Комментарии 158
Потому что, по идее, даже с http страницы можно данные отправить, закриптовав через javascript, например, довольно надежно — но только как часто такое делается? Владельцы сайтов, сам встречал, https все еще побаиваются (точнее, не видят смысла внедрять, когда и так сайт работает). Такими шагами Гугл подвигает их к мысли, что жить с http — несколько позорновато (не то чтобы 100% позор, но все же), и именно это, как я думаю, говорит их статистика: не 27% юзеров перестали ходить на http-сайты, а на некотором числе сайтов внедрили https, что дало уменьшение числа посещений http-страниц, где есть поля ввода паролей/кредиток.
Но вот с другой стороны: у меня на сайте моего домашнего провайдера поля имени-пароля передаются по http. Но мне тема кажется такой мелкой (думаю, и провайдеру так же) — т.к. даже с логином-паролем можно только просмотреть мой баланс, статистику трафика (которая даже не работает), да заказать статический IP — что вряд ли они даже на Let's Encrypt побегут, и я их особо не виню. А вот на сайте банка видеть http дело совсем другое, и может, хоть тема имиджа заденет иных горе-банкиров?
А если вы вспомните, что крупнейшие CA ловили за руку, когда они выписывали сертификаты на домены "*." и подобные… Да, это сделают не каждому, но кому очень надо, то CA убедит.
Но Гугл имеет свои цели и помимо заботы о юзерах, вы не забывайте.
либо через доменные политики (или еще каким способом) добавить в список доверенных серт CA
При таком уровне доступа можно не заморачиваясь поставить radmin.
сертификат на уникальное сочетание имен "*.", "*.*.", "*.*.*."
Было бы неплохо увидеть такой сертификат сперва. Но и для борьбы с этим есть методы — пиннинг, например.
Было бы неплохо увидеть такой сертификат сперва
Особенно в свете RFC 2818.
https://serverfault.com/questions/104160/wildcard-ssl-certificate-for-second-level-subdomain
Ну это типичный MitM организуемый административными методами. Ничего интересного.
А вот если просто писать шифрованный трафик и потом каким-то образом получить секретные ключи, то это ничего не даст, поскольку теперь Diffie-Hellman практически уже стал стандартом.
Рекомендую к ознакомлению тезисы https://dxdt.ru/2013/08/02/6066/
Это просто пинок окна Овертона в желаемую сторону. Когда все привыкнут, перестанет открывать такие сайты, а там и вовсе перестанет открывать http.
Эти индикаторы ерунда. Вот что действительно дерзко так это блокировка некоторых API(как Geo position) и запрос ресурсов с несовпадающего протокола с протоколом страницы. Вот тогда целые сайты начали не работать с версии 56. Кстати Сафари не отстает от них. Это был как удар в спину
Предупреждения должны быть по делу. А не то скоро пользователи разучатся им доверять. Глядишь, и те 23% вернуться, ибо хоть одно поле ввода есть практически на каждом сайте, а не https сайтов ещё очень много.
И будет как с мальчиком, кричащим про волков.
Внес ваш вариант, проголосуйте, пожалуйста!
А что, предупреждение как-то помешает сайт использовать, если даже поле поиска оставить на http-странице? Тем более что варнинг станет виден только когда начинаешь вводить текст, а для просто чтения сайта ничего не меняется.
В этом плане от всех предупреждений никакого толку нет. Ну вот повесит гипотетически гугол на яндекс какое-нибудь предупреждение, например «осторожно, стучит ФСБ». Что это, остановит пользователей яндекса? Да ничуть.
У меня обширная база с сортировками. База общедоступная. Зачем мне https? Персональных данных я там не оставляю, сидит это все на шаред-хостинге и всех устраивает. Зачем оно мне?
Провайдер или владелец бесплатного фай-фая в кафе/транспорте не сможет:
— узнать куда ходит клиент(ну кроме DNS)
— мофифицировать ответ сервера, например подставить рекламу.
Скорее всего гугл боится резалок рекламы или замен его рекламы, вот и продвигает https.
Но ИМХО ему тут с обычными пользователями по пути.
Резалки рекламы как правило на стороне клиента, а не сервера и я гугл все меньше понимаю.
К тому-же от чего оно защищает кроме резалок рекламы? Тут уже десятки сообщений про https://аpple.com которые показаны как безопасные. Надо людей информировать, а не работать как роскомнадзор.
2). Ну, Гуглу нужна, в первую очередь, защита рекламы, а не всего остального.
Резалки рекламы стоят на стороне клиента именно потому, что на большинстве сайтов с серьёзным трафиком есть https.
Резалки рекламы были в топе до массового хайпа с https, когда даже хабр в ВК были без него.
Ну, Гуглу нужна, в первую очередь, защита рекламы, а не всего остального.
Понятное дело, но уже пахнет жаренным. Лично я начал искать альтернативу хрому в связи последними изменениями.
Да, есть смысл в резалке рекламы в случаях, когда разговор идет об экономии канала, а админ на узле связи решил стать героем, и вырезать коды рекламы на прозрачном прокси. Но и тогда, как ни крути, проще не код страниц резать, а отдавать по URL-ам, по которым запрашивались баннеры и содержимое фреймов с рекламой, пустые (мелкие по размеру) картинки, или пустые страницы/скрипты.
Safari вроде уже просто выводит название (title) страницы вместо адреса, так что фишинг становится все более простым.
Отсюда получаем еще меньше осведомленность юзеров о том, что происходит, а заодно утяжеление браузера лишними обвесками там, где раньше плагинов даже не нужно было.
А потом еще Мозилла, делая вид, что они сами до этого дошли, и ни у кого цельнотянуто идею не подсмотрели, начинают двигаться в сторону Хрома и Сафари. И получаем общий низкий уровень осведомленности юзеров, который потом «спецы от UI» и от безопасности пытаются порешать таким вот, как в теме поста, способом, якобы «совсем не костыльно».
Позор им за такой подход.
Let's Encrypt даст бесплатно, но там в каждый серт можно вписать штук 80-90 поддоменов, ну или по одному получать.
За список спасибо, когда последний раз смотрел они минимум 200 стоили.
раз в три месяца запускать скрипт для обновления с Let's Encrypt.
Один раз настроить сертификат и один раз настроить задачу в cron. :)
И купить хостинг, вы это пропустили. Затем еще научится им пользоваться, чтоб не стать частью ботнета хакера Васи.
Да даже российские хостеры бесплатно предлагаю https
У меня 50 гигабайт места для файлов и безлимитный mysql за 0р в месяц уже лет так 7. Для не коммерческого проекта без рекламы — самое оно. Подберете сходный по параметрам за ту-же цену?
Локальный городской провайдер и старые друзья (:
И будет их скрипт обновлять всем клиентам серты обновлять, людям приятно, а хостинг по прежнему на одном сервере будет крутиться (изменения в конфигах минимальные же).
К сожалению для домашних страничек, для которых был придуман данный проект, никто не хочет заморачиваться. Плюсом добавим что половина людей там сидит на домене третьего уровня… в общем я пока в поисках чего-либо хорошего в пределах 300р в месяц и с хдд в пределах 20Гб (:
А к летс инкрипт, щас в меня полетят помидоры конечно, я отношусь плохо. Точнее я плохо отношусь к https, так как не вижу в нем смысла для своих проектов. Если буду ставить — скорее всего буду покупать сертификат, но тогда встает вопрос финансов — мне мои сайты денег не приносят, а тратить на хобби (мне и страйкбола и D&D хватает), я не готов.
1 ядро, 1 GB RAM, 20 GB HDD SSD, анлим траффик = 250 рублей/мес. Есть положительный опыт больше года. Если интересно, в личку маякните, дам адрес.
Плюс, с LE проще те, что обновление по крону вас не заставит ходить раз во сколько-то за новым сертификатом на сайт CA и руками его куда-то устанавливать. Но, да, все равно это какая-то разница в настройке машины, «не забыть сделать и проверить».
Что же касается машин с 20 Гб диска (чаще всего даже SSD), то ценник на них небольшой, зато у вас будет своя машина (возможно, даже с прелестями типа IPv6 — захотите, так и потестируете; ну и вообще, надо же проникновение протокола усиливать в мире!), на которой, если очень надо, можно будет и тот же VPN себе поднять (особенно если машина за границей), если зачем-то нужно. В общем, за копейку денег получите больше вариантов для развития.
На Хабре много хостнг-компаний пишут, и, думаю, кто-то из них всегда поможет, особенно если вы еще и пост напишите, «как я переезжал на новую машину от компании такой-то с одновременным поднятием LE-сертификата и dual-stack IPv4 и IPv6».
На VDS я пробовал, а вот на таких хостингах хз как.
Через https://zerossl.com http морда для Let's Encrypt
Технические метрики никогда никого не волнуют из финансового руководства. Потому что полировка браузера выхлопа им не дает.
Вечный антагонизм добра против бабла. По сути, «за» технарей и вообще «за» тех, кому важно иметь быстрый экономный браузер, никто уже давно не играет. К великому сожалению. Зато игроков за то, чтобы сделать быстро и хреново, но чтобы показать инвесторам, «а потом перепишем» (по факту — это «потом» никогда не наступает) — всегда с запасом.
За все три года я сталкивался с нехваткой оперативной памяти лишь в некоторых играх, что разбухали до 20+ гигабайт.
Я могу понять проблемы с памятью и производительностью у мобильных браузеров. Но на десктопе, как мне кажется, актуальнее удобство и безопасность.
Чтобы в какой-то момент не оказалось, что какое-то приложение внезапно захотело активно работать с 16GB памяти, и убило диск за несколько часов.
Так это просто ещё один шаг к запрету передачи любого POST методом http. Гугл роадмэп выкладывал...
(Выглядит их поведение так).
Для подробностей — View Certificate. Итого — 2-3.
Кстати, если вам вдруг понадобится посмотреть сертификат в FF, то одним кликом тоже дело не обойдется: клик на «замочек», потом клик на «стрелку» — так можно увидеть лишь самый минимум, затем клик на ссылку «More information», а потом на кнопку «View Certificate». Итого — 4.
В Opera тоже понадобится минимум два клика, чтобы получить хоть какую-то информацию, а для подробностей еще один. Итого — 3.
В IE11 я вообще не нашел сколь-нибудь очевидного метода просмотра сертификата текущего сайта.
Lock icon removed from Address bar of sites that are protected by SHA-1 certificates in Internet Explorer 11.
Но в Geektimes sha256. Всё ли у вас в порядке?
Ещё сертификат можно посмотреть через Файл (как правило нужно нажать Alt чтобы меню появилось)\Свойства — Сертификаты. Или правой кнопкой в свободном месте страницы — Свойства — Сертификаты.
Т.е. я вообще не могу попасть на dev-версию своего же сайта.
Какой-то маразм у гугла пошел с этим https.
используйте lets encrypt или добавьте корневой сертификат в список доверенных
Причем проявляется не на всех компьютерах в одной и той же версии хрома.
Самоподписанные сертификаты часто встречались раньше и люди привыкли автоматом принимать их. Видимо для того чтобы уберечь людей от таких поступков в хроме заблокировали эту возможность.
Приводя аналогию: это как если яйцо начнет диктовать курице что ей делать.
Да обрушится на гугл кара господня!
С каких пор браузеры диктуют сайтам что им делать?
Всегда диктовали. Где-то до сих пор жива верстка даже под IE 5.5…
Какие миллионы? Даже русскоязычный top100 — 95% https
Так, что большинство пользователей используют сайты с httpsПо такому же принципу можно оправдать 95% блокировок РКН — большинство пользователей на них не ходит, почему бы и не заблокировать
А тут сразу миллионы сайтов буквально отпадут. Ну нельзя же так
Но олд фаги вполне могут сидеть с ХР из под виртуалки, с древним браузером и пускать скупые слезы.
Вы же не требуете что-бы тесла была полностью совместима с лошадью? А то овес не ест, телегу не тянет, иш как тысячи людей с телегам ущемляют!
Это не блокировка сайта, это блокировка технологииНу так и рутрекер в торе работает, чего все жалуются, что его заблокировали-то?
Олдфаги могут вполне сидеть в другой стране, открывать его по http и пускать скупые слезы.
Предложение же сидеть с виртуалки с древним браузером равносильно в данном контексте предложению сидеть в рутрекере на их .onion адресе. И то, и другое требует специальных знаний и инструментов, а кто и как при этом заблокировал простой доступ — неважно
Еще раз — разница в том, куда направлен вектор. В одном случае в сторону появления контролера в интернете. В другом в сторону более безопасного интернета.
Блокировка по принципу устаревших технологий очевидно всех устраиваетДа ну нет же. Вот меня не устраивает, например
В другом в сторону более безопасного интернета.«Безопасность https» — это вообще отдельный холивар. Но, вне зависимости от опасности и безопасности, у него есть громадная проблема — скорость. Обрежьте себе канал или устройте потерю пакетов и посмотрите, как будут работать одни и те же ресурсы через http и https. Да, большинство никогда не будет в таких условиях, но какой-нибудь доминикане или южной корее такой ход вообще обрубит гипертекстовые интернеты до какой-нибудь европы
Очевидно и Вы и «какая-нибудь Доминикана» не входит в таргет группу.
Тем не менее, это не значит не будет браузеров специально под них, а сайта таргетированные на них, могут иметь http версию. Общество не едино, разные группы имеют разные потребности, люди с нормальным интернетом не обязаны страдать на старых стандартах, из-за людей с медленным интернетом.
Под всеми я имел в виду большинство таргет группы браузера и сайтовТо есть люди в разных странах не являются таргет-группой? Надо тогда уж сразу национальные протоколы делать.
люди с нормальным интернетом не обязаны страдать на старых стандартах, из-за людей с медленным интернетомВот уж страдание, http использовать
На самом деле все просто — никто не форсирует переход на новый стандарт. Форсируют его использование там, где это нужно, но никто в здравом уме пока еще не предлагал отказаться от http полностью в пользу его младшего брата с s на конце, обрубив всю поддержку
У меня 70% ежедневно посещаемых сайтов БЕЗ SSL.
Пока владельцы сайтов не начнут терять трафик, они не зашевелятся.
Гугл в паре с центрами сертификации просто выжимают для себя бабло.При том, что Гугл значится в партнерах у Let's Encrypt, который раздает бесплатные сертификаты. Не стыкуется.
Чем больше денег, тем больше цирка с получением, и цирк отвлекает от простой мысли, что серт — это всего лишь набор цифр.
https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox
но можно избежать такого если хром запускать через ярлык с таким ключиком --app=«http://сайт.сайт»
Google Chrome продолжит «закручивать гайки» (с октября)