Сегодня просто помечает, завтра не открывает без добавления в исключения, послезавтра не открывает вообще, послепослезавтра Let's Encrypt закрывается и оставшиеся сертификаты резко дорожают… [/параноик_mode]
Я нигде не говорил и не собираюсь говорить, что в этом есть какой-то смысл. Я лишь немного позанудствовал, сказав, что для защиты от подмены данных достаточно подписи. Всё остальное вы додумали за меня.
Ещё раз, по пунктам персонально для вас:
я НЕ утверждаю, что подпись лучше шифрования;
я НЕ утверждаю, что браузеры должны реализовать создание и проверку подписей в протоколе HTTP;
я НЕ утверждаю, что нужно бросать шифрование и переходить на подписи;
я в первом же своём комментарии сказал, что всё равно всё нужно шифровать для скрытия данных. Чего вы до меня докопались — я не понимаю.
Этот код, естественно, тоже должен быть подписан. И заголовки content security policy тоже должны быть подписаны. А если это всё подписано, то и трансформация в evil_app.js будет невозможна. Я прав :)
Про прослушку я и сам выше упоминал. Выкидывать шифрование и юзать только подписи я не призываю.)
В принципе нет ничего невозможного, но что-то я подозреваю, что всё упомянутое капец какое сложное и дорогое, уязвимости у удостоверяющего центра найти будет ещё труднее чем в ОС у пользователей
А, ну если так разве что… Но для этого сперва нужно найти подходящие уязвимости во всех популярных ОС всех популярных версий и каким-то образом защититься от переустановок
А с чего бы это браузеру пользователя доверять «своему удостоверяющему центру»? Здесь возможно только свой сертификат пользователям втюхивать, как это, например, делают в Казахстане, иначе невозможно
Немного позанудствую: шифровать для этого необязательно, достаточно просто подписывать (у того же ВК все запросы к API таки подписывались, пока на HTTPS не перешли; криво-косо, правда, но не суть, суть в самой идее)
Но всё же картинки условного ВК шифровать надо как минимум затем, чтобы провайдер мои личные фотки не разглядывал (условному ВК я, допустим, доверяю, а провайдеру не очень)
Во-первых, подобных факапов просто не существует, всё работает нормально, вы это сами выдумали в своих комментариях.
Во-вторых, что плохого в проблеме, которую никто не заметит? Сертификаты обновляются за месяц до их истечения (то есть каждые два месяца, реже не рекомендуют) — если админ за ЦЕЛЫЙ БЛИН МЕСЯЦ!!! не сможет починить проблему с автоматическим обновлением, то его действительно нужно уволить как можно скорее и взять кого-то более ответственного. Если же админ ответственный, то о том, что автообновление вообще когда-то ломалось, не узнает никто, кроме него и, может, ещё нескольких ответственных за сайт/сервер админов, пока они сами кому-нибудь не расскажут.
Что фсё? У меня за два года автоматический перевыпуск ни разу не сломался, а даже если сломается, то чинить раз в два года руки не отвалятся, ничем не хуже ручного перевыпуска
Какие-то технические накладки — и крон вовсю вопит на почту всем админам, что всё нахрен сломалось. Я так вообще сделал себе еженедельные уведомления, даже если сегодня ничего не произошло сертификаты на этой неделе не обновлялись. Если вы не умеете в автоматизацию и мониторинг — это ваши личные проблемы :) А letsencrypt молодец.
Ну блин, с первого же пункта сразу два косяка. Про & выше уже написали, а ещё такая команда создаст файл с довольно проблемным мусорным именем «nagios-4.3.1.tar.gz?r=&ts=1489637334&use_mirror=excellmedia». Автор вообще не запускал то что написал что ли?
Я нигде не говорил и не собираюсь говорить, что в этом есть какой-то смысл. Я лишь немного позанудствовал, сказав, что для защиты от подмены данных достаточно подписи. Всё остальное вы додумали за меня.
Ещё раз, по пунктам персонально для вас:
Да хоть с помощью тех же HTTPS-сертификатов. Насколько я знаю, технически ничего не мешает юзать их как для шифрования, так и для подписи.
Ничего не мешает. Я ж сказал, этот механизм другую задачу решает, вы зануда ещё больше чем я.
Этот код, естественно, тоже должен быть подписан. И заголовки content security policy тоже должны быть подписаны. А если это всё подписано, то и трансформация в evil_app.js будет невозможна. Я прав :)
Про прослушку я и сам выше упоминал. Выкидывать шифрование и юзать только подписи я не призываю.)
А, ну если так разве что… Но для этого сперва нужно найти подходящие уязвимости во всех популярных ОС всех популярных версий и каким-то образом защититься от переустановок
А с чего бы это браузеру пользователя доверять «своему удостоверяющему центру»? Здесь возможно только свой сертификат пользователям втюхивать, как это, например, делают в Казахстане, иначе невозможно
Ну, теоретически допилить браузер, чтобы проверял, думаю, ничего не мешает. На практике все ударились в HTTPS и это никому не нужно)
Хотя вообще есть проверка чексумм для сторонних ресурсов типа CDN, но она другую задачу решает
Немного позанудствую: шифровать для этого необязательно, достаточно просто подписывать (у того же ВК все запросы к API таки подписывались, пока на HTTPS не перешли; криво-косо, правда, но не суть, суть в самой идее)
Но всё же картинки условного ВК шифровать надо как минимум затем, чтобы провайдер мои личные фотки не разглядывал (условному ВК я, допустим, доверяю, а провайдеру не очень)
Во-вторых, что плохого в проблеме, которую никто не заметит? Сертификаты обновляются за месяц до их истечения (то есть каждые два месяца, реже не рекомендуют) — если админ за ЦЕЛЫЙ БЛИН МЕСЯЦ!!! не сможет починить проблему с автоматическим обновлением, то его действительно нужно уволить как можно скорее и взять кого-то более ответственного. Если же админ ответственный, то о том, что автообновление вообще когда-то ломалось, не узнает никто, кроме него и, может, ещё нескольких ответственных за сайт/сервер админов, пока они сами кому-нибудь не расскажут.
сегодня ничего не произошлосертификаты на этой неделе не обновлялись. Если вы не умеете в автоматизацию и мониторинг — это ваши личные проблемы :) А letsencrypt молодец.Отзыв сертификатов не работает
Это уже было в
симпсонах:)