Комментарии 53
Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.
А потом в версии 86 этот режим сделают не отключаемым, chromium думаю к этому моменту тоже подтянется. И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.
А потом окажется что letsencrypt.org находится в подчинении какого то государства которое внезапно может требовать отзывов сертификатов у неугодных сайтов… хорошая будет цензура.
PS. Табличка «Sarcasm»
И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.А к вам и так в ряде случаев зайти по HTTP не смогут. Например, если провайдер, подставляя свой контент в HTTP-трафик, сломает ваши скрипты, то клиенты провайдера увидят, что ваш сайт не работает и уйдут.
В наше время HTTPS практически обязателен для каждого веб-сайта.Я бы сказал, что это уже как базовая гигиена.
В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.Красиво получается:
Государствам (спецслужбам) не выгодно внедрение более сильного шифрования и новых протоколов без уязвимостей. Они оставляют несколько государственных сайтов на TLS 1.0, и производители браузеров не могут полностью отключить этот протокол ;)
Традиционный вопрос про доступ к админке домашнего роутера.
Конечно, для «продвинутого» пользователя высказанные там претензии смешны, но вот для непродвинутого необходимость, например, смотреть присвоенный шлюз в свойствах соединения, чтобы узнать IP-адрес роутера, это проблема. «Домашний роутер» таки подразумевает всякие мелкие удобства типа «воткнул, открыл браузер и браузер сразу предложил перейти на captive portal для настройки роутера», чего у микротика нет и не будет.
А может даже сделают исключение для адресов из приватных диапазонов.
Неужели нельзя сделать, чтобы для конкретного сайта можно было бы поставить галочку исключения требования «только https»?
Уже несколько недель использую HTTPS Everywhere в режиме "Encrypt All Sites Eligible is ON". По большей части проблемы возникают в двух случаях:
а) малоизвестные сайты;
б) ресурсы локальной сети (RFC 1918).
К сожалению, HTTPS Everywhere не позволяет добавить вторые в исключения (что странно ибо в changelog последней версии явно указано "Add Private network IPs to exclusion for HTTPSE"). А первые, видимо, ещё нескоро обзаведутся поддержкой https.
По IP тоже выскакивает ошибка с предложением добавить страницу в исключения.
Она исправлена в коде 7 января 2020, для Chrome несколько дней назад уже вышел релиз, включающий этот фикс, а вот версия для Firefox пока задерживается.
http не может и не должен умереть. При том, что в ряде применений он не оптимальный, это очень понятный и простой протокол. Любовь к закапыванию простых протоколов во имя overengineering — это тренд, но ему можно и нужно активно сопротивляться.
Браузер только для интернета? Да у меня половина железок вообще не умеют httpS.
Тогда большой проблемы не будет, HTTP-сайты действительно потеряют в посещаемости (не каждый будет соглашаться перейти на сайт), но если очень надо или железка не поддерживает HTTPS — юзеру не придётся искать портативную старую версию браузера и заходить через неё.
Сертификат для 192.168.1.1 никакой letsencrypt мне не выдаст…
Firefox внедряет режим «только HTTPS»