжности: DV, OV и EV.


                                    Отличаются они тем, сколько усилий центр сертификации вкладывает в проверку владельца домена:


                                    • для DV проверяет только контроль над доменом
                                    • для OV проверяет существование заявленной организации и связь владельца домена с ней по документам и "надёжным третьим сторонам"
                                    • для EV тоже проверяет фирму, но с максимальной строгостью, вплоть до навязывания своих требований по части безопасности

                                    DV гарантируют только получение контента, условно, "от владельца домена, без порчи посредниками". OV и EV помимо гарантий DV уже свидетельствуют о связи с фирмой, возможно серьёзной — важно в местах, связанных с деньгами, например.


                                    Let's Encrypt выдаёт только DV.
                                    Для пользователей сертификаты DV от LE или любого другого провайдера с известным доверенным центром сертификации ведут себя совершенно одинаково.
                                    Для администраторов — сертификаты от LE довольно краткосрочные и их обновление стоит автоматизировать, кроме этого никаких существенных ограничений.

                                      +3
                                      получается что с учетом того что 95% пользователей не знает различий между этими сертификатами смысла платить сумасшедшие деньги за сертификат нету?
                                        +1
                                        По моему впечатлению, да.

                                        Возможно, с распространением повсеместной DV от Let's Encrypt сертификаты уровня OV выделят каким-то особым способом. Сейчас, чтобы отличить OV от DV, нужно залезть внутрь сертификата и посмотреть на поле «субъект» (subject).
                                        А ярко выделяются только EV: в Chrome вместо слова «Защищено» отображается название фирмы, на которую выписан сертификат.
                                          0
                                          Всё же получается не совсем одинаково для пользователя.
                                            0
                                            Ну да. Про «совершенно одинаково» я говорил только про DV от любых ЦС, если что. OV и EV Let's Encrypt просто не выдаёт, поэтому и сравнивать нечего.
                                    +18
                                    У этого есть и отрицательная сторона: web перестает быть permissionless, становится все труднее запустить сайт, не спрашивая ни у кого разрешения. Сначала сайты без сертификата начнут помечать как опасные, а потом и просто не дадут пользователю зайти на них, сетификат станет необходимым. А выдают их централизованные организации, которые могут как выдать, так и отказать в сертификате, или оттозвать сертификат после выдачи, как происходит с доменами.

                                    Пока все еще можно купить внешний ip, запустить на домашнем компе сайт, к которому обращаться по айпи-адресу (или домену, прописанному в hosts клиента), но регуляторов становится все больше.(
                                      0
                                      Кому труднее?
                                      Вам никто не мешает запускать сайты без HTTPS, просто людей оповестят, что пользоваться им небезопасно.
                                        +1
                                        А лет через 10 просто ни один из браузеров не будет открывать http, вот о чем речь.
                                          0
                                          1) останутся нынешние
                                          2) В FOSS браузерах мы всегда можете убрать лишние проверки в своём форке
                                          3) даже для закрытых на практике есть разные «патчеры», что-то отключающие или включающие
                                            0
                                            Ну как сказать, много ли современных сайтов откроет IE6? Через декаду то же самое будет с нынешними браузерами. А что касается своих форков и патчей, ну вот сделаете вы его, а как будете распространять? Я не думаю, что основная масса пользователей поставит ваш форк, чтобы вот только посмотреть ваш сайт, если вообще узнает о вашем сайте и о вашем форке. Уже сейчас, если чего-то нет в гугле, то этого нет вообще, а если докатимся до запрета http, то его точно в гугле не будет. Так что разумное зерно у топикстартера вполне себе присутствует.
                                      0
                                      Одно плохо: локально запустить сайт все сложнее. Давайте уже тогда выбарем зону для локальный веб-серверов, и для нее будем выдавать серты без проверок, что ли?
                                        +1
                                        Можно создать собственный ЦС и добавить как доверенный на свои устройства. Без каких-либо проверок третьими сторонами. Это уже сейчас несложно, и если спрос на этот приём будет расти, то будет становиться только проще.

                                        Разве что Яндекс.Браузер может возмутиться, что сертификат указывает на неведомый ему ЦС; но он, я надеюсь, хотя бы спрашивает, что с этим делать. Лично не пользовался.
                                          0
                                          локально запустить сайт все сложнее

                                          С появлением wildcard от LE при наличии обычного домена в принципе это не проблема.

                                            0

                                            Можно. Но не всегда так можно. Сертификаты от ЛЕ недолго живут, и придется делать инфраструктуру по обновлению их на серверах.


                                            Другое дело, что индустрия уже пошла куда-то, и с этим только смириться осталось.

                                          –1
                                          Вот бы еще в хроме появилась настройка «Открывать только безопасные(HTTPS) сайты», пока что неактивная по умолчанию.
                                            0

                                            Какая-то бредятина.
                                            Достаточно оставить как в firefox.

                                              +1

                                              а как в Firefox?

                                                –3

                                                Поставьте и сравните.

                                                  0

                                                  Поставил, посмотрел. Все, как и у Chrome, в принципе


                                                  Скриншоты интерфейса

                                                  Для http есть сообщение красным текстом в попапе. Хоть и не в адресной строке, но тем не менее, есть



                                                  Для обычного https-сертификата показывается просто иконка замка



                                                  Для EV-сертификата (как у PayPal, например), показывается имя компании



                                                  Какой-то информации про будущие планы разработчиков Mozilla не нашлось. Есть только пост годичной давности.


                                                  Может быть, вам что-то большее известно, раз вы пользуетесь этим браузером больше меня?

                                                    +1
                                                    Может быть, вам что-то большее известно, раз вы пользуетесь этим браузером больше меня?

                                                    Естественно.
                                                    image


                                                    Думаю логика понятна. Сайт, сайт с формой, сайт с формой + https.

                                                      0

                                                      Так а в чем разница с Хромом-то?

                                              0
                                              Ожидаемый шаг. Я думал, уже давно (Хромом редко пользуюсь и в моём Фаерфоксе такого пока нет — но Фаерфокс может отставать, поэтому я думал, что в Хроме уже́; да и в Фаерфоксе, когда я на сайте без красных/зелёных отметок и мне нужно узнать scheme, я, бывало, туплю: «это он без отметки, потому что http? или https уже стал вариантом по-умолчанию и „без отметки“ значит „без проблем“, т.е. https?»).
                                                +3
                                                Можно только с изумлением покачать головой, глядя на то, с каким напором пользователям внушается мысль, что сайт безопасен, если его домен подтверждён.
                                                  0
                                                  И не только что сайт безопасен а ещё и что за ним не следят…
                                                  +3
                                                  В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.
                                                  Слегка больше половины.
                                                  Если честно — слабый аргумент.
                                                  Наоборот, повод задуматься, почему даже на техническом ресурсе есть сомнения в целесообразности шифровать всё.
                                                    +1

                                                    я, например, смотрю на это не только прямолинейно: нужен ли шифр или нет. Никто не будет спорить, что ssl как парадигма должна быть повседневной и распространённой. А значит — это стандарт. А стандарт на то и стандарт, чтобы быть в основе всего, в основе любого sample config, любого мануала и прописан в подсознании. Чтобы не думать каждый раз: вот тут у меня только статика, а вот тут всё же есть формочка с паролем, а вот тут статика… но запущу-ка я временно инет магазинчик для друга потестить…
                                                    Поэтому ввиду фактического отсутствия негативных эффектов или явного специфического требования отсутствия ssl я за то, чтобы оно было по-умолчанию везде.

                                                      +3
                                                      Наоборот, повод задуматься, почему даже на техническом ресурсе есть сомнения в целесообразности шифровать всё.

                                                      Именно потому что ресурс технический тут многие понимаю что HTTPS это не только шифрование, но ещё и центры сертификации которые подтверждают что зашифровано не абы кем а именно владельцем сертификата. И вот это ИМХО проблема. Потому что эти центры зависимы(да и не так их много), и нет никакой гарантии что сертификат отзовут не потому что он был скомпроментирован, а допустим по решению суда (https://geektimes.com/post/300597/).
                                                      Сейчас у вас конечно есть вариант остаться на HTTP но потихоньку эту возможность отбирают и могут отобрать целиком.
                                                      И получится что как не печально контроль над вебом окажется у нескольких фирм, мне допустим такая перспектива не нравится.
                                                      Поэтому я за шифрования, но против глобального перехода на HTTPS в том виде в котором он сейчас.
                                                      +1
                                                      веб безопасен по умолчанию

                                                      По мне так лучше бы внушали, что веб небезопасен по-умолчанию.
                                                        0
                                                        Веб разный. Каналы теперь по умолчанию безопасны, а вот сайты — нет. Вот только ИМХО уже хватит защиты от детей, и так нормальные взрослые упираются в слишком много лишних ненужных проблем.
                                                          0
                                                          По-моему, несмотря на процитированное заявление, как раз это они и делают. Теперь никто не будет введён в заблуждение пометкой «безопасно» слева от адреса.
                                                          0
                                                          Сначала понатыкают в сайты разной явы и прочих инструментов для злоумышленников, а потом борются с ними с помощью костылей.
                                                          Вот возьму и сделаю свой децентрализованный интернет(с) с… без вирусов, фишинга и прочего хлама. :)
                                                            0
                                                            Кто бы ещё объяснил, как с этим повсеместным HTTPS/HSTS запиливать captive portal — он не умеет (сколько знаю) заставлять браузер переходить по https-ссылке сразу на целевой сайт, вместо этого заставляет выполнить http-запрос, который из-за HSTS браузер передает как https, ловит ошибку сертификата и ломает UX.
                                                              0
                                                              Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане.

                                                              Это были планы. По факту, ничего не подменяется.
                                                              Дальше по закону жанра, старая шутка про ложечки…
                                                                +2

                                                                Гугл скромно "спутал" понятия "безопасный сайт" и "безопасное соединение с сайтом".


                                                                Юзеры даже не думают при этом, что канал связи может быть защищённым, но сайт взломан или криво написан, и все их данные уйдут "налево".

                                                                  0

                                                                  Получается как раз наоборот. Если на сайте есть HTTPS, то просто не выводится значек Not secure.
                                                                  Если раньше Chrome говорил, что сайт с HTTPS безопасный и ему можно полностью доверять, то теперь этого не будет.

                                                                    0
                                                                    Так наличие сертификата не означает, что «сайту можно полностью доверять». Можно довериться каналу передачи, и подменять доверие к каналу доверием к сайту… неправильно.

                                                                    Сейчас Chrome пишет слева от названия сайта «Защищено» (не уточняя, что защищено, и кем; хорошо, если пользователь догадается, что защищено соединение; раньше писали, кстати, как-то по-другому, «безопасный» ли, или еще что-то подобное, что вводило в заблуждение сильнее). Если на https будут писать «не защищено» — это будет правдой, только её не смогут понять никто, кроме ИТ-ников (потому что никто не растолковывал пользователям, что такое «соединение», как может быть, что у сайта «зеленая» пометка, а он взял, и украл деньги с кредитки (скажем потому, что на сайте код взломали и в процедуру снятия денег «что-то» такое внесли).

                                                                    Еще бы в браузер добавили кнопку «очистить HSTS статус для указанного домена» или «для всех доменов», а то отлаживать эти заголовки страшновато (не то запомнит, и юзеры потом плакать будут).
                                                                      0

                                                                      Я с вами полностью согласен, что "безопасный сайт" и "безопасное соединение с сайтом" это разные понятия. Я вам о другом говорю.


                                                                      Посмотрите скрин в начале статьи с пометкой "В будущем". Скоро не будут писать ни каких "Защищено". Будут писать только "Не безопасно", что уже намного ближе к правде.
                                                                      Если соединение с сайтом не защищено, то и сайт не защищен и пользователь не защищен. А если соединение с сайтом защищено, то нет гарантий, что сайт и пользователь защищены и значков говорящих об этом или обратном больше не будет.


                                                                      Акцент меняется. Раньше было HTTPS это хорошо, а HTTP ну такое, а теперь будет HTTPS ну такое, а HTTP вообще ад. Если раньше Chrome говорил, что сайту с HTTPS можно доверять, то скоро этого не будет. И только избранные, с сертификатом EV, смогут говорить, что им можно доверять.


                                                                      То есть, по факту, скоро обозначение безопасности сайта в Chrome будет на много ближе фактической безопасности сайта.

                                                                        0
                                                                        Я понимаю вашу логику, и что-то в этом есть, но — «скоро обозначение безопасности сайта в Chrome будет на много ближе фактической безопасности сайта» — вот тут неверно. Не безопасности сайта — а именно безопасности соединения с сайтом. Чем пользоваталей, как ни крути, несколько опять введем в заблуждение.
                                                                          +1

                                                                          Я говорю как раз о фактической безопасности сайта. Для пользователей будет все очевидно:


                                                                          • Красный — не безопасно. Не безопасно соединение и как следствие сам сайт.
                                                                          • Нет цвета — возможно безопасно, а может и нет. Соединение безопасно, а вот что с сайтом не известно.
                                                                          • Зелёный — безопасно. Зелёное только для EV сертификатов которые выдаются только юрлиццам и с кучей бумажной волокиты. Сайты под EV достаточно серьезно заботятся о своей безопасности и безопасности своих пользователей. Взломать конечно могут и сайт под EV сертификатом, но вероятность этого ниже. И если не доверять сайтам под EV, то вообще никому доверять нельзя.

                                                                          Вот мы и получаем, что обозначение будет значительно лучше соответствовать фактической безопасности сайта. И для юзеров это будет нагляднее.


                                                                          Хотя, пожалуй сайты под EV лучше все же сделать желтыми ибо безопасность не 100%

                                                                            0
                                                                            Хотя, пожалуй сайты под EV лучше все же сделать желтыми ибо безопасность не 100%
                                                                            Вот с этого и начинать.
                                                                            Может сначала должно появиться, что-то реально безопасное, а потом уже заставлять пользователя запоминать цветовую дифференциацию штановсайтов?
                                                                  0
                                                                  Логичнее всего и удобнее было бы как-то так:
                                                                  image
                                                                    0
                                                                    Нет, этот вариант плохой. Домохозяйкам слова «http» и «https» ничего не говорят и игнорируются (вместе с цветом). Тем кто более близок к теме — думаю удобнее было бы нормально писать полный урл в строке адреса, не отделяя (как у вас) и тем более не пряча (как сейчас делают) первую его часть от остальной (но устраивая всякие неочевидные фокусы при копипастинге в/из строки адреса).
                                                                      +1
                                                                      Ой, да домохозяйкам и на значек то «безопасный/небезопасный» плевать. Они зачастую и не догадываются о существовании строки для ввода адреса то. А на любимый сайт «одноквасники» попадают через гугление а потом тыке на первой ссылке. И хорошо если только бы они в соцсети так же лазили. А по факту во всякие «зеленый банк онлайн» они также попадают.
                                                                    0
                                                                    Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.
                                                                    Учитывая тотальную математическую (криптографическую) безграмотность HTTPS следует считать менее защищённым протоколом, нежели HTTP.

                                                                    Например, наверное, в самой распространённой шифр-сюите на основе RSA, сеансовый ключ шифруется на открытом ключе сервера и расшифровывается на его закрытом ключе. Таким образом, если АНБ и/или ФСБ получили закрытый ключ сервера или его часть, АНБ путём контроля центров сертифкации, ФСБ по закону Яровой, то они легко смогут дешифровать трафик.

                                                                    И т.д. и т.п.
                                                                      0

                                                                      Не всё так плохо.


                                                                      сеансовый ключ шифруется на открытом ключе сервера и расшифровывается на его закрытом ключе.

                                                                      Такие шифры уже давно отмечены как "no forward secrecy" во всяких ssl тестах и не рекомендуются к использованию. И есть другие, которые этим недостатком не обладают и рекомендуются.


                                                                      получили закрытый ключ сервера или его часть, АНБ путём контроля центров сертифкации

                                                                      У центров сертификации в общем случае нет закрытых ключей своих клиентов.

                                                                        0
                                                                        ;)

                                                                        С точки зрения выполнения закона Яровой. Клиент присылает список поддерживаемых шифр-сюит, сервер выбирает из них ту, которая ему нравится, либо, если ни одна не нравится — разрывает связь. Если сервер начал предоставлять закрытые ключи, то и шифр-сюиты он будет выбирать из правильного списка.

                                                                        С точки зрения Вассенаарских соглашений по экспортному контролю товаров и технологий двойного назначения, экспорт всех товаров с ключами размером >64 бит должен контролироваться. Однако, Apple, Microsoft, Google, RedHat, SUSE и т.д. получили разрешения на экспорт из США (ЕС) без ограничений и контроля, что, как бы, намекает.

                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                    Самое читаемое