HTTPS реально победил, расширение HTTPS Everywhere закрывается

[Vindicar]

Не оказалась бы победа пирровой…
Да, шифрование — штука хорошая в век повсеместных вторжений в чужой трафик, но это также внесло ещё один элемент централизации в изначально децентрализованную систему. Если по какой-то причине ты не можешь получить сертификат, которому доверяют популярные браузеры — давай, до свиданья. А по мере продвижения протокола QUIC варианта «откатиться на нешифрованное соединение» может просто не остаться.

[JerleShannara]

Кхем, некоторому железу, которое далее management подсети (которая и так защищена как пульт управления ядерной ракетой) даже не умеет смотреть, обычный http это большая нагрузка, а уж https его на лопатки может положить.

[Kirill8]

И веб-интерфейс роутера перестаёт открываться.

[MrB4el]

Всё тоже самое у меня, и открывается спокойно. Ёж 94.*

UPD: Подтверждаю. После перезапуска браузера перестало работать. До этого после смены состояния флага тоже перезапускал, это не связано.

[AlexGluck]

Так включите на роутере тлс, получите сертификат от le или используйте свой pki.

У меня нормальный роутер с openwrt, nginx, acme.sh

Даже внутри дома у меня 3 сети и в рамках сетей дополнительная изоляция, а внутри каждой сети весь трафик ходит в шифрованном виде. Кроме части торрентов кажется.

Сгенерированные пароли, двухфакторная авторизация на тотр в крайнем случае смс, ссш ключи. Забота о цифровой безопасности важна.

[Chupaka]

А расскажите, о каком геморрое речь. В IoT, вроде, не навязывают https, порт 80 тоже пока ещё не блокируют... А то, что браузер на ваш IoT-эндпоинт откажется подключаться — разве это серьёзная проблема? Для интерфейса управления сделайте отдельный...

[dartraiden]

Если по какой-то причине ты не можешь получить сертификат, которому доверяют популярные браузеры — давай, до свиданья.

В Firefox никто не мешает добавить самоподписанный сертификат в хранилище. Более того, там можно просто добавить HTTP-домен в исключения режима «только HTTPS» и продолжать ходить по HTTP.

Ну а на всяких Keenetic это решается ещё изящнее — в один клик роутер регистрирует домен третьего уровня (очень удобно при сером IP для удалённеного администрирования и поднятия всяких онлайн-сервисов) и получает для него валидный сертификат.

[Devoter]

Не везде и не всегда есть такая возможность. Вот мы поставляем программно-аппаратный комплекс, который должен работать, в том числе без наличия интернета и привязки к конкретным рабочим станциям, для этого и был выбран веб-интерфейс. Причем, некоторые комплекты запускаются "в космос", то есть посылкой в другой регион. И для нас https-only становится серьезной проблемой, так как браузеры на АРМ обновляют клиенты самостоятельно.

[JerleShannara]

Распространяйте в комплекте сертификат на 100 лет с инструкций, как его добавить в современные браузеры, благо(и увы) их не так много осталось популярных.

[Devoter]

К сожалению, уровень технической подготовки клиентов таков, что все, что не работает из коробки для них сложно, а клиент, как известно, всегда прав. Им проще приобрести продукцию конкурента, чем заморачиваться с настройкой нашего решения, но что-то определенно, придется решать.

[Mike-M]

Сертификат на 100 лет — разве такое возможно?
Вроде, недавно сократили максимальный срок действия сертификата с 5 лет до года.

[JerleShannara]

Так зачем его где-то покупать? Берём EasyRSA и делаем на нужное кол-во лет. Задача не в безопасности и всё прочем, для чего https сделан, а в том, чтобы заткнуть современный браузер с его нелюбовью к старому http.

[ifap]

Работал этот плагин довольно криво, помнится на vk.com упорно не хотел форсить HTTPS, пришлось его руками заколачивать в список «всегда HTTPS».

[ModestONE]

Я безумный чел, где собираемся?