Comments 85
Как вариант для первого этапа, могли бы оставить зелёненький значок для EV-сертификатов, а обычные HTTPS без валидации оставить без значка.
Разве это что-то даёт с практической точки зрения? Задача сертификата подтвердить что данные пришли именно с этого домена, а уж кто этим доменом владеет — дело десятое. А EV занимается как раз всякой бюрократической вознёй — паспорта/печати/лицензии и всякое такое, что не имеет никакого отношения к безопасности.
Или я нихрена не понял и EV-сертификат это что-то другое?
Так пользователь получает отметку "Одна уважаемая организация проверила, что сайт принадлежит такой-то компании, поэтому если вас тут обманывают — то это известно кто". Скажем, читать блог EV не нужен, а вот у онлайн-банка хочется. А то мало ли кто letsencrypt-нулся на похожий домен.
Ибо единственное что доказывает EV — это что домен принадлежит компании такой то, и не более — ни «похожесть» названия домена/компании на общепринятый, ни наличие или отсутствие фишинга на самом сайте никто не проверяет при выпуске EV. С таким подходом можно вполне успешно проверить кому принадлежит домен через какой-нибудь whois.
И среди некоторых есть мнение, что от EV по сути толку мало, сертификаты (даже EV) НЕ являются средством верификации легитимности сайта, а только лишь способом обеспечения безопасности применяемого шифрования от браузера до конкретного домена, и не более.
Я слышал, что получали некоторые EV-сертификаты на фирмы-однодневки вполне себе успешно.
А я не вижу причин почему одно юрл лицо может получить EV а другое не может. Однодневка или нет в уставе организации не написано. А так всё есть. И документы и гос регистрация. В итоге после проверки этих данных станет ясно что домен paypol.com принадлежит ООО «Ромашка» а не ООО НКО «ПэйПал РУ» в этом и суть EV сертификата. А не в том чтобы убедится что ООО «Ромашка» открыта позавчера и доверия не вызывает.
Да, сложнее, но тем не менее.Для меня вот это и есть ключевое отличие.
Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно
Значит и вас забанят. Ну, по крайней мере, попробуют. [sarcasm]
Вообще, ИМХО, неплохо бы запретить вставку картинок с внешних доменов и заставить всё на habrastorage заливать.
UPD.: Или Хабр теперь автоматически картинку выкачивает и заливает на habrastorage? Если да, то как-то это нововведение мимо меня прошло)
И уже довольно давно он так делает.
Обьясните мне разницу между сертификатом LetsEncrypt и платным(а порой ОЧЕНЬ) платным.
Чем они отличаются для конечного пользователя сайта и чем для администратора этого сайта?
Это в основном касается уровней сертификатов, в порядке возрастания цен и надёжности: DV, OV и EV.
Отличаются они тем, сколько усилий центр сертификации вкладывает в проверку владельца домена:
- для DV проверяет только контроль над доменом
- для OV проверяет существование заявленной организации и связь владельца домена с ней по документам и "надёжным третьим сторонам"
- для EV тоже проверяет фирму, но с максимальной строгостью, вплоть до навязывания своих требований по части безопасности
DV гарантируют только получение контента, условно, "от владельца домена, без порчи посредниками". OV и EV помимо гарантий DV уже свидетельствуют о связи с фирмой, возможно серьёзной — важно в местах, связанных с деньгами, например.
Let's Encrypt выдаёт только DV.
Для пользователей сертификаты DV от LE или любого другого провайдера с известным доверенным центром сертификации ведут себя совершенно одинаково.
Для администраторов — сертификаты от LE довольно краткосрочные и их обновление стоит автоматизировать, кроме этого никаких существенных ограничений.
Возможно, с распространением повсеместной DV от Let's Encrypt сертификаты уровня OV выделят каким-то особым способом. Сейчас, чтобы отличить OV от DV, нужно залезть внутрь сертификата и посмотреть на поле «субъект» (subject).
А ярко выделяются только EV: в Chrome вместо слова «Защищено» отображается название фирмы, на которую выписан сертификат.
Вам никто не мешает запускать сайты без HTTPS, просто людей оповестят, что пользоваться им небезопасно.
2) В FOSS браузерах мы всегда можете убрать лишние проверки в своём форке
3) даже для закрытых на практике есть разные «патчеры», что-то отключающие или включающие
Интерактив на сайте я сделал с помощью каких нибудь гугл комментов и гугл форм.
Вот скажите зачем мне покупать сертификат или покупать хостинг?
Зы кстати по этой причине закрылись многие полезные сайты, просто не стали заморачиваться. Вот этот например web.archive.org/web/20170915211400/http://www.5bears.com:80/
Разве что Яндекс.Браузер может возмутиться, что сертификат указывает на неведомый ему ЦС; но он, я надеюсь, хотя бы спрашивает, что с этим делать. Лично не пользовался.
локально запустить сайт все сложнее
С появлением wildcard от LE при наличии обычного домена в принципе это не проблема.
Какая-то бредятина.
Достаточно оставить как в firefox.
а как в Firefox?
Поставьте и сравните.
Поставил, посмотрел. Все, как и у Chrome, в принципе
Для http есть сообщение красным текстом в попапе. Хоть и не в адресной строке, но тем не менее, есть
Для обычного https-сертификата показывается просто иконка замка
Для EV-сертификата (как у PayPal, например), показывается имя компании
Какой-то информации про будущие планы разработчиков Mozilla не нашлось. Есть только пост годичной давности.
Может быть, вам что-то большее известно, раз вы пользуетесь этим браузером больше меня?
В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.Слегка больше половины.
Если честно — слабый аргумент.
Наоборот, повод задуматься, почему даже на техническом ресурсе есть сомнения в целесообразности шифровать всё.
я, например, смотрю на это не только прямолинейно: нужен ли шифр или нет. Никто не будет спорить, что ssl как парадигма должна быть повседневной и распространённой. А значит — это стандарт. А стандарт на то и стандарт, чтобы быть в основе всего, в основе любого sample config, любого мануала и прописан в подсознании. Чтобы не думать каждый раз: вот тут у меня только статика, а вот тут всё же есть формочка с паролем, а вот тут статика… но запущу-ка я временно инет магазинчик для друга потестить…
Поэтому ввиду фактического отсутствия негативных эффектов или явного специфического требования отсутствия ssl я за то, чтобы оно было по-умолчанию везде.
Наоборот, повод задуматься, почему даже на техническом ресурсе есть сомнения в целесообразности шифровать всё.
Именно потому что ресурс технический тут многие понимаю что HTTPS это не только шифрование, но ещё и центры сертификации которые подтверждают что зашифровано не абы кем а именно владельцем сертификата. И вот это ИМХО проблема. Потому что эти центры зависимы(да и не так их много), и нет никакой гарантии что сертификат отзовут не потому что он был скомпроментирован, а допустим по решению суда (https://geektimes.com/post/300597/).
Сейчас у вас конечно есть вариант остаться на HTTP но потихоньку эту возможность отбирают и могут отобрать целиком.
И получится что как не печально контроль над вебом окажется у нескольких фирм, мне допустим такая перспектива не нравится.
Поэтому я за шифрования, но против глобального перехода на HTTPS в том виде в котором он сейчас.
веб безопасен по умолчанию
По мне так лучше бы внушали, что веб небезопасен по-умолчанию.
Вот возьму и сделаю свой децентрализованный интернет(с) с… без вирусов, фишинга и прочего хлама. :)
Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане.
Это были планы. По факту, ничего не подменяется.
Дальше по закону жанра, старая шутка про ложечки…
Гугл скромно "спутал" понятия "безопасный сайт" и "безопасное соединение с сайтом".
Юзеры даже не думают при этом, что канал связи может быть защищённым, но сайт взломан или криво написан, и все их данные уйдут "налево".
Получается как раз наоборот. Если на сайте есть HTTPS, то просто не выводится значек Not secure.
Если раньше Chrome говорил, что сайт с HTTPS безопасный и ему можно полностью доверять, то теперь этого не будет.
Сейчас Chrome пишет слева от названия сайта «Защищено» (не уточняя, что защищено, и кем; хорошо, если пользователь догадается, что защищено соединение; раньше писали, кстати, как-то по-другому, «безопасный» ли, или еще что-то подобное, что вводило в заблуждение сильнее). Если на https будут писать «не защищено» — это будет правдой, только её не смогут понять никто, кроме ИТ-ников (потому что никто не растолковывал пользователям, что такое «соединение», как может быть, что у сайта «зеленая» пометка, а он взял, и украл деньги с кредитки (скажем потому, что на сайте код взломали и в процедуру снятия денег «что-то» такое внесли).
Еще бы в браузер добавили кнопку «очистить HSTS статус для указанного домена» или «для всех доменов», а то отлаживать эти заголовки страшновато (не то запомнит, и юзеры потом плакать будут).
Я с вами полностью согласен, что "безопасный сайт" и "безопасное соединение с сайтом" это разные понятия. Я вам о другом говорю.
Посмотрите скрин в начале статьи с пометкой "В будущем". Скоро не будут писать ни каких "Защищено". Будут писать только "Не безопасно", что уже намного ближе к правде.
Если соединение с сайтом не защищено, то и сайт не защищен и пользователь не защищен. А если соединение с сайтом защищено, то нет гарантий, что сайт и пользователь защищены и значков говорящих об этом или обратном больше не будет.
Акцент меняется. Раньше было HTTPS это хорошо, а HTTP ну такое, а теперь будет HTTPS ну такое, а HTTP вообще ад. Если раньше Chrome говорил, что сайту с HTTPS можно доверять, то скоро этого не будет. И только избранные, с сертификатом EV, смогут говорить, что им можно доверять.
То есть, по факту, скоро обозначение безопасности сайта в Chrome будет на много ближе фактической безопасности сайта.
Я говорю как раз о фактической безопасности сайта. Для пользователей будет все очевидно:
- Красный — не безопасно. Не безопасно соединение и как следствие сам сайт.
- Нет цвета — возможно безопасно, а может и нет. Соединение безопасно, а вот что с сайтом не известно.
- Зелёный — безопасно. Зелёное только для EV сертификатов которые выдаются только юрлиццам и с кучей бумажной волокиты. Сайты под EV достаточно серьезно заботятся о своей безопасности и безопасности своих пользователей. Взломать конечно могут и сайт под EV сертификатом, но вероятность этого ниже. И если не доверять сайтам под EV, то вообще никому доверять нельзя.
Вот мы и получаем, что обозначение будет значительно лучше соответствовать фактической безопасности сайта. И для юзеров это будет нагляднее.
Хотя, пожалуй сайты под EV лучше все же сделать желтыми ибо безопасность не 100%
Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.Учитывая тотальную математическую (криптографическую) безграмотность HTTPS следует считать менее защищённым протоколом, нежели HTTP.
Например, наверное, в самой распространённой шифр-сюите на основе RSA, сеансовый ключ шифруется на открытом ключе сервера и расшифровывается на его закрытом ключе. Таким образом, если АНБ и/или ФСБ получили закрытый ключ сервера или его часть, АНБ путём контроля центров сертифкации, ФСБ по закону Яровой, то они легко смогут дешифровать трафик.
И т.д. и т.п.
Не всё так плохо.
сеансовый ключ шифруется на открытом ключе сервера и расшифровывается на его закрытом ключе.
Такие шифры уже давно отмечены как "no forward secrecy" во всяких ssl тестах и не рекомендуются к использованию. И есть другие, которые этим недостатком не обладают и рекомендуются.
получили закрытый ключ сервера или его часть, АНБ путём контроля центров сертифкации
У центров сертификации в общем случае нет закрытых ключей своих клиентов.
С точки зрения выполнения закона Яровой. Клиент присылает список поддерживаемых шифр-сюит, сервер выбирает из них ту, которая ему нравится, либо, если ни одна не нравится — разрывает связь. Если сервер начал предоставлять закрытые ключи, то и шифр-сюиты он будет выбирать из правильного списка.
С точки зрения Вассенаарских соглашений по экспортному контролю товаров и технологий двойного назначения, экспорт всех товаров с ключами размером >64 бит должен контролироваться. Однако, Apple, Microsoft, Google, RedHat, SUSE и т.д. получили разрешения на экспорт из США (ЕС) без ограничений и контроля, что, как бы, намекает.
Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане.
Мне нравятся, как работают современные СМИ.
В одной статье говорится про намерение что-либо сделать.
В другой (в нашем случае в данной), ссылаются на первую, при этом про «что-либо» утверждается, как уже произошедшее.
И уже неважно, как на самом деле. а-ля новости про Северную Корею.
Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно