Comments 28
Все чтобы нажиться прикрываясь заботой о безопасности.
Хреновы сертификаты часто дороже хостинга с доменом вместе взятых при том что 90% сайтов они нафиг не нужны
А как же, например, Let's Encrypt?
С учетом того, что куча провайдеров вмешиваются в HTTP трафик и пихают туда свою рекламу, https уже нужен буквально всем. Даже дурацкой визитке из полутора страничек. Если, конечно, вы не хотите дать своему провайдеру на ней слегка подзаработать без вашего ведома.
Оставшуюся единственную проблему с «зеленой галочкой в браузере» (о сертификате) — тоже не так уж сложно решить, достаточно провайдеру «интегрироваться» с удостоверяющим центром и нагенерить себе сколько угодно сертификатов. Можно даже этот пункт упростить — просто обязать пользователей установить сертификат провайдера как центр сертификации.
Apple, google, Mozilla ведь не находятся только в странах с авторитарным режимом.
Маловероятно что провайдер в сша будет принуждать установить свой корневой сертификат для митм атак.
Тут скорее вопрос в том, что у стран с «авторитарным режимом» нет возможности получить такой же доступ к данным пользователей, как у самих США, вот им жизнь и усложняют.
Попытки обязать устанавливать сертификат в Казахстане (кажется) провалились — слишком много возмущения вызвало.
Случаи с генерацией левых сертификатов удостоверяющими центрами бывали, но как только это всплывало — для них это означало полный конец бизнеса, так как их корневые сертификаты тут же удаляли из всех браузеров и ОС. На такое могут пойти спецслужбы ради своих секретных разборок, но вряд ли это по силам обычному провайдеру ради показа копеечной рекламы.
Такое доступно только совету NRO или Internet Governance forum. Спецслужбам это тоже не доступно. Напомню правда про долбанутый DarkMatter. https://www.opennet.ru/opennews/art.shtml?num=51159
Он с сертификатом Cloudflare, но нифига не безопасный.
Сертификаты немного о другом, они не подтверждают, что конкретный сайт — это сайт Белпочты, они лишь подтверждают, что вы действительно находитесь на belpost.cc или belpost.by.
Это как если показать паспорт на имя Пупкина Василия Борисовича и сказать я президент России, вот мой паспорт, он настоящий как видите. Паспорт лишь подтверждает личность человека, но никак не его должность и место работы.
На практике, это не работает. Удостоверяющие центры относятся к проверкам крайне поверхностно.
EV сертификаты есть на www.barclays.co.uk и online.raiffeisen.ru (но не www.raiffeisen.ru).
Это лишь создает иллюзию безопасности, что является самым плохим вариантом для клиента.
HTTPS протокол не имеет средств противодействия mitm-атаке.
Cloudflare подменяет сертификат для belpost.by? Он лишь выпустил обычный сертификат для belpost.cc, который не требует валидации юрлица, как того требует выдаёт EV сертификатов.
владельцам сайтов придется продлевать TLS-сертификаты ежегодноИ это сподвигнет их автоматизировать процесс, а не попадать постоянно в ситуацию «ой, прошло 5 лет и мы опять прозевали момент, а кто у нас вообще это делал? Как это уволился год назад?!».
Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней