1. В цифрах не скажу, т.к. пока методика не окончательная и процесс не автоматизирован, нужно считать руками, но точно не выше группы Б, ибо TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 и нистовские курвы ;) Кстати, а из каких соображений CBC поддерживаете?
2. 5.х — это бонусные критерии, которые добавляют баллы, но не влияют на попадание в ту или иную группу. Т.е. подход такой: есть — хорошо, нет — не смертельно. Конкретно по 5.8: upgrade-insecure-requests — пока не стандартизированная директива и требовать ее наличия нельзя. Напротив, обе проверяемые директивы HSTS (4.7) стандартизированы и не вчера. Вот preload — это уже vendor-specific и может негативно повлиять на доступность сайта вообще, если админу зачем-то потребуется отключить HSTS, поэтому ее в критерии не включили до стандартизации. При этом 4.7 и 5.8 не взаимозаменяемы, как, скажем, варианты 4.3: можно поддерживать только CRL или только OCSP и не вылетить из группы.
Да, ничего принципиально нового мы не изобрели и не пытались. Конкретно с методикой Qualys мы расходимся в первую очередь в том, что к какой группе относить. Например, мы смешиваем в одну кучу все не-AEAD шифронаборы, не деля их на слабые/небезопасные. По их методике многие протестированные нами сервера попали в группы А и А+, по нашей — никто не попал даже в А и всего один сервер в группу Б ;) Кроме того, они делят лишь на группы, мы же хотим добавить еще и числовое значение индекса, чтобы внутри группы сервера можно было хоть как-то сравнить.
Все еще печальнее. Следующий пассаж в пояснительной записке выдает уровень IQ автора законопроекта:
Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы.
(потратьте не больше 30 секунд чтобы найти, откуда криво содран этот пассаж и к чему он относится в оригинале), а ссылка на решение Собеза — что они это всерьез.
Да, сейчас придут серьезные дяди с деньгами и скажут: вы там берега-то совсем из виду не теряйте, банки-шманки и это все. Вангую, что «компромисс» будет найден следующий: TLS 1.3 — можно, а вот ESNI — уже нет, ибо честному труженику незачем скрывать от партии родины, в каком банке он хранит свои сбережения у него открыта сберкнижка. Но прописано это будет все с той же слоновей грацией и познаниями микроцефала о предмете, так что за кем надо можно будет «законно» прислать пативэн, даже если ничего выше SSL 2.0 у неугодного на сайте не поддерживается.
Из закона. Давайте обойдемся без сказки про белого бычка. Перечитайте пост, если недостаточно — прочтите доклад, там с цитатами из закона, недостаточно и этого — прочтите сам 8-ФЗ. Если и этого окажется недостаточно — покажу письмо Генпрокуратуры, где эта позиция поддерживается и «отстающим» велено привести свои сайты в соответствие.
МВД России (без ФКУ и т.д.), Минобороны России, да хоть Гадюкинский сельсовет — орган муниципальной власти, а не абы что, но ГКУ, ГБУ и т.п. быть не может.
Никак, чистое разгильдяйство на местах: сделали сертификат для site.ru, а включить в него www.site.ru забыли. Поставили сертификат от сайта хостера себе на сайт. Тупо забыли продлить сертификат и он оказался просрочен. А о чем бредит Талан — я без понятия, ни kremlin.ru, ни fsb.ru не поддерживали httpS, во всяком случае на публичной части сайтов.
Дык я много чего делаю руками и reg-файлами после установки, после чего забываю о «дружественном интерфейсе», как о страшном сне, и просто пользуюсь ;) А вообще это может создать проблемы при установке. Был у меня один чудный ноут с нестандартным разрешением, так вот там пока драйвер вкорячил — приходилось наощупь, нижняя часть картинки тупо уходила за край и не скролилась.
Мы про драйвер видеокарты, а не монитора. Проблема в том, что с ним ОС выставляет «консервативное» разрешение, а не максимальное, которое может быть и недоступно без родного INF Плюс в родном драйвере может быть цветовой профиль, который в большинстве случаев картины не меняет, но бывают исключения.
Того, во что превратили HTML сегодня: что хочу — то и ворочу (с) Гугль и Ко со своим «живым HTML», не надо было ни шесть лет назад, ни сейчас.
Табличная верстка перестала считаться хорошим тоном как минимум с HTML 4.01, хотя и не всегда заслужено — с ней меньше танцев с бубном. Отделение контента от оформления, семантика и это все — разумеется, верный путь, заедший нас в какую-то попсу: старые теги отменяют, новые — «не умеют» половины того, что умели старые, зато можно поверх пустить эффект ряби и еще веселенькую музычку фоном. Жду когда в CSS 3 добавят модуль волшебных лучей, надо больше драфтов!
Кстати, рекомендуется еще добавить что-нибудь на основе TLS_CHACHA20_POLY1305_* в TLS 1.2 — пользователи устройств без аппаратного AES скажут спасибо.
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
2. Основная «претензия» к preload, что она vendor-specific и ЕМНИП не стандартизирована.
3. Нет, поддержка TLS 1.3 вообще рассматривается как бонус, а не must have.
2. 5.х — это бонусные критерии, которые добавляют баллы, но не влияют на попадание в ту или иную группу. Т.е. подход такой: есть — хорошо, нет — не смертельно. Конкретно по 5.8: upgrade-insecure-requests — пока не стандартизированная директива и требовать ее наличия нельзя. Напротив, обе проверяемые директивы HSTS (4.7) стандартизированы и не вчера. Вот preload — это уже vendor-specific и может негативно повлиять на доступность сайта вообще, если админу зачем-то потребуется отключить HSTS, поэтому ее в критерии не включили до стандартизации. При этом 4.7 и 5.8 не взаимозаменяемы, как, скажем, варианты 4.3: можно поддерживать только CRL или только OCSP и не вылетить из группы.
(потратьте не больше 30 секунд чтобы найти, откуда криво содран этот пассаж и к чему он относится в оригинале), а ссылка на решение Собеза — что они это всерьез.
Да, сейчас придут серьезные дяди с деньгами и скажут: вы там берега-то совсем из виду не теряйте, банки-шманки и это все. Вангую, что «компромисс» будет найден следующий: TLS 1.3 — можно, а вот ESNI — уже нет, ибо честному труженику незачем скрывать от
партииродины, в каком банкеон хранит свои сбереженияу него открыта сберкнижка. Но прописано это будет все с той же слоновей грацией и познаниями микроцефала о предмете, так что за кем надо можно будет «законно» прислать пативэн, даже если ничего выше SSL 2.0 у неугодного на сайте не поддерживается.Табличная верстка перестала считаться хорошим тоном как минимум с HTML 4.01, хотя и не всегда заслужено — с ней меньше танцев с бубном. Отделение контента от оформления, семантика и это все — разумеется, верный путь, заедший нас в какую-то попсу: старые теги отменяют, новые — «не умеют» половины того, что умели старые, зато можно поверх пустить эффект ряби и еще веселенькую музычку фоном. Жду когда в CSS 3 добавят модуль волшебных лучей, надо больше драфтов!