Comments 87
Так что не удивительно, ничего не изменилось с тех времен.
Это очень хороший вариант. Бывает наоборот: "у нас тут всё по ТЗ, по ГОСТам, всё сертифицировано, ничего обновлять нельзя". Или "нам нужен сертификат подешевле, LE фу, он для мошенников".
Возможно, посчитали, что на все страницы много времени займёт, а на одну быстрее выйдет :)
Кстати, тоже «This server supports TLS 1.0 and TLS 1.1. Grade capped to B»
А великий китайский файервол это не про "сделать так, чтобы никто не ходил" в наших реалиях. Это про " сделай так, чтобы большинство не ходило, а остальных можно было жестоко покарать если они поднимут голову".
А в оригинале он вообще то тоже такой же, тупо по VPN в том же Китае кто хочет может ходить куда угодно, но большинство даже не знает что это, в условиях более миллиардного населения и не требуется полный запрет, достаточно чтобы скажем процентов 90 было покрыто.
Это как бюрократия с покупкой огнестрела. От психа со стволом не спасает, а для охоты на человека, легальное(т.е. с контрольным отстрелом для установления номера по пуле/гильзе) использовать никто не будет.
В китае развиты свои сервисы, по этому большинству не особо и надо выходить наружу. У нас даж странно представить что люди будут юзать рутуб, например.
Разумеется, потому я и отношусь скептически к тем невротикам что считают что государство якобы обязательно хочет закрыть инет внутренний от внешнего. Людям тупо не чем себя развлекать будет и начнутся "уличные развлечения", а это никому не надо. Потому я на 80-85% уверен что никакого "суверенного интернета" не будет ни сейчас, ни через 10 и тем более 20 лет, если только что-то катастрофическое не произойдёт. Вот извне могут закрыть, но им это тоже не надо, даже в большей степени.
И лишь сайты Минтранса и Росстата передают своим посетителям HTTP-заголовок Content Security Policy с директивой upgrade-insecure-requests.
Это не фича, это баг.
Точнее, если я правильно помню, все URL на контент прописываются в БД, в т. ч. на всю статику. Прописали всё со схемой http на этапе разработки, когда серта не было и нельзя было получить изнутри (нет в бюджете, на самоподписанный жалобы "сломалось", LE не может валидироваться). Потом добавили https и оказалось, что браузер блокирует загрузку http-содержимого, а заголовка в принципе хватает для восстановления работоспособности.
Почему не прописали относительные ссылки без схемы и домена?
Мне говорили, что это плохо для CEO при наличии кучи доменов у одного сайта.
сегодня в этом нет практического смысла, как и в поддержке TLS версий ниже 1.2, не говоря уже об SSL
Это не работает для аудитории всей страны, где каждый должен мочь отправить обращение, хоть с iphone, хоть с Opera Mini или Samsung Wave.
Прописали всё со схемой http на этапе разработки
Заменить протокол на два слеша — минутное дело. Дело не в этом — дезигн госсайтов
Это не работает для аудитории всей страны
Работает, миф про недоступность TLS 1.2 + AEAD на старых браузерах разбирали, ссылка в тексте.
Примерно в 2010 году мы делали внутренний сайт для госконторы, и в техзадании требовалась совместимость с IE3(!), про HTTPS даже речь не заходила. У них там реально была куча первых пней с виндами 9х. И у меня есть подозрение, что часть этих компов и сейчас в работе.
Заказчика не интересует совместимость браузеров со всем интернетом, только со своими сайтами. Да, вёрстка едет, ну так "за что деньги платим? Переделывайте". И таки переделывают, если заказчик упорен и протащил в ТЗ совместимость приложения или сайта с, например, Android 2.3. Грамотный ПМ в команде с аналитиком должен такое найти и договориться убрать, но иногда в конторах бывают экзотические конфигурации.
Спойлер
IE7 в Роснефти в 2015, кажется. Chrome и пр. под запретом.
Обязанность поддерживать всё население включая бедные его слои это одно. А создание уязвимостей для всего населения, включая владельцев современных устройств — совсем другое.
Более того, на практике все эти сказки про бедных владельцев IE3, которым никак нельзя отказать в доступе к гос-сайтам — чушь.
Во-первых, почему IE3? А как же ещё более старые браузеры? Или браузеры без поддержки JS, вроде lynx? А как же те, у кого браузера нет, но он мог бы модемом на BBS позвонить?
Во-вторых, как эти бедные люди пользуются остальным интернетом, который совершенно не готов к поддержке IE3? Или кто-то всерьёз думает, что в стране реально есть бедные обладатели древних устройств, которые используют их только в качестве печатной машинки плюс посещения жизненно необходимых гос.сайтов… и всё?
В-третьих, как же совсем бедные или принципиальные, у которых нет компа/смарта или доступа в инет? Чем им поможет поддержка IE3? А, так они могут без интернета, ножками прийти в гос.учреждение или отправить письмо? И правда. А почему тогда этого не могут счастливые владельцы IE3?
В-четвёртых, если кто-то заботится о древнем железе в самих гос.структурах, то там безопасность должна быть намного важнее, средства купить новое железо найти не проблема (проблема — не украсть его по дороге, но почему ради возможности кому-то что-то украсть должна страдать безопасность большей части населения?), а в особо запущенных случаях можно позволить себе разделить сервера для изолированной локалки с древним железом и безопасные сервера выставленные в инет.
В общем, это всё чепуха, глупости и отмазки. Правда в том, что никому нет до этого дела, что написанные много-много лет назад инструкции и требования никто не беспокоится пересмотреть и актуализировать. Всё дело только в этом, а вовсе не в реальной необходимости поддержки старой техники ценой создания уязвимостей для новой техники.
Чиновники в этом ничего не понимают, а те кто составлял тексты им пофиг, им главное денюжку получить. Тут надо писать обращения с подробным разъяснением почему те кто принимал то или иное идиоты и что делать что бы все работало правильно и чем больше таких обращений будет тем выше вероятность что обратят внимание.
Некоторое услуги запрещено давать так же быстро в целях безопасности. Например, выписка из ЕГРН, налоговая тайна. Выписка из электронной медкарты, мед. тайна, при этом инфа о положительном ВИЧ там все равно не будет, это запрещено выдавать пациентам законом (не путать с бумажной картой, это сколько угодно). Выписка из ЦБ РФ из ЦБКИ, выписка всех счетов в налоговой. И т.д. Так же кредитная история делается за 30 секунд через ЕСИА.
А еще есть выписки эмитентов из карманных регистраторов. Да и вообще весь электронный (с подписью) документооборот.
Уверен есть ёще примеры.
во вторых: есть такие люди. Живущие в таких местах, что интернета там особо и нет, да им и не особо надо. В результате интернетом они практически не пользуются.
Прописали всё со схемой http на этапе разработки
редирект на https? Не, не слышали…
что это плохо для CEO
да, гендир будет негодовать
301 сработал только для /. Рабочее решение - upgrade-insecure-requests, тогда браузер пробует https:// несмотря на то, что указана http://.
Сразу отвечу про замену sed'ом всех ссылок через дамп базы, @ifap. Это сработает, но на всякий случай, если кто-нибудь, включая ТП заказчика, в будущем провтыкает и не продлит сертификат, лучше иметь способ возврата к http. Хотя бы сам сайт будет работать, пока разбираются, кто должен его заказать.
Парсер сожрал? Я вроде бы понял, идея в том, чтобы убрать scheme, и вроде б я даже так делал, но контентёры продолжали добавлять содержимое со scheme и после пары попыток забороть это своими силами переключился на более важные вещи.
Я все еще скептически смотрю на возможность построения аналога Великого китайского файрвола этими людьми, а вы?
А я нет. С этими сайтами ситуация просто такая, что закон есть но никому это не интересно. И администраторы этих сайтов получают з/п три копейки и имеют соответствующую квалификацию.
А с файрволом если будет надо, то всё получится в лучшем виде. Например в том же Ростелекоме зарплаты сейчас очень хорошие (я не про монтажников конечно говорю) и туда идут работать квалифицированные люди. Большинство частных организаций не могут такие условия предложить и близко. И если у этих людей не будет высоких моральных принципов (а жизнь показывает, что этого не будет), то и файрвол и всё что хочешь сделают.
Я не хочу спорить, это просто моё мнение. Факт — Ростелеком имеет все возможности нанять квалифицированный персонал для реализации любых проектов. И поверьте, этот персонал найдётся под любые задачи, любой степени нравственности если так можно выразится.
А я нет.
И я нет. Царь-файрвол — он же не про инфобезопасность, а про то, чтобы граждане через всякие ТыТрубы, Мордокниги, твиттеры и прочих линкедины не имели неконтролируемые потоки информации.
А внутри страны, в крайнем случае, всё можно урегулировать благодаря наличию физического доступа.
Это весьма странная идея и понятно что она идёт от собственного мировосприятия. Так сказать проф.деформация. В реальности же, если посмотреть глазами чиновника а не айтишника то ситуация куда иначе выглядит, население делится на группы и айти сфера имеет подавляющее меньшинство которым можно принебречь, большинство населения не являются оппозиционными к власти, а соц.сети итак создали. Такую ситуацию когда поглощает контент один то и предлагать будут тот же. Тем самым делать заградительные меры какие то это тупо работа в пустую, но трата гигантских средств. И не надо писать что мол это для того чтобы бюджет освоить делается и ТД это так не работает, сверху спускается распоряжение, указ и ТД а на местах уже реализуют, часть денег по карманах рассовывая, правда откаты могут до 200% доходить, но это другое, суть в том что идея изначальная не бабки потратить а что-то сделать. Так что тут как раз скорее всего пробезопасность речь, те кто умеют ее обходить те и будут это делать и властям на это будет пофиг по большей части ибо их будет два процента от силы от всего населения.
Другой вопрос что отношение к безопасности у государства тупорылое. Вместо того чтобы разъяснять почему то или иное не правильно, вредно идёт попытка тупо запретить это. Хотя с другой стороны понять их можно ибо население дебилизируется падением уровня иобразования и наплыва низкосортной развлекательной мешуры, тем самым что-то объяснить с годами все сложнее.
Это весьма странная идея и понятно что она идёт от собственного мировосприятия. Так сказать проф.деформация. В реальности же, если посмотреть глазами чиновника а не айтишника то ситуация куда иначе выглядит, население делится на группы и айти сфера имеет подавляющее меньшинство которым можно принебречь, большинство населения не являются оппозиционными к власти, а соц.сети итак создали.
Да вот боюсь, что профдеформация как раз у вас — «раз меры про ИТ, то это значит, что они про ИТ-сферу».
Меры-то как раз направлены на большинство населения. А ИТ-сфера не цель, а средство. Да и простая борьба с нынешней оппозицией — это слишком мелкая цель. Ширше смотрите, ширше :)
Интереснее смотреть на это с т.з. бизнеса. Для которого и государство-то порой — средство, и вот тут уже да, отечественная ИТ-сфера недостаточно сильна, чтобы с тем же медиабизнесом тягаться за влияние на власть…
ИТ сфера по моим наблюдениям вообще не имеет никакой силы или влияния, кроме как пожаловаться на жизнь в интернетиках чтобы «спустить пар».
Да никто и не борется с оппозицией, потому что её по факту нет. А та что есть она удобная для власти
Ну это давно известно, что в России есть два вида оппозиции — маргинальная, и карманная во главе с покемонами российской политики (они конечно монстры, но тоже карманные).
государство это инструмент в руках бизнеса и так понятно, было бы странно в капиталистическом обществе если было бы иначеВ данном случае — крупного бизнеса против среднего и мелкого. Но тут скорее скорее синергия эффектов, вряд ли план…
ИТ сфера по моим наблюдениям вообще не имеет никакой силы или влияния, кроме как пожаловаться на жизнь в интернетиках чтобы «спустить пар».
Как сфера бизнеса — да. Но не как среда распространения информации и не как источник информации. И вот на это-то всё и направлено…
О каких моральных ценностях речь если деньги платят выше по рынку? Рыночек любые ценности помешает, главное какая цена будет. При капитализме у каждого есть своя цена.
А можно к статье обновления (или новую статью) по итогам того что ответят, и что реально будет исправлено?
Так все просто: госконторы «обязаны», но им ничего не будет, если «не получится» сделать. Другими словами, обратной связи (причем, не «по рукам» исполнителям), а «по головам» начальников) за такую «мелочь» как базовые понятия безопасности, нет - чему тут удивляться?
У них целы базы данных уводят, и никто (особенно из нач-ва) ни за что не отвечает (по факту), а Вы их упрекаете в отсутствии какого-то там сертификата!
Государство умеет в такое, что HTTPS — детский лепет на лужайке.
Если Вам когда-нибудь (не дай бог, конечно) придется работать с чем-то с авторизацией в ЕСИА или подобном (федресурс, что-то про таможню, торговые площадки всякоразно), со всеми этими самопальными браузерплагинами, левоподписанными сертификатами и т.д…
В общем, враг не пройдет.
(да и друг тоже с огромным трудом, но здесь уже как на подводной лодке)
PS. На той неделе восстанавливал работу чего-то там с таможенными декларациями (снова слетело). Windows 10, вспоминали под каким браузером работает. Заново перепробовали 6 (прописью: шесть) браузеров (все рекомендованные в том числе). Сработал браузер №6, конечно же (не из списка рекомендованных). А вы говорите "эклиптические кривые"...
Я все еще скептически смотрю на возможность построения аналога Великого китайского файрвола этими людьми, а вы?
Этими или не этими, а в то, что можно навести хоть какое-то подобие порядка с парковкой тоже мало кто верил до введения платных парковок. А сегодня например в мск надо еще поискать авто припаркованный не по правилам.
Так что вопрос этот лежит в другой плоскости.
Я слышала, в СССР некоторые космические заводы по документам были заводами по производству сельхозтехники — неужели практика сохранена…
Как обычно, слепое тестирование однако) Это я про сайт минобороны
https://www.ssllabs.com/ssltest/analyze.html?d=mil.ru&hideResults=on
https://www.ssllabs.com/ssltest/analyze.html?d=www.mil.ru&hideResults=on
https://www.ssllabs.com/ssltest/analyze.html?d=lkg.mil.ru&hideResults=on
TLS 1.3, DNS CAA, HSTS, OCSP stapling, CSP и так далее..
HSTS по нашей методике им не засчитывается — не передается includeSubDomains. А CSP у них ну такое — хорошо, что появилось, но тупо перечислить в нем все домены, откуда сторонние скрипты желают подгружать свой мусор, это как бы и не CSP…
И одна из цепочек сертификатов неполная, но это мелочи, почти конфетка получилась, а не веб-сервер. Еще бы с XSS разобрались до конца…
includeSubDomains это зло на mil.ru, а на поддоменах также есть hsts
Ещё и upgrade-insecure-requests не увидели))
Получается оценка уже не Г а как минимум А расширенные
upgrade-insecure-requests — нестандартная директива, поэтому не требуется в индексе HTTPS.
Оценка высокая, навскидку там да, группа А теперь и, вероятно даже, лучший результат.
Тогда будьте любезны поправьте вывод статьи
"Увы, с критериями группы А справился только Минобороны и лишь 6 (7%) сайтов смогли оказаться в группе Б, давайте поздравим победителей: Минсельхоз, МВД, МЧС, Росархив, Минобрнауки и Росимущество."
"Только один сайт Минобороны поддерживает CAA "
в связи с вашими словами наверное)
"Оценка высокая, навскидку там да, группа А теперь и, вероятно даже, лучший результат."
При составлении следующего рейтинга (в 2022 году) Минобороны имеет все шансы его возглавить и заслужить овации. Или Вы предлагаете заодно пепеписать доклады и 2020 года, и 2016? Особенно здорово будет смотреться поддержка TLS 1.3 в 2016 году ;)
A+ сделано 25 мая, когда был получен wildcard ssl, новость вышла вчера, как то странно
не делается просто новости по рейтингам спустя месяц после отчета
ваш отчет не объективен, и предвзят.
Если бы я был предвзят, я бы докопался до мышей, но такой задачи не было. Скорее наоборот, про сайт Минобороны персонально было отмечено, что старый «полусертификат» был досрочно заменен на полностью валидный. А так-то могу встречную претензию выдвинуть: в прошлом году был выпущен аналогичный доклад, в нем были указаны косяки на сайте Минобороны, были даны ссылки на инструменты проверки — тот же сайт SSL Labs. Чем админ сайта занимался целый год?
Данные по всем сайтам были собраны в один и тот же день, все в равном положении, никому не подтягивали рейтинг задним числом.
Вы наверное не знаете, что такое резервирование домена под нужны государства.
https://cctld.ru/domains/docs/archive/detail.php?id=18160
На домене mil.ru координационном совете стояла блокировка выпуска ssl wildcard, блокировку сняли только в мае, до этого tls был настроен на поддоменах но с индексом А и B.
Совет АНО «Координационный центр национального домена сети Интернет» 05 июня 2018 года принял решения об отмене c 1 сентября 2018 года специального статуса доменных имен mil.ru
На mil.ru был сайт Минобороны и был TLS минимум с 2016 года.
Вам назвать пару способов обойти эту проблему с www без wildcard сертификата? Вы вообще представляете себе процесс получения TLS-сертификата, кто стороны этого процесса и кто может ограничить админа делегированного домена в получении сертификата?
Я как раз все и понимаю, вам написал выше, на mil.ru был в 2016 году tls самоподписанный сертификат, на www.mil.ru был всегда сертификат letsencrypt с оценкой B из-за поддержки tls1.0, tls1.1 и уязвимых шифров.
До мая 2021 получения dv ssl на домен 2 уровня было не возможно! Comodo,Thawte и тд,отказывали в ренерации DV или Wildcard причине "Domain is reserved"… что координационный совет принял решение с сентября 2018… не соотвествовало действительно сти, реальная валидация прошла успешно только недавно.
Так что не надо тут переходить на личности. Вы просто много не знаете и в принципе откуда вам знать
Любой серт для 2 второго уровня, с alternative names, либо Wildcard. В 2020 году поднимался даже вопрос о переходе на mil.gov.ru в связи с этим. Но нам сказали немного подождать.И вот наконец то..
"ECH"
А вас не смущает это? https://esnicheck.com/
А еще и то, что это все ещё draft. И то, что ECH в Chrome только доделывают.
вот бы еще хинты расшифровки для всяких ФОИВ для не погруженных в тему
Как государство пыталось в HTTPS, но не осилило