Pull to refresh

Comments 28

Все чтобы нажиться прикрываясь заботой о безопасности.
Хреновы сертификаты часто дороже хостинга с доменом вместе взятых при том что 90% сайтов они нафиг не нужны

Сайты с ним занижают в поисковой выдаче

UFO just landed and posted this here

Это вам продавец элитных сертификатов рассказал?

С учетом того, что куча провайдеров вмешиваются в HTTP трафик и пихают туда свою рекламу, https уже нужен буквально всем. Даже дурацкой визитке из полутора страничек. Если, конечно, вы не хотите дать своему провайдеру на ней слегка подзаработать без вашего ведома.

В целом нет особых проблем и вмешиваться в HTTPS трафик. Положение провайдера по центру итак удобное для mitm-атаки.
Оставшуюся единственную проблему с «зеленой галочкой в браузере» (о сертификате) — тоже не так уж сложно решить, достаточно провайдеру «интегрироваться» с удостоверяющим центром и нагенерить себе сколько угодно сертификатов. Можно даже этот пункт упростить — просто обязать пользователей установить сертификат провайдера как центр сертификации.

Apple, google, Mozilla ведь не находятся только в странах с авторитарным режимом.
Маловероятно что провайдер в сша будет принуждать установить свой корневой сертификат для митм атак.

А зачем там устанавливать свой корневой сертификат для митм атак, если это компании местные, которые и так обязаны предоставлять данные по требованию властей?
Тут скорее вопрос в том, что у стран с «авторитарным режимом» нет возможности получить такой же доступ к данным пользователей, как у самих США, вот им жизнь и усложняют.

Попытки обязать устанавливать сертификат в Казахстане (кажется) провалились — слишком много возмущения вызвало.
Случаи с генерацией левых сертификатов удостоверяющими центрами бывали, но как только это всплывало — для них это означало полный конец бизнеса, так как их корневые сертификаты тут же удаляли из всех браузеров и ОС. На такое могут пойти спецслужбы ради своих секретных разборок, но вряд ли это по силам обычному провайдеру ради показа копеечной рекламы.

https://belpost.cc — Фишинговый клон официального сайта Белпочты belpost.by.
Он с сертификатом Cloudflare, но нифига не безопасный.

Сертификаты немного о другом, они не подтверждают, что конкретный сайт — это сайт Белпочты, они лишь подтверждают, что вы действительно находитесь на belpost.cc или belpost.by.


Это как если показать паспорт на имя Пупкина Василия Борисовича и сказать я президент России, вот мой паспорт, он настоящий как видите. Паспорт лишь подтверждает личность человека, но никак не его должность и место работы.

EV-сертификаты, в теории, как раз и подтверждают, что сайт принадлежит именно указанной компании.

На практике, это не работает. Удостоверяющие центры относятся к проверкам крайне поверхностно.
На практике это работает. И отлично работает. Не зря все кто может, получает EV. Тот дядечка по ссылке восхваляет Safari, что как бы намекает. И вообще этот дядя тот еще тролль. Но что неприятно, тролль эффективный, все браузеры убрали сигнализацию EV…
Да, именно так. Cloudflare по своей сути делает mitm-атаку (подменяя сертификат и расшифровывая трафик у себя). Поэтому клиенты видят валидный сертификат, смотрят на зеленую галочку в браузере и думаю, что все отлично.
Это лишь создает иллюзию безопасности, что является самым плохим вариантом для клиента.
HTTPS протокол не имеет средств противодействия mitm-атаке.

Cloudflare подменяет сертификат для belpost.by? Он лишь выпустил обычный сертификат для belpost.cc, который не требует валидации юрлица, как того требует выдаёт EV сертификатов.

согласен, не прав. В запаре писал коммент. Но все ж к cloudflare я скептически отношусь с их идеей терминации шифрованной сессии. Звучит это довольно странно: для вашей безопасности мы расшифруем все, не доведя шифрованный трафик до вашего сервера :)
Их идея базируется на том, что они обеспечивают защиту от DDOS и выдачу контета из своих кешей. А для этих нужд необходимо понимать что находится внутри трафика и дешифровывать его. Вы всегда можете от этого отказаться.

Все намного сложнее. Напомню, что на одном IP может быть много доменов (как у Google, Youtube, mail.google.com и т.д.), всё разделяется по SNI. У Cloudlfare любой сервис может быть по любому IP. А еще у них есть 1) Хостинг 2) авторитативные DNS сервера, это разные уровни.

владельцам сайтов придется продлевать TLS-сертификаты ежегодно
И это сподвигнет их автоматизировать процесс, а не попадать постоянно в ситуацию «ой, прошло 5 лет и мы опять прозевали момент, а кто у нас вообще это делал? Как это уволился год назад?!».

К сожалению, автоматизированные тоже ломаются. В том числе и по тому, что проверки "объявляют устаревшими".

Ещё один повод хотя бы настроить мониторинг свежести сертификатов.
А во времена let’s encrypt ещё кто-то покупает сертификаты для сайтов? (кроме тех кому нужны EV разумеется)
Есть заказчики, которым не нравится такой же сертификат, как на фишинговых доменах.
А протокол, как на фишинговых доменах, им нравится?
Никуда не деться, хотя некоторые сайты, внедряя расширения ГОСТ, стараются отдалиться и от этого.
Sign up to leave a comment.

Other news