Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018

    Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.


    image


    Google Security Blog опубликовал новость об очередном этапе форсирования перехода на https. Давайте вспомним о двух предыдущих этапах. О них также можно прочитать на официальном сайте проекта Сhromium.


    В январе 2017 года предупреждение появилось на всех страницах с вводом пароля или номера карточки. Об этом был посты на Хабре и Geektimes.


    С октября 2017 года предупрждение возникает при вводе данных уже на любых полях страницы, а также для всех страниц открытых в режиме инкогнито. Пост на Geektimes.


    А с июля 2018 года абсолютно все http страницы будут отмечены как "не защищенные". Можно уже сейчас увидеть как будет выглядеть ваш http сайт для посетителей — достаточно его открыть в режиме инкогнито (Ctrl+Shift+N).


    Пример — http://example.com/


    image


    Конечным этапом (пока не объявлено когда) будет вот такой красный значок.


    image


    Одним из основных аргументов Google в защиту этой политики является проект Let's Encrypt. Let's Encrypt (кстати, один из проектов Linux Foundation) бесплатно выдает TLS сертификаты для использования в продакшне. Получить его можно как вручную на https://www.sslforfree.com/, так и автоматизировать процесс верификации и перевыпуска благодаря открытыму протоколу ACME. Среди множества его клиентских реализаций под разные веб-серверы и окружения, официально рекомендуемым клиентом является CertBot (который развивает Electronic Frontier Foundation (EFF)). Из хороших новостей — 27 февраля 2018 года они начнут выдавать wildcard сертификаты, чего ждали очень многие.


    Добавлю также, что проект Сhromium также предлагает увидеть как браузер реагируют на те или иные проблемы с https на специальном сайте https://badssl.com.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Как вы относитесь к тому, что Google Chrome форсирует переход на https подобным образом?
    • 48.2%Полностью поддерживаю240
    • 21.1%Поддерживаю, но они это делают слишком жестко105
    • 7.6%Мне без разницы38
    • 22.9%Не поддерживаю, они не должны форсировать переход на https114
    Все ли ваши сайты перешли на https?
    • 37.2%Да, все сайты используют только https142
    • 22.8%Только часть сайтов, но планируем перевести все87
    • 20.7%Только часть сайтов, и пока не планируем перевести все79
    • 6.5%Вообще не используем https, но планируем всеобщий переход25
    • 12.5%Вообще не используем https, и переход пока не планируем48
    Как вы или ваш проект относитесь к Let's Encrypt сертификатам?
    • 44.2%Используем везде только Let's Encrypt159
    • 20.8%Используем только на некоторых сайтах75
    • 12.2%Не пользуемся, но планируем использовать44
    • 5.2%У нас EV (Extended Validation) сертификат19
    • 6.9%Не доверяем, и будем дальше покупать сертификаты за деньги25
    • 10.3%Мы не используем https37
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 101
    • +9
      И зачем оно надо, принудительно всех на https гнать? Да, для всяких там банков, почты и т.п. оно нужно. Но для блога с котиками нахрена шифрование?
      • +4

        А вдруг вам фальшивых котиков подсунут человеки посередине?

        • +7
          Это тех, от которых радости никакой?
        • 0
          Допустим у меня http блог с котиками с миллионом посещений в месяц. Любой кто находится между моим сайтом и посетителем может его полностью подменить на фишинговый сайт, профит.
          • +5
            Если у вас миллион котиков, то это уже серьезный бизнес.
            • +1
              Согласен, но даже среди топ-сайтов с миллионом посещений еще много сидит на http.
              www.tophotels.ru
              www.piluli.kharkov.ua
              www.7ya.ru
              • –4
                Наличие www уже косвенно указывает на древность этих сайтов, либо неосведомленность их хозяев.
                • +2
                  Чуш не несите. Если сайт крупный и у него куча сервисов, то вполне логично именно сайт компании размещать на www. Посмотрите какнибудь статистику по крупным сайтам и проектам, будете удивлены.
                  • 0
                    Действительно, подумав, на удивление много подобных примеров вспомнил. Поясните, пожалуйста, чем обоснован такой подход, и какие плюсы по сравнению с размещением основного сайта на домене второго уровня?
                    • +2
                      Вот неплохая статья на английском.
                      • +1
                        Большое спасибо, теперь я знаю, что заблуждался.
                      • 0
                        capslocky, спасибо большое! Сам с первой попытки не нагуглил… Если куки домена второго уровня распространяется на поддомены, и быстрое масштабирование/релокация через CNAME возможны только для www-домена, то для больших сайтов это действительно более правильный путь.
                        • 0
                          Ещё один вариант — когда используется CDN. В Azure и Verizon CDN столкнулись с этим — CNAME на flat-домен цеплять нельзя, т.к. имеется пачка субдоменов, поэтому CDN привязывается к www.domain.tld, а с domain.tld выполняется редирект на www. У AWS и Route53 с этим проще, т.к. есть поддержка типа ALIAS.
              • +1

                Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка. И регулярно пользоваться при этом открытыми wi-fi сетями.
                А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)

                • +1
                  Блог с котиками можно и без пароля читать.
                  • +1

                    Ну это уж совсем какой-то сферический блог в вакууме, куда ни своих котиков не добавить, ни прокомментировать… Ну ладно.
                    В таком случае всё равно ничто не помешает коварному владельцу открытого вай-фая внедрить под Вашими котиками кнопочку "Лайк", которая при нажатии попросит Васю залогиниться в ФБ/ВК и угонит пароли наивного Васи от означенных соцсетей. А то и формочку "пожертвовать денежку на котиков", которая у особо наивного Васи угонит уже кредитку.

                  • 0
                    А вот логин и пароль как раз можно и на защищенной странице вводить…
                    • 0
                      А смысл, если всё равно получили сертификат и настроили HTTPS на этой странице, оставлять остальные на HTTP? Вы котиков такими терабайтами отгружаете, что шифрование серьёзно увеличивает нагрузку на сервер (т.е. бюджет проекта)?
                    • 0
                      К сожалению, банкам обычно без разницы, а всякие кото-бложики требуют пароли минимум 10 символов, разного регистра, с использованием цифр и знаков препинания
                      • 0
                        Меня больше бесит, когда, наоборот, не принимают пароль длиннее 10 символов или со знаками препинания. Приходится ради таких настройки генератора паролей индивидуально подкручивать.
                        А так пускай прививают Васеньке условный рефлекс «пароль — значит сложный», в других местах он ему пригодится.
                      • 0
                        Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка.
                        По моей логике это проблема Васи, какие пароли и где он их использует. И сервиса который позволяет ему использовать подобные пароли.
                        А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)
                        Лучше бы научили, а то так на HTTPS переведут, потом в связи с популярностью HTTPS его хакнут, дальше будут переводить на двухфакторную авторизацию, биометрию. О свободе выбора я так полагаю речи больше не идет. Хочешь сделать сайт, придется размещать на HTTPS, и неважно, что там на сайте.
                        • 0
                          У Васи все равно пароль сопрут — создадут сайт с котиками, который требует обязательной регистрации.

                          Чтобы защитить Васю надо тогда уж делать обязательную OAuth авторизацию для всех сайтов кроме особо-надежных сертифицированных, которые, собственно, и будут обеспечивать авторизацию пользователей. Возможно это и будет следующим шагом.
                        • +7

                          Чтобы операторы своою рекламу не врезали.

                          • 0
                            Это тоже можно исправить. Попытки уже были.
                          • 0
                            На блоге Вы наверняка вводите логин/пароль.
                            • 0
                              Только если их кто-то уведёт, то большой проблемой это являться не будет. В отличие от банковских паролей.
                              • 0
                                Можно подумать, у казуального среднестатистического пользователя пароль к банковскому счету, к электронной почте, к фейсбуку и к блогам с котиками разный.
                            • 0
                              Банально для защиты от подмены трафика, чем очень грешат опсосы, подсовывая рекламу.

                              p.s.

                              Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)
                              • 0
                                Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)

                                Аналогично. У моего еще и панель управления биллингом торчит наружу и все это даже без доменного имени, тупо на ip. А саме забавное, что все это находится на том же самом ip, через который абоненты получают доступ в интернет.
                              • +2
                                А почему вы считаете, что они кого-то принуждают?
                                Они просто информируют о том, что сайт небезопасен, что является правдой.
                                • +3
                                  И что же опасного в сайте на протоколе http? Он как‐то взламывает компьютер пользователя, переполняет буфер, устанавливает программу?
                                  • 0
                                    Он небезопасен для пользование. Так-как нету никакой гарантии, что некто не вмешался в передачу данных как от пользователя так и от сайта. И также нету никакой гарантии что данные пользователя не утекут, когда он будет сидеть в кафешки с открытым вифи.
                                    • +1
                                      Если у злоумышленника есть способ подменивать данные, то ему не составит труда подменить ответ от DNS сервера и выдать свой сайт за оригинальный центр сертификации. А у пользователя будет полная иллюзия безопасности.
                                      • 0
                                        Это не так. При проверке цепочки сертификатов веб-сервера браузер смотрит сходится ли она к одному из локальных корневых доверенных сертификатов. Запросы в интернет делаются только для проверки неотозванности сертификата.
                                        • –1
                                          И если не сходится, идет в интернет проверить нет ли нового сертификата у целевого веб, разве не так?
                                          • 0
                                            Если не сходится, то браузер покажет так: https://untrusted-root.badssl.com/
                                            • –2
                                              Сходил по ссылочке, я это вижу регулярно, от сайтов которым доверяю. Например, на некоторые торрент трекеры, после того как с ними стали бороться такое навесили.
                                              Вы наверно уже догадываетесь как будет относиться к таком предупреждению пользователь, который пару раз получил такое предупреждение не по делу?
                                              Та самая история про мальчика который кричал «волки».
                                              • 0
                                                Скорее всего, это Ваш провайдер проводит атаку «человек посередине», чтобы подменять трафик — например, вместо некоторых страниц трекера показывать заглушку.
                                                Соответственно, браузер и предупреждает, что сайт небезопасен, потому что соединение с сайтом буквально скомпрометировано, и нет ни малейшей гарантии, что трафик не подменён и не прослушан.
                                                А пользователь (в идеале) позовёт специалиста, который покажет ему, как вернуться к безопасному соединению.
                                            • 0
                                              Живой пример — портал электронного правительства: https://egov.kz/cms/ru
                                  • +1
                                    Лично я не хочу, чтобы провайдер ковырялся в том, что я читаю. А они это уже делают, заворачивая все по 80 порту на свои, фильтрующие url, прокси сервера.
                                    • 0
                                      Используй TOR
                                      • 0
                                        Больно жирно будет для всего Tor использовать, к тому же использовать его с http еще опаснее. Я vpn использую.
                                        • 0
                                          использовать его с http еще опаснее
                                          Ээ?
                                          • +2
                                            Выходные ноды часто записывают трафик в поисках всяких паролей и прочего. В случае с https это не опасно, а вот http идет открытым текстом и никак не защищен от перехвата.
                                            • 0
                                              Ну, только если выходить в открытый инет, внутри ТОР нет смысла еще и через https серфить.
                                              • 0
                                                Да да, я про внешний интернет и мел ввиду, конечно же.
                                    • +1
                                      Без https не будет работать HTTP/2, со всеми его плюшками. Не говоря уже про безопасность.
                                    • +3
                                      Сам по себе переход на секурный протокол — хорошо.
                                      А вот, то что они таким образом захватывают власть над сетью — только негатив.
                                      Следующие шаги:
                                      Надоедающее предупреждение перед открытием «не https».
                                      Блокировка открытия «не https», с отдельной далеко спрятанной опцией всё же разрешить.
                                      Цензурирование, путем выдачи/невыдачи сертификатов.

                                      На каждый шаг уйдет по паре лет.
                                      • 0
                                        Цензурирование, путем выдачи/невыдачи сертификатов.

                                        Вроде пока сертификаты всем желающим выдаёт тот же самый Let;s Encrypt. Ты только обязан доказать, что домен является твоим. Или у вас есть факты об отказах в выдаче сертификата по «политическим» мотивам?
                                        • +1

                                          Это пока он выдает, что будет дальше не известно. Да и с недавнего времени не очень удобно, то что Хром не дает тебе добавить в доверенный самоподписаный сертификат нигде кроме как на *.test домене.

                                          • 0
                                            Возможно, я не верно оценил время реализации, т.к. давно не смотрел статистку по браузерам.
                                            Можно начинать внимательно следить за такими событиями.
                                            2017: хром 63% + фф 14%(из статьи видно, и ФФ поддерживает). Доминирующее положение «хром» уже позволяет навязывать условия даже известным корпорациям.
                                      • +1

                                        Как будет работать wi-fi аутентификация? Сейчас у меня стоит закладка на http-ресурс, чтобы завершить соединение с интернетом через wi-fi в метро. Это уже сейчас непростая задача.

                                        • 0
                                          В Android это работает вот так:
                                          По http самим андроидом запрашивается адрес connectivitycheck.gstatic.com/generate_204, и проверяется http код ответа. Если ответ сервера отличается от того который должен быть, то система понимает, что запрос перехвачен, и в «шторку» Андроида выводит сообщение о необходимости совершить какие-то действия в портале. Всё это происходит по http, так что проблем никаких нет.
                                          • +1
                                            Вот только сам Chrome запрашивает https://google.com, ловит неверный сертификат и получается искусственный «затык». Приходится использовать закладку.
                                            • +1
                                              Ну так надо сначала нажать на появившееся сообщение «Подключение к Wi-Fi», там сделать необходимые для входа в Wi-Fi действия и уже только потом открывать Chrome или другой браузер.
                                              • 0
                                                Нажимал, там «Повторите вход» — кидает на подключение к вайфаю, нажимаю «подключиться» — устанавливает соединение, открывает браузер — хоп, хттпс://гугл. Нашла коса (HSTS) на камень (WiSPr или кого-то из этого).
                                                • 0
                                                  Ну, видимо, это MaximaTelecom что-то криво сделали. В других общественных вайфаях с порталом у меня всё хорошо работает.
                                            • +1
                                              Максима пропускает данные запросы в интернет. Редиректа на авторизацию не происходит.
                                              • 0
                                                За такое вообще карать следует. Очень странное решение.
                                                • 0
                                                  просто окно captive portal на смартах не полноценно, например. Плюс максима хочет по максимуму, чтобы вы использовали их сеть, а не оператора. Но да, надо карать
                                          • +1
                                            К чему такая категоричность в опросе «Все ли ваши сайты перешли на https», что либо только https, либо совсем без него? Вроде как сайты вполне способны работать и по http, и по https одновременно.
                                            • 0
                                              А почему вы не форсите https? Если сайт у вас доступен по http, то толку от вашего добавления https не особо много. И еще полезно сразу hsts добавлять.
                                              • +1
                                                Как на счет варианта авторизоваться по https, а смотреть по http?
                                                Тех же котиков в жпегах можно пускать не шифрованными, как в прочем и аудио и видео потоки. Да много чего ещё можно слать, без угрозы безопасности.
                                                • 0
                                                  можно встроить скрипт. Те вы хотите, чтобы при просмотре котиков через публичную сеть любой школьник вася мог встроить вас любой скрипт в браузер?
                                                  • 0
                                                    Дополняя ответ, выше. Кто мешает заменить ссылку на страницу авторизации, и перенаправить на другой сайт.
                                                    Просто как только пользователю отдается не шифрованное соединение. С ним можно делать что угодно, он ничего не заметит.
                                                    • –2
                                                      Если школьник вася успешно внедрился между, то само собой он не руками это делает, скачанным софтом. Возможно даже одноклеточнымоднокнопочный прикупил. А значит мы уже перешли на тему MitM.
                                                      Крайний раз когда я чекал хром, у него не было ничего вменяемого для защиты от МитМ. Например в корпоративной сети, он радостно показывает «защищенное соединение», при том что там весь трафик чекается.
                                                      При этом я изначально подразумеваю небезопасность входа в сеть, если использую любое «чужое» т.е. непроверенное соединение. Отвечая на вопрос второго собеседника. Просто как только пользователь подключился с неизвестного соединения и нет провел проверок против МитМ. С ним можно делать что угодно, он ничего не заметит. А браузер будет светить зеленым глазом, давая ложную уверенность.
                                                      • 0
                                                        В корпоративной сети у вас на рабочем компьютере в доверенных сертификатах лежит сертификат корпоративного же CA.

                                                        Гипотетический школьник не может установить вам свой сертификат в доверенные.
                                                        • –3
                                                          Вот только для гуглахрома корпоративный сертификат не особо отличается от сертификата васи. И если уж речь идет о защите, а не имитации защиты, то это должно и учитывать и уведомлять.

                                                          Можно было бы спорить с тем что может условным противник, но на эту тему и так много копий сломано. Давайте просто условимся, что возможности условного и гипотетического школьника с каждым годом растут. С этим сложно спорить, а потому защита которая заработает в ближайшем будущем, не должна строиться на том, от чего надо было защищаться уже вчера. (если конечно это вообще требуется)

                                                          • 0
                                                            Вот только для гуглахрома корпоративный сертификат не особо отличается от сертификата васи.

                                                            Напротив, отличие принципиальное — корпоративному сертификату ваш компьютер настроен доверять, а васиному — нет.

                                                  • 0
                                                    Я оставил у себя на сайте http, вдруг кто-то с IE6 зайдёт. Хоть и коряво, но он сайт сможет посмотреть, а через https он там просто не откроется. Да и мало ли с чего пойдут смотреть без поддержки SNI. Вот только смотреть они смогут, пока по публичным страницам ходят. Ну и заголовок присутствует соответствующий. Как только один раз посмотрел через https, придётся и дальше через него смотреть.
                                                • +3
                                                  Лучше бы помечали доверенные, но не «родные» сертификаты хотя бы желтым. А то в середине корпоративный MitM, а у хрома всё ОК, зеленое. Иначе какая-то двуличная схема выходит.
                                                  • +8
                                                    Хуже другое.

                                                    Благодаря простому и автоматическому получению ssl-сертификатов — мошенникам стало очень просто заводить сотни фишинговых страничек, которые вызывают у неискушенных пользователей больше доверия, чем раньше. Мозилла уже напряглась по поводу того, что с момента запуска LE — были зарегистрированы сотни, если не тысячи страниц, с названием созвучным paypal или с очень небольшими отличиями. И это только начало.

                                                    Пользователь наслушался всей этой истерии по поводу повального https и ему достаточно зеленого значка на фишинговой страничке, чтобы ввести свои данные и слить свой акккаунт. А же иначе? «У меня был зеленый замочек, гугль обо мне позаботился, а деньги все равно пропали!!!».
                                                    • 0
                                                      Это, как по мне, поле для DNSSEC-валидации сертификатов по ЦС хотя бы (CAA-запись), вот только этот DNSSEC пока почти нигде не развернут, а например Microsoft DNS Server его вообще не поддерживает (точнее, не умеет создавать CAA, подписать зону может).

                                                      А насчет пэйпала — ЕМНИП у него EV-сертификат, и если пользователь не умеет отличать EV от DV, это не проблема гугл-хрома. Также имя домена, похожее, но не равное paypal.com, не проблема гугл-хрома, разве что используется юникод с похожими символами — тогда домен надо сразу отображать в голом punycode, чтобы неповадно было. Где-то читал про вариант решения проблемы с юникодом и подделками — показывать домен в punycode, если в нем присутствуют символы из >128 и <128 наборов одновременно. Можно его усилить, разделив пространство >128 по локалям согласно спецификации самого Unicode, и показывать в punycode, если локалей больше одной. При этом всякую псевдографику считать за special (включая пробелы нулевой ширины и подобные им), и если в домене есть хоть один special символ, показывать его в punycode.
                                                      • +2
                                                        Да, это все проблемы пользователей и их компьютерной грамотности. Но есть факт: истерия вокруг https и доступные сертификаты — сильно облегчили жизнь мошенникам. Множество людей не умеют разбираться в тонкостях сертификатов, но соединение без ssl однозначно и просто отличается от нешифрованного почти любой домохозяйкой, теперь «замочек зеленый» у всех фишинговых сайтов.

                                                        Нельзя рассчитывать на то, что абсолютно все население будет достаточно грамотно в технической части.
                                                        • –1
                                                          Это не проблема ssl, это проблема невнимательного пользователя.
                                                          • +2
                                                            Проблема в том, что пользователей сначала стращают ужасами http и убеждают, что https спасет всех — а потом оказывается, что ни от чего он не спасает, только запутывая всех лишний раз.
                                                      • 0
                                                        Появление тысяч «защищеных» фишинговых сайтов было неизбежно, но тут вступают в бой EV сертификаты. Они и раньше были, но теперь из значимость гораздо больше, так что CA без хлеба не останутся. И нужно, конечно, приучать самих пользователей различать EV от DV.

                                                        image
                                                        • +2
                                                          Тогда вопрос — откуда пользователи должны знать что у данного конкретного сайта должен быть EV SSL? EV SSL это маркетинговый миф, они совершенно бесполезны.
                                                          • +1
                                                            Я, например, сразу замечу, что адресная строка браузера не такая, как обычно. Если веб-сайту действительно очень важен высокий уровень безопасности соединения, то покупка EV сертификата это разумно. Посетители сайта не только должны привыкнуть его видеть, но и замечать, если он вдруг стал «просто зеленым».


                                                          • +1
                                                            И это запутает домохозяек еще больше…
                                                            • 0
                                                              Тут можно вариант проще сделать: знак «соединение не защищено» для http, без всяких знаков для DV и как есть для EV. Путаницы меньше будет.
                                                              • +1
                                                                Уже поздно…
                                                                • 0
                                                                  В смысле? Про «Не защищено» понятно, но на DV всё равно знак защиты остаётся.
                                                                  • 0
                                                                    В смысле — что всем домохозяйкам уже все уши прожужжали — «без https» всем смерть через лялямбу«и приучили „раз есть замочек зеленый — значит все ок“. А теперь оказывается что: „зеленый замочек ни от чего не защищает и зачем вы нам морочили голову?!!!!!111“.

                                                                    Хотели объяснить как проще, потому что грамотность массового населения весьма невысокая и она всегда будет ниже, чем у мошенников и тут ничего не поделать.
                                                                    • +1
                                                                      раз есть замочек зеленый — значит все ок

                                                                      Так я, в контексте обсуждения, и предлагал оставить замочек только на EV-сертификатах, и убрать нафиг на DV. Не панацея, но «зеленый замочек» будет хоть что-то значить, как и учили.
                                                                      • 0
                                                                        Идея хорошая, но не взлетит.
                                                                        • 0
                                                                          Кстати, мне лично нравится эта идея. Что «защищенным» зеленым соединением будет только EV сертификат. Просто http, как и планируется, будет красным. А обычный DV сертификат — вообще не выделятся цветом или словом «secure», что будет означать «на этом сайте стандартный уровень безопасности».
                                                                          • 0
                                                                            Ну тогда уж по привычным цветам зеленый-желтый-красный.
                                                                            • +1
                                                                              Дефолтное состояние в интерфейсах лучше никак не выделять, а информацию о сертификате оставить где-нибудь в информации о сайте.
                                                        • 0
                                                          27 февраля 2018 года они начнут выдавать wildcard сертификаты

                                                          Отлично, теперь зелёный замочек появится у фишинговых сайтов.
                                                        • 0

                                                          Повальный https — это местами даже хорошо, однако это не значит что всё безопасно, это всего лишь означает что соединение зашифровано. Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...

                                                          • 0
                                                            Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...
                                                            Чтобы это сработало, нужно либо провести манипуляции с клиентским устройством для установки корневого сертификата компании или государства, либо компании или государству каким-то путём завладеть приватным ключом к уже доверенному корневому сертификату.

                                                            В первом случае ошибка будет показываться на сайтах с включённым HSTS, например, Википедии. Во втором случае хуже, поможет только отзыв сертификата, причём не сразу и только если центр сертификации в этом заинтересован.
                                                            • 0
                                                              На уровне организации это решается через доменные политики. На уровне государства это, конечно, делается сложнее, но оно (государство) обычно решает подобные вопросы с позиции силы, мол, мы закон придумали и приняли, а вы его соблюдайте. Насколько мне известно, именно так сейчас обстоят дела в Казахстане habrahabr.ru/post/303736
                                                              • 0
                                                                Всё равно — хоть для подключения к домену, хоть для установки «национального сертификата» нужно провести явные манипуляции с компьютером.
                                                                • 0
                                                                  Сценарий с доменом позволяет провести установку сертификата без прямого доступа к компьютеру и незаметно для конечного пользователя (при условии что комп включен в домен). «Далее -Далее — Готово», и работодатель без проблем может узнать твой пароль от банковского кабинета, и при этом браузеры будут рапортовать что всё «Защищено»
                                                                  • +1
                                                                    Ну дак не пользуйтесь на работе там, что вы не хотите светить, работа это работа, тут работодатель устанавливает порядки.
                                                                    Также EV сертификаты банков подделать нельзя.
                                                                    • 0
                                                                      В целом, согласен. Но изначально моя мысль была о том, что Зашифровано != Защищено
                                                                      П.С. некоторые браузеры не отображают плашку EV сертификатов в адресной строке, в них не получится сходу увидеть подмену.
                                                          • 0
                                                            Пока что Let's Encryp не выдает Wildcard домены, кто нибудь знает почему? не знал что это проблема, выглядит так как будто просто пытаются наживаться на более редкой услуги за счет того что нету конкурентов.
                                                            • 0
                                                              Обещают начать в конце февраля.
                                                              Возможно были какие-то юридические заморочки, а может действительно не хотели злить коммерческие CA, чтобы те не ставили палки в колёса.
                                                            • –1
                                                              Программа, придуманная и разрабатываемая для того, чтобы воровать пользовательские данные и наживаться на них, лицемернейшим образом будет развлекать пользователей сказками про безопасность.
                                                              Это такая безопасность со звездочкой, для тех, кто в ней ничего не понимает и не собирается начинать.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое