Обещания Google начали сбываться — теперь сайты https помечаются как надёжные


    (Разница между HTTPS и HTTP к которой идет Google)

    Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.

    Сейчас начался первый этап — пометка сайтов с https как безопасные.

    Что там будет дальше?

    Следующий этап стимулирования перехода на https намечен на конец января — в Google Chrome 56 версии. Тут уже будет однозначно сообщаться, что сайт не безопасен.


    И в финале нас ждет красивая маркировка староверов, которые всё еще не перешли на HTTPS


    image

    Но есть и одна тонкость, которая позволит сайту не бежать на HTTPS — если у сайта нет форм ввода, то последний сценарий не наступит.

    Точнее говоря наступит конечно же, но пока не известно когда.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поддерживаете ли вы переход на https?

    Поделиться публикацией

    Комментарии 323

      +14
      Главное чтобы letsencrypt не прикрыли и не сделали платным.
        +4
        Зачем? Я скорее поверю, что гугл сделает свой центр сертификации (странно вообще как он успустил это) это же еще один способ сбора информации
          +8
          Просто этот центр остался единственным, кто выдаёт бесплатные сертификаты. Китайскому WoSign и теперь уже китайскому StartSSL доверия нет, а гонять трафик через Cloundfare не для всех приемлемо. Если сейчас прикроют letsencrypt, я не знаю, где мне брать сертификаты для моих сайтов. Скорее всего я просто обратно уйду на http, и повешу плашку, что браузер Crome вконец обнаглел.
            +2
            Ну так я и говорю, если что-то с летсинкруптом случится, велика вероятность появления замены от гугл, хотя я уверен, что с ним ничего не будет — там жертвователи серьёзные, c хромом в первых рядах
              0
              а в чем проблема покупать сертификаты при закрытии letsencrypt.
              я серьезно и без подколов. прост на них сейчас совсем не такие цены, как были раньше.
                +14
                Когда это хомяк/бложик/форум для двух с половиной энтузиастов, везде пытаешься сэкономить. Реклама там ни сертификат, ни хостинг, ни доменное имя не отобьет никогда, её даже вешать смысла нет.
                  –4
                  с одной стороны, я понимаю такие доводы.
                  с другой стороны, я не могу понять какая разница какая будет надпись у «хомяк/бложик/форум для двух с половиной энтузиастов» в браузере у этих самых энтузиаствов.

                  мне кажется, что ту скорее психологический момент, чем реально вопрос денег/целесообразности.
                    0
                    А там гугл грозился (вместе с мозилой) в конечном итоге не передавать данные форм, если соединение не https
                      –1
                      Пойдет лесом значит. Условия он еще диктовать собрался, поганец.
                        +5
                        И останется IE, который придётся рекомендовать пользователям.
                      +2
                      Третий энтузиаст даже не найдет этот форум, потому что сверху будет другая выдача — с сертификатами.
                        +3
                        Видимо, у третьего энтузиаста слишком мало энтузиазма.
                      0
                      Смотря что, для кого, о чём и зачем вешать.
                    0
                      +2
                      Free SSL certificates are valid for 90 days and are limited to one issuance per domain.
                      0
                      Cloudflare помимо всяких плюшек в бесплатном плане подключает и паблик сертфикат, чего достаточно для получения заветной галочки «Secure», и http/2.
                      0
                      А что вы скажете про это:
                      image
                      О перспективах встраивания российской криптографии в браузеры Chrome от Google? Речь идет, естественно, о ГОСТ-ом https.
                        0
                        оно должно помереть как и всё гост-шифрование
                          0
                          Почему?
                            0
                            Следуя логике топикстартера, по моему личному мнению, все наше должно умереть, от электроники до стандартов, все чужое (читай гугловское) это мана небесная, продуманная для улучшения жизни.
                              0
                              Ну почему же, есть неплохие вещи — глонасс тот же, я выступая за леквидацию всего того, что хуже чем общемировое. Не надо изобретать велосипеды, а если госудрство считает, что её велосипед лучше — вперед в международные рабочие группы доказывать это.

                              А так, изобретаем велосипеды, которые еще и хуже работают.
                                +1
                                Тогда давайте ликвидируем половину мировых фирм, включая VIA, Matrox, половину подразделений Microsoft, мейл, прости господи, ру, гугла и т.п.?
                                Когда оно выстрелит и в чем — не предсказать. Сегодня мы в аутсайдерах по многим областям, лишь по тому что мы все еще учимся, но что будет далее? Лет десять назад слово «Китайские товары» вызывало улыбку, а сегодня у них своя космическая станция. Им тоже, лет десять назад, надо было закрыть их проекты пилотируемых полетов, которые были хуже чем общемировые?

                                Я за альтернативу.
                                  0
                                  Я еще раз повторяю, я за совместимую альтарнативу.

                                  т.е
                                  самолёты свои — хорошо, они работают с мждународными стандартами (связь, аэропорты)
                                  ГОСТ шифрование и CPU эльбрус — плохо, очень плохо — оно не совместимо с нынешними стандартами. Я не против если сделают CPU «местого разлива» с архитектурой ARM/x64 но не надо пилить свою а потом эмулировать на ней что-то привычное…
                                    +1
                                    Архитектура у Эльбруса не своя, а вполне стандартная, на которой существуют процессоры у других компаний. Если не брать побочку в виде х86 эмуляции — вполне жизнеспособная _для_определенных_ целей_. Или вы думаете что расчет баллистики или еще какие военные цели будут идти под виндой, как во французской армии?

                                    Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.
                                      0
                                      Архитектура у Эльбруса не своя, а вполне стандартная

                                      Ошибаетесь, у него своя архитектура.
                                      вполне жизнеспособная _для_определенных_ целей_

                                      Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                                      Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.

                                      У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                                      А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!
                                        +1
                                        >Ошибаетесь, у него своя архитектура.

                                        Перепутал, признаю, спутал с Байкалом.

                                        >Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                                        Вроде как вам никто и не навязывает использование в обычной жизни ГОСТовские алгоритмы и наши компьютеры. Лично я с ними связываюсь только когда надо сдавать финансовые или кадровые отчетности.

                                        >У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                                        Что вы подразумеваете под «совместное взаимодействие»? Доставка электроэнергии к потребителю вроде как взаимодействие. Это везде так. Начиная от стандартов сжатия видео, заканчивая поддержкой html тегов в браузерах есть разночтения. Это «конкурирующие стандарты».

                                        >А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!

                                        Надо сказать изобретателям современных ЯП что они дураки, следуя вашей логике. Зачем изобретали всякие С# и иже с ним, ведь был прекрасный С++. Да и изобретателям HTML5, ведь был-же удобный адоуби флеш.

                                        Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут. Это здоровая конкуренция. К тому-же ногда надо отбросить старое, чтоб родить действительно новое, без груза совместимости.
                                          0
                                          Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут.

                                          Вот это вы верно сказали, но государство будет активно пытатся продвинуть свой дохлый стандарт внутри страны создавая трудности всем. Я именно и призываю, что если что-то хуже и не взлетело — не надо это форсить, есть куча открытых альтарнатив которые живы.
                                            0
                                            Любое государство будет этим заниматься. Любая своя разработка будет выше для дотаций, чем чужое. В финляндии так, в США так, в РФ так.
                                              0
                                              что-то я не вижу бреда насчет «сделаем свой интернет» приличных странах
                                                0
                                                Не передергивайте. «свой интернет» не пилит ни одна страна, даже наша. Ограничивать доступ — вполне нормальная практика.
                                                  –1
                                                  Вы наверно пропустили года 2 последних и совершенно не в курсе о дублировании инфраструктуры внутри страны
                                                    +3
                                                    Я наверное проспал десять тысяч лет, но не могу понять что плохого в дублировании инфраструктуры внутри страны и почему это вызывает у вас негативные мысли? Или вы считаете что контроль за всея интернетом, все корневые серверы, все комиссии и надзорные органы должен быть всецело у США?
                                                    Тот-же Китай успешно проводит такую политику. В ЕС тоже есть дублирование инфраструктуры, на всякий случай.
                                                      0
                                                      Так они не просто говорят про дублирование того, что уже давно продублировано. они говорят об этом в контексте чебурашки мифического отключения страны от интернета. Притом что после их действий отключить страну от интернета станет легче лёгкого. Только не снаружи, а изнутри.
                                                      На Китай равняться не стоит, да и на ЕС с их маразмом с куками тоже. Вообще государству не стоило лезть в интернет, он в России отлично был развит без его вмешательства.
                                                        0
                                                        Друг мой, я могу очень много говорить про «наш путь без оглядки на запад и восток», мечтать о том что roi.ru будет влиять на госдуму, но давайте примем как данность уже существующее положение вещей — есть США, Европа и Китай. РФ догоняет, пытаясь брать «бест практис» от весьма различных по менталитету сторон света, коверкая это все в мозгу, во все еще неокрепших от свободы головах.
                                                        0
                                                        плохо тут то что «они» уже вежливо ходят по точкам обмена трафиком и просят трафик гонять через «наши» узлы мол а вдруг враги отключат свои циски, а наши чёрные ящички никто не отключит(ну кроме нас конечно, да и мы вроде как хотим смотреть куда пакеты текут)… надеюсь законодательно это не протащат…
                                                          0
                                                          вполне могут протащить, пробегал документ несколько лет назад на эту тему
                                  0
                                  Потому, что данный тип шифрования больше нигде не используется, предлагаете рунет на него перевести? бред же, я вот хочу, что бы на мой сайт мог зайти любой человек из любой страны, так же и я хочу заходить на любой сайт.

                                  Я уже выше написал, если этот стандарт хорош — вперед на международную требуну (рабочую группу) доказывать, что он — лучше и требовать его включить. А если он не лучше — то зачем?
                                    0
                                    TLS вроде бы позволяет согласовывать ciphers, почему бы и не переходить на гост, если с обоих сторон он поддерживается и выставлен приоритетным
                          0
                          … если у сайта нет форм ввода, то последний сценарий не наступит.


                          Имеется ввиду любая форма ввода, или же не содержащая полей для ввода пароля и данных платежных карт?
                            0
                            В документах хрома говорится о поле паролей и кредитных картах, но как оно будет в итоге — непонятно.
                              +9
                              Есть опасность, что как костыли, будут механизм форм с паролями эмулировать кастомными элементами/ajax'ом. Это будет выглядеть менее нативно, менее безопасно и отвалятся все механизмы автоподстановки паролей/содержания карт.
                              +2
                              Поле «Поиск» и дасвиданья? :-)
                              –1
                              Сижу на бете Chrome 56, пока что не встречал «Not secure» из-за http://
                                0
                                Пока помечает только «Secure» для https, «Not secure» — следующий этап. В статье, по крайней мере, это написано.
                                  +1
                                  Можно в эксперементе включить для проверки как оно работает





                                  0
                                  Сижу на Google Chrome 55(55.0.2883.87 (64-bit)) и вижу эти надписи. У меня они появились сами после обновления на 54 версию. Вы можете это включить руками где-то в chrome://flags/
                                  При этом у меня оно и под основной(Ubuntu GNU/Linux 16.04 LTS) системой, и под игровой виндой имеется.
                                  +6
                                  Перевел сайт на https с 3600 скакануло до 5600 трафик. Все из гугла. Гугл любит https!
                                    +1
                                    Если память не изменяет, https-сайты (при прочих равных) выше в выдаче.
                                      +1
                                      Я думаю, что, конечно, использование https увеличит потребность человечества в электричестве, возможно увеличит сжигание угля и выбросы со2. Основной массивный контент — это видео, хоть того же гугла. С https его невозможно кешировать у провайдеров. Объемы трафика будут расти вместе с потреблением энергии.
                                        +4
                                        Открою вам страшную тайну, ютуб уже давно на https
                                          +1
                                          для провайдеров с большим трафиком у гугла есть GGC:https://geektimes.ru/post/93864/
                                            0
                                            https://istlsfastyet.com/
                                          +1

                                          tsya.ru

                                            +13
                                            Тоже Not Secure, кстати
                                            +42
                                            Сайт первого канала с предупреждающей символикой «Ненадёжный», почему-то смотрится очень органично)))
                                              –4
                                              Вы правы, поменял картинку
                                              +4
                                              Хм, в голосовалке 13% против https, было бы интересно услышать доводы.
                                                +15
                                                Есть сайты, где это не нужно.
                                                  0
                                                  например?
                                                    +9
                                                    Любой сайт, где не спрашиваются и не используются никакие приватные данные.
                                                    Блог, новости, галереи и т.д.
                                                      +1
                                                      ну т.е вы готовы поделится информацией, что вы конкретно смотрите с:
                                                      1) Обладателем точки бесплатного Wi-Fi
                                                      2) Вашим провайдером
                                                      3) Вашим мобильным оператором
                                                      4) Государством

                                                      ?
                                                        +9
                                                        Все перечисленные и так узнают сайты, просто не конкретные страницы.
                                                        Хотите спрятаться — используйте впн.
                                                          +4
                                                          Они узнают домен, а не конкретную страницу и тем более не конкретный контент.

                                                            –14
                                                            Они узнают все, если им будет надо. Ибо MIDM и т.д. — возможностей море — посмотрите на китайский файерволл.

                                                            По-этому для такого типа сайтов https бессмысленен — ибо ни чьей безопасности они не угрожают, зато для веб-мастеров это доп.телодвижения для выпуска, продления и т.д.

                                                            Причем часто это вообще бесплатные проекты.

                                                            Но с гуглом не поспоришь, увы. Придется делать.

                                                              0
                                                              Может MITM?
                                                              Китайский фаервол не вмешивается в HTTPS в этом собственно основной плюс HTTPS — трафик можно или пропустить или дропнуть, но заходя на сайт с зелёным значком можешь быть уверен — сайт по пути от сервера до тебя не модифицировался.
                                                                +6
                                                                Наверно, MIDM расшифровывается как Man In Da Middle :)
                                                                А если серьезно, я догадываюсь, почему кто-то проголосовал против. За любое шифрование приходится платить вычислительными ресурсами и скоростью. При слабом сигнале (а беспроводные сети сейчас в мейнстриме) http работает быстрее и стабильнее https по объективным причинам: меньше хэндшейков с передачей ключей туда-сюда.
                                                                (Для меня безопасность важнее, поэтому я не поддерживаю данную точку зрения.)
                                                                  +1
                                                                  Ну… не можешь так-то. Были случаи, когда центры сертификации подписывали левые домены.
                                                                +1
                                                                Сам голосовал за https, но тем не менее действительно есть некотоьрые сайты, где это действительно очень нужно. Так как не всю информацию все люди стремятся скрывать от государства\провайдера\оператора, обладателя Wifi точки.
                                                                  0
                                                                  примеры?
                                                                    +6
                                                                    Сайты СМИ, например. Контент намеренно публичен. Тот факт, что я прочитал про очередную инициативу все запретить от госпожи Мизулиной или про счет матча газмяс — зубило, я ни от кого скрывать не собираюсь.
                                                                      +1
                                                                      Если вы только прочитали — нет, а представьте, что медиалогия (гос-система которая меряет общетвенные настроения) при прочтении в неделю более 10 новостей с ключевыми словами которые относятся к плохим — вас занесут в особый список майора?

                                                                        +8
                                                                        Слушайте, ну нашему, русскому товарищу майору я могу стать внезапно интересен вот прямо завтра без всяких там прочтений, не надо меня этим пугать. Ну, на дочку его внезапно посмотрю как-то не так. Ваши предположения про 10 статей в неделю на 10^10 порядков менее вероятны, чем то, о чём я пишу. На всех тупо не хватит майоров, знаете ли.
                                                                        Меня вот конкретно сейчас волнует не наш посконный товарищ майор, который в конце концов (по версии либерастов) насквозь коррумпирован, и от которого можно хоть как-то откупиться, а искусственный интеллект, потенциально работающий на чужого мистера майора. И который может автоматически, ещё раз, автоматически, без всяких тухлых разговоров, отключить меня от всех источников дохода, если решит, что я неблагонадёжный. Потому что у меня телефон на андроиде, почта на гмейле и карта виза. И всё это контролируется из (сколько там? три с половиной десятка?) спецслужб чужой для меня страны.
                                                                        Про false positives что-нибудь слышали?
                                                                          0
                                                                          Я скорее поверю в то, что у вас было false positive на violations of ToS/TOU, и Гугл отключит вас от всего гугловского (adsense, gmail и google play — оптом), чем то, что на вас наложат персональные санкции спецслужбы иностранного государства.
                                                                          Хотя да, такое тоже возможно — если ваш теска где-нибудь всплывет в рядах какой-нибудь террористической организации (или считаемой таковой в оплоте демократии).
                                                                            –2
                                                                            Если меня Google отключит от AdSense, я буду только рад — наконец-то в моей жизни станет меньше рекламы /s
                                                                              +3
                                                                              От Adsense, но не от Adwords :-)
                                                                                0
                                                                                А в чём проблема самому отключится от AdSense, Adwords, аналитики и остального не нужного?
                                                                                  0
                                                                                  В мобильных приложениях это не так просто, к сожалению
                                                                                    0
                                                                                    С рутом и правкой hosts вроде никаких не должно быть. Хотя утверждать не буду, не сталкивался.
                                                                                      0
                                                                                      Хотел подсказать вам несколько вариантов блокировки рекламы в мобильных браузерах, а потом сообразил, что вы про приложения… А тут без рута проблематично, да…
                                                                                        0
                                                                                        Вот и я про то. В итоге снёс Youtube и смотрю теперь его в броузере на мобильнике, благо AdAway есть.
                                                                                          0
                                                                                          Ну AdAway все же рут требует даже для браузера, мне больше нравятся новые варианты, когда используется API для блокировки или плагин в мобильный браузер, чтобы не рутить смартфон.
                                                                                            0
                                                                                            Рут пока что есть (и в следующем телефоне будет), ещё поживём немного.
                                                                                            Плагин к файрфоксу мобильному есть… но файрфокс и без плагина тормозит.
                                                                                              0
                                                                                              Я сейчас использую Яндекс.Браузер который дает API(аналогичный API есть еще в самсунговском браузере, насколько знаю) для приложения AdGuard, которое и занимается резкой. Хотя в нем и есть возможность поставить расширения, но не уверен, как оно будет работать, т.к. это еще только тестируемый функционал.
                                                                                                0
                                                                                                Яндекс… у меня на него идиосинкразия. Из-за постоянной навязчивой рекламы по пропихиванию себя любимого во все щели.
                                                                                                  0
                                                                                                  Нуу… тут сложно найти того, кто этим не занимался. Компании предлагают партнерки, а разработчики сами решают, какую им выгоднее запихнуть в свой инсталятор. Гугл тоже этим баловался до того момента, как стал лидером на рынке браузеров. Да и сейчас кое-где его можно встретить до сих пор. Совершенно спокойно к этому отношусь + имею программу unchecky, чтобы случайно не проглядеть чего :-) Зато API для блокировки рекламы и поддержка расширений для десктопного хромиума. Но с другой стороны — если рут вас не смущает, и используете firefox, у которого на мобильном тоже есть расширения — то для вас это не критично. А вот лично мне рут не нравится, поэтому API для блокировки рекламы оказалось очень востребованной штукой.
                                                                                                    0
                                                                                                    Жизнь без рута мне не нравится. Тот же Greenify не запустишь, например…
                                                                                          0
                                                                                          Единственное что приходит в голову это VPN с фильтрацией. Заодно это будет защита от мобильных подписок.
                                                                                  –2
                                                                                  На всех тупо не хватит майоров, знаете ли.

                                                                                  В 1937-38 хватило на всех.
                                                                                    0
                                                                                    Не на всех. Иначе бы Вас на свете не было.
                                                                                      0
                                                                                      На всех, на кого было надо.
                                                                                    0
                                                                                    как то сложно представить что в насквозь либералистическом мире потенциального противника вы можете сделать ненадежного?
                                                                                    быть госчиновником какой то страны и иметь миллионы на счетах без объяснений как вы их заработали? не вызывает сочувствия если честно.
                                                                                      0
                                                                                      Хорошо бы еще понять, к чему данный комментарий…
                                                                                        0
                                                                                        Скачаю и сяду раздавать неправильный торрент.
                                                                                        +1

                                                                                        Товарищу майору может внезапно прилететь плюха от начальства на тему слабой работы по выявлению несознательных элементов. И тут товарищ майор вызовет товарища лейтенанта и потребует с него быстро списочек из двух-трех десятков сотен тысяч неблагонадежных. А тов. лейтенант быстренько отфильтрует тех, кто эти нехорошие статьи читал… Так вот и попадают в неблагонадежные. Со всеми живописанными вами подробностями. Касается, кстати, спецслужб любой страны.
                                                                                        Откупиться, кстати, тоже вряд ли получится. Ибо поток… и риски не оправдываются.

                                                                                      0
                                                                                      Можно при работе через публичную точку доступа подменить вам контент, добавить нехороший скрипт в страницу и много чего еще.
                                                                                        0
                                                                                        от госпожи
                                                                                        пилили бы эти господа уже скорее домой к себе в Израиль…
                                                                                    0
                                                                                    даже домен не узнают. только ip адрес. а если там cloudflare или аналоги — то это будет адрес их серверов.
                                                                                      0
                                                                                      Домен узнают, см. SNI.
                                                                                        0
                                                                                        Вот зараза, он в открытую передаёт. Мда, и вправду.
                                                                                          0

                                                                                          В чём-то зараза, в чём-то круто. Это не от хорошей жизни сделано а для того, чтобы на одном IP могли сосуществовать HTTPS-сайты с непересекающимися сертификатами. Без SNI http-сервер не будет знать, какие ключи необходимо использовать и будет посылать дефолтный.

                                                                                            +1
                                                                                            IPv6 спас бы, но…
                                                                                  +5
                                                                                  Сейчас у моего сайта есть две зависимости: первое это DNS имя, второе «сервер» где он находится. Теперь добавляется третье звено те кто мне дают сертификат, лично мне это не нравится.

                                                                                  PS. И конечно хорошо что теперь мой трафик до конца(хочется надеяться) не может проследить все 4 вышеуказанных пункта, однако получается что теперь эту функцию под себя подмяли Mozilla, Google и Microsoft.
                                                                                    0
                                                                                    эту функцию под себя подмяли Mozilla, Google и Microsoft.

                                                                                    Это вы о производителях ОС/Браузеров? так всегда есть альтарнатива если не верим в чистоту того или иного ПО, да и на сколько я помнб Firefox сильно меньше суют свой нос в трафик по сравнению с хромом
                                                                                +1
                                                                                Ну, есть такие сайты с новостями, и уж тем более такие галереи, за просмотр которых можно и срок схлопотать.
                                                                                +4
                                                                                Сайты которые не берут информацию от пользователя, например caniuse.com
                                                                                  +3

                                                                                  SSL еще предотвращает MiTM, так что поддельных данных никто не сунет. Яваскрипты тоже. Такое не раз случалось.

                                                                                    –2
                                                                                    К сожалению, далеко не всегда HTTPS спасает от MITM-а.

                                                                                    Насколько помню, было такое — атакующий может для каждого TCP-соединения создать две независимые SSL-сессии и при создании защищенного соединения клиент получит шифрованное соединение с атакующим а, тот в свою очередь создает соединение с сервером.

                                                                                    Поправьте, если не прав.
                                                                                      +3
                                                                                      Вы не правы.

                                                                                      MITM возможен, только если только вы вручную установите себе сертификат левого certification authority (CA) или если сертификат на домен будет выдан (намеренно или случайно) тем CA, который уже есть у вас в системе. Дополнительную защиту от обоих случаев предоставляет certificate pinning (HTTP Public Key Pinning)
                                                                                        +2
                                                                                        Компрометация корневых CA же была уже и не раз.
                                                                                        К тому-же про государство (про которое уже выше спрашивали) точно сделать это может для себя.

                                                                                        Про Pinning спасибо — пошел читать.
                                                                                          +1
                                                                                          О любом случае ошибочно выпущенных сертификатов, удостоверенных корневыми CA, очень быстро становится известно, после чего CA приходится долго оправдываться.

                                                                                          После намеренной выдачи левых сертификатов по заказу CA будет быстро добавлена в блэк-лист браузеров.
                                                                                            0
                                                                                            Компрометация корневых CA же была уже и не раз.

                                                                                            А можно список? Я помню только несколько случаев с их subordinate CAs

                                                                                            +1
                                                                                            Pinning мало кто использует. Он не удобен.
                                                                                              0
                                                                                              Безопасность это комплексная задача. Само по себе шифрование ни чего не гарантирует. Если кто-то утверждает обратное это маркетинг.

                                                                                              В энтерпрайзе root ключи устанавливаются централизованно, что позволяет мониторить весь HTTPS трафик сотрудников. Еще в firefox 49 появилась настройка security.enterprise_roots.enabled, заставляющая доверять root сертификатам. Chrome и edge кажется и так давно все это поддерживают.

                                                                                              С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.
                                                                                                0
                                                                                                С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.

                                                                                                Но для этого необходим контроль над конкретным дистрибутивом, т. к. gpg подписи не проверяет только ленивый.

                                                                                    +1
                                                                                    В голосовалке ткнул «да».
                                                                                    Но поголовный переход имеет и свои минусы и как правило это технические тонкости — к примеру проси серверы, проксировать ssl тот ещё гемор :)
                                                                                      0
                                                                                      Если не разбирать трафик а тупо пропускать дальше, то в чем проблема?
                                                                                        0
                                                                                        Если нужно именно проксировать, и да — править при этом трафик (WAN-оптимизатор например, вроде Riverbed'овских или оптимизаторы для спутникового трафика). Правда тут уже вполне логично свой локальный CA ставить.
                                                                                        Или именно необходимость локальный кеш иметь потому что внешний канал ОЧЕНЬ плохой и сделать нормальный — нереально (а видео и так не смотрят).
                                                                                          0

                                                                                          Локальный CA спасет в таких случаях

                                                                                            0

                                                                                            Из реальных минусов — шифрованый трафик не сжимается из-за высокой энтропии.

                                                                                        +4
                                                                                        Голосовал иначе, но частично понимаю. Правильный вариант ответа «зависит».

                                                                                        Не для всего нужно https, по крайней мере необязательно. Начиная от каталогов небольших интернет магазинов (без онлайн оплаты) и заканчивая админками роутеров, где все эти сертификаты будут протухать без обновления.

                                                                                        Плюс всякие другие негативные моменты: например, при нестабильном соединении с телефона https сайты открываются значительно медленнее и батарейка жрётся быстрее. Понимаю, шифрование важно, опсосы иногда вклиниваются в траффик и подсовывают рекламу, но тем не менее.
                                                                                          –3
                                                                                          А пароль от админки роутера настолько бесполезен, что его не следует защищать?
                                                                                          Включённый на роутере WPS -> брутим пин, влезает в сеть, ждём, пока кто-то не зайдёт в админку -> PROFIT.

                                                                                          А дальше уже можно много чего интересного делать, вплоть до перепрошивки роутера на такую же прошивку, что и была, но с «черным входом» для себя.
                                                                                            +9
                                                                                            Если в вашей домашней сети между вами и роутером кто-то сидит, у вас уже проблемы.
                                                                                              +8
                                                                                              Если вы переживаете за безопасность, WPS будет первым, что вы выключите.
                                                                                              Если нет, то и сертифика вас не спасёт.
                                                                                              –3
                                                                                              > Не для всего нужно https, по крайней мере необязательно.

                                                                                              Эта фраза сразу выдает в вас человека далекого от IT. Возможно в вашем мире кофеварок вы и правы, но http/2, который помимо прочего дает ускорение загрузки, живет только с https, иначе никак.
                                                                                                +2
                                                                                                Для справки- https не обязателен для HTTP2, это инициатива производителей браузеров. В том же EDGE HTTP2 работает без https.
                                                                                                  –1
                                                                                                  И очень хорошо, что http/2 работает в https only с большинством браузеров, когда-то надо переходить, и сейчас переход на https идет менее болезнено чем на ipv6 и это радует
                                                                                                    –2
                                                                                                    Вы бы почитали спецификацию. То что какой-то маргинальный браузер у себя родил вариант без ssl'а не означает, что http/2 без него работает.
                                                                                                      +1
                                                                                                      Я глянул и не увидел там обязаловки по шифрованию:
                                                                                                      https://http2.github.io/faq/#does-http2-require-encryption
                                                                                                      Does HTTP/2 require encryption?
                                                                                                      No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol.

                                                                                                      However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted.


                                                                                                      http://httpwg.org/specs/rfc7540.html#TLSUsage
                                                                                                      9.2 Use of TLS Features
                                                                                                      Implementations of HTTP/2 MUST use TLS version 1.2 [TLS12] or higher for HTTP/2 over TLS. The general TLS usage guidance in [TLSBCP] SHOULD be followed, with some additional restrictions that are specific to HTTP/2.

                                                                                                      The TLS implementation MUST support the Server Name Indication (SNI) [TLS-EXT] extension to TLS. HTTP/2 clients MUST indicate the target domain name when negotiating TLS.

                                                                                                      Deployments of HTTP/2 that negotiate TLS 1.3 or higher need only support and use the SNI extension; deployments of TLS 1.2 are subject to the requirements in the following sections. Implementations are encouraged to provide defaults that comply, but it is recognized that deployments are ultimately responsible for compliance.

                                                                                                      Тут говорится что реализация с шифрованием должна использовать TLS версии 1.2 или выше.
                                                                                                        –1
                                                                                                        а как дела с вебсерверами? они готовы обработать не шифрованный трафик от IE? nginx/apache (IIS не всчёт)
                                                                                                          +1
                                                                                                          Нормально, по крайней мере nginx умеет, хоть и не рекомендует по причине малой распространённости.
                                                                                                            +1
                                                                                                            Апач не знаю, а у nginx h2 до сих пор в экспериментальном виде и без ключа ssl у меня не работало, как сейчас хз.
                                                                                                            Там ещё общие сложности:
                                                                                                            https://trac.nginx.org/nginx/ticket/808
                                                                                                            https://trac.nginx.org/nginx/ticket/816
                                                                                                            Есть ещё проблема что h2 навязывается на все порты, даже те что не указаны как http2.
                                                                                                              0
                                                                                                              Там же connection upgrade, что плохого в работе по обычным портам?
                                                                                                                0
                                                                                                                Не знаю. Просто такая ситуация что если в разные секции server для разных доменов задать с http2 и без, то везде http2. Была попытка вынести на отдельный порт и на отдельный порт тоже наследуется http2. Достоверно могу сказать только за хром, как в остальных не помню уже.
                                                                                                                Я ещё забыл добавить что при http2 начинаются проблемы с клиентскими сертификатами, поэтому собственно и выносил на отдельный порт работу без http2, но фиг.
                                                                                                                Так что http2 в nginx пока работает только в общих условиях с принятием того факта что он становится главенствующим режимом в клиентах где http2 поддерживается.

                                                                                                                А с чистым режимом http2 на 80 порту я наверное что-то не так сделал и ошибся с выводами.
                                                                                                      +1
                                                                                                      Как раз в мире кофеварок (с возможной атакой горячим паром) https более полезен.
                                                                                                      0
                                                                                                      А как вообще у админки роутера может быть сертификат, они же выдаются для доменов, а админка роутера — это что-то вроде 192.168.1.1?
                                                                                                        –1
                                                                                                        Давайте я расскажу вам про ДНС.
                                                                                                        Вы можете в ДНСе прописать резолв в любой адрес, как вам в голову придет. Вы можете получать сертификат прописав временно резолв в публичный адрес, а потом завернуть резолв на 192.168.1.1. А еще вы можете общаться со своим роутером по реальному IPшнику(так тоже можно, да).
                                                                                                          0
                                                                                                          Это всё понятно, но для этого надо владеть доменом, да ещё и настроить его на своём роутере. Кто этим вообще заниматься будет, особенно для домашних роутеров?
                                                                                                            0
                                                                                                            Погуглите routerlogin.net, например…
                                                                                                        +4
                                                                                                        Мне кажется, что инициатива маркировки https соединений правильная, но с небольшой доработкой — нужно чтобы она отключалась, если домен резолвится в диапазон ip адресов частных сетей. Тогда попадут все проблемы с админками роутеров/инранетовских сайтов, к которым нет доступа снаружи. Браузеры будут более адекватно работать без доступа к интернету и т.д. Да и уведомления о защищенности/незащищенности сайтов будут более верными, а значит к ним будет больше доверия.

                                                                                                        Особо большого смысла защищать внутренние ресурсы нет: если уж злоумышленник получил контроль над маршрутезатором, то верная раскраска значков в хроме — меньшая из проблем пользователя.
                                                                                                        +3
                                                                                                        Если старый и большой сайт переводить с http на https, то сильно просядет органика с Яндекса, т.к. он пока не умеет безболезненно перевести и будет считать https зеркалом с переклейкой и прочими плюшками :( Делали эксперимент летом, трафик до сих пор не вернулся в полном объеме :(
                                                                                                          0

                                                                                                          А правильно ли делали? ;)
                                                                                                          В момент "переезда" пока не склеятся зеркала, надо чтобы страницы (и изображения) были доступы по обоим протоколам и только после склейки делать редирект с http на https

                                                                                                            +3
                                                                                                            Если возникают вопросы — может вы статью напишите на тему корректного переезда?
                                                                                                            Я думаю вас спасибо скажут
                                                                                                              0
                                                                                                              Да, собственно, maxic всё уже описал. на статью не наберется
                                                                                                                +1

                                                                                                                Наберется :)
                                                                                                                У меня дока к модулям на пару страниц по этому вопросу
                                                                                                                Я как раз модули для e-commerce систем делаю для корректного переезда на https
                                                                                                                Там очень много подводных камней. Много разных хостеров, много разных настроек у них, много говнокода других модулей, которые делают из этого целую проблему
                                                                                                                Очень много видел как выпадают магазины из топ-ов после не корректного переезда
                                                                                                                Только, к сожалению нету времени "писать" :(
                                                                                                                Есть общий принцип, описанный yandex
                                                                                                                https://yandex.ru/blog/platon/2778
                                                                                                                В принципе суть там понятна
                                                                                                                Но еще много подводных камней настроек магазинов, рефакторинга их кода и т п

                                                                                                                  0
                                                                                                                  Ну это уже конкретно проблемы реализации конкретного движка или шарда.
                                                                                                          +9
                                                                                                          Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.
                                                                                                          Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда? Да и его настройка занимает время и редко когда возможна на шаред-хостингах.
                                                                                                          Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.
                                                                                                          Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?
                                                                                                            –3
                                                                                                            Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.

                                                                                                            А вы включите http/2 и страдать они будут даже меньше чем на http — коннектов меньше, не надо ждать пока 100500 соединений установятся и передадут данные.

                                                                                                            Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда?

                                                                                                            Уверены?

                                                                                                            Да и его настройка занимает время и редко когда возможна на шаред-хостингах.

                                                                                                            Множество шаред-хостингов (почему они еще не померли?) умеют в SSL из коробки за 149 руб в месяц

                                                                                                            Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.


                                                                                                            Вы думаете это проблема для современных CPU?
                                                                                                            Зачем на контроллеры делать https? если вы — администратор и вы знаете, что красный крест — это нормально при заходе на 10.10.10.2

                                                                                                            Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?

                                                                                                            Зачем? если у вас централизованное решение автоматизации оно или inhouse или cloud based в первом случае у вас стоит мощная коробка которая агрегирует вообще всю информацию которую ей передают датчики, на выход же обычно торчик API которым управляют приложения/сервисы:
                                                                                                            Amazon Alexa или Apple HomeKit
                                                                                                            Ну а с облаком и так всё понятно.
                                                                                                              +10
                                                                                                              1. Я не видел независимых исследований, утверждающих что-то хорошее про http/2. Всё что видел — говорят, что ускорение если и есть, то на уровне стат. погрешности. Если слышали обратное, поделитесь, пожалуйста, ссылкой.
                                                                                                              2. Спонсоры спонсорами, но проблема в том, что он такой один. Если завтра окажется, что какие-то бармалеи похитили корневой сертификат и устраивают с его помощью митм, этот сертификат будет немедленно отозван. И дальше всё, половина интернета давай до свидания.
                                                                                                              3. Сейчас как бы хайп про иот. Веб-морда — самый простой и понятный способ настройки и управления всего этого барахла. Я-то понимаю про красный крестик, а вот обычный юзер вряд ли.
                                                                                                              4. Мощная коробка, которая всё агрегирует, требует не менее мощного инженера, который её настраивает, а ещё лучше отдел АСУТП. Такое не у всех как бы есть. И это не отменяет того факта, что базовые контроллеры должны работать независимо от общей коробки, которая иначе становится единой точкой отказа.
                                                                                                              Насчёт облаков вообще смешно: да, давайте сначала всё зашифруем, чтобы фоточки с охранных камер из вашей спальни не перехватил потомственный алкоголик сосед Василий, а потом отдадим эти же фоточки в облако эплу или ещё какой корпорации добра, потому что сами мы настроить ничего не можем. Ещё и денег заплатим. Отличная аргументация, браво!
                                                                                                                –1
                                                                                                                Демо от CDN провайдера https://http2.akamai.com/demo

                                                                                                                3 — да не будет обычный пользователь заходить по http на свои IOT устройства — как минимум там может сменится IP, сейчас всё на приложениях с авто-обнаружением
                                                                                                                4 — посмотрите на решения от fibaro (z-wave) или любое решения для amazon/homekit настройка там на уровне просканируйте номер с задней части устройства — вы великолепны

                                                                                                                Я не говорил, что я за облака.
                                                                                                                  +1
                                                                                                                  Спасибо за ссылку. Поизучаю на досуге.

                                                                                                                  PS. Я не говорил, что я против шифрования. Более того, я говорил прямо обратное. Цитата: «Шифруйте всё». Но я против указанных в вашей статье методов принуждения, да.
                                                                                                                    +1
                                                                                                                    Провел этот тест уже 10 раз, и всегда по http2 медленнее получается.
                                                                                                                    image

                                                                                                                    PS На своем проекте уже включил и https и http/2
                                                                                                                      0
                                                                                                                      У меня на мобильном http2 быстрее.
                                                                                                                    +1
                                                                                                                    У меня презентации много ссылок на эту тему — http://bit.ly/deceptive-simplicity-of-http2
                                                                                                                    Отчёты по профиту от h2 действительно сильно разнятся, но конкретно про принвелирование оверхеда от https говорят почти все.
                                                                                                                      0
                                                                                                                      У меня на https://waysofhistory.com после перехода на http/2 скорость загрузки удвоилась.
                                                                                                                  +9
                                                                                                                  У меня пару сайтиков-визиток, которые живут уже кучу лет и до них нет дела хацкерам. Их никто не будет ломать и у них посещаемость в районе 20 человек в день. На них нет рекламы и т.п., они на шареде провадера и я не вижу смысла хоть как-то напрягаться чтоб мой сайт соответствовал критерию современного веба.

                                                                                                                  PS: Далее меня будут помечать «данный сайт не безопасный, так как не использует фреймворков» и т.п.?
                                                                                                                    0
                                                                                                                    Насчёт «нет дела хацкерам» говорить не советую. Им всегда есть до чего-то дело — хоть до сайта, хоть до хостинга: надо же как-то поддерживать количество заражённых хостов и командных центров в своих ботнетах для рассылки спама, DDoS или других вредоносных действий. И сканирование на уязвимости может идти тупо по ip или найденным доменным именам без какой-либо оглядки на посещаемость и «нужность». Но да, визитка на простом html без фреймворков и без полей для ввода данных вряд ли будет являться точкой входа для потенциального взлома сайта или хостинга.
                                                                                                                      +2
                                                                                                                      Если их заразят — надпись «надежный» останется (:
                                                                                                                      Если взломают пользователя и сделают мне 100500 комментариев на внутренних форумах, или опубликуют новости — я прям расплачусь, зайду в админку и нажму кнопкочку «откатить последние ХХ комментариев» или перепишу пароль пользователю.

                                                                                                                      У меня не публичные сайты, это не сайты приносящие дохода и я их поддерживаю либо по работе, либо по энтуазизму своего хобби. Почему гугл, который лично для меня дает только поиск и ютруп (я не на андроиде и не пользуюсь гуглопочтой) начинает диктовать мне правила размещения сайта. Почему я должен начать платить деньги за сертификат, либо полагаться на какую-то шарашкину контору, которая раздает их бесплатно?
                                                                                                                        0
                                                                                                                        В Интернете нет непубличных сайтов. А простое переписывание паролей пользователю при взломе в обход оных (например, атака на хостинг) не поможет никак. Впрочем, это не имеет никакого отношения к https.
                                                                                                                          0
                                                                                                                          К этому я и пишу. Если будут ломать — https не поможет.
                                                                                                                    +2
                                                                                                                    «Экологи» наверняка уже где-то подсчитали, сколько углекислого газа дополнительно создаётся из-за лишнего процессорного времени на шифрование.
                                                                                                                      +2
                                                                                                                      А если серьёзно, рискую показаться гуманитарием, но для меня это выглядит, как решение социальной проблемы (технической безграмотности) техническими методами. Если мы хотим безопасный интернет, нужно, чтобы каждый сам представлял, чем ему грозит отсутствие шифрования, как, кто и зачем может устроить MITM, как поисковики используют информацию о поисковых запросах, как можно использовать информацию из соцсетей и других открытых источников для деанонимизации…

                                                                                                                      С моей точки зрения было бы выгоднее (для общества) делать не красную надпись, которая ничему не учит, а хотя бы призыв к действию, например, в виде кнопки «Почему?» рядом. И вообще, поставлять с каждым браузером инструкцию по поведению в интернете для чайников. Открываешь браузер, а там «Внимание, интернет является зоной повышенной опасности. Чтобы обезопасить себя, используя интернет, прочтите...».

                                                                                                                      А маленькая красная надпись — пилюля с обезболивающим, которая болезнь не лечит.
                                                                                                                        0
                                                                                                                        Скорее всего гугл проводил тесты такого варианта на тестовой группе и вангую, что нажали на «Почему?» менее 10%
                                                                                                                          0
                                                                                                                          Уверен в этом. Но в целях обучения даже 2% уже результат, особенно с учётом аудитории Chrome. Просто гугл никогда такой цели не ставил. От грамотных и осторожных пользователей них реклама будет хуже работать.

                                                                                                                          Если подойти к вопросу системно и с исследованиями, можно было бы и повысить цифру до 20-25%, кнопка — первое и очевидное решение. Думаю, можно и по-другому.
                                                                                                                            0
                                                                                                                            Было бы круто, а вдруг на хабре есть мультиплекаторы которые смогут по участвовать, чтобы сделать такой ролик (по типу TED)?
                                                                                                                              0
                                                                                                                              Да, это было бы круто. Я вот могу на пальцахах объяснить, что такое MITM и т.д. Но… смотреть никто не будет. Даже если ролик и посмотрят, то, скорее всего, на эти правила заабьют.
                                                                                                                                0
                                                                                                                                В видео формате попробуйте, рисую то, о чем говорите — может взлететь
                                                                                                                          0
                                                                                                                          Гугл — коммерческая компания. Есть мнение, что она не лечит социальные проблемы, а зарабатывает деньги.
                                                                                                                          Когда гугл заставляет шифровать вообще всё, включая таблицы стилей и фоновые изображения, мотивируя это «защитой от слежки», это звучит немного параноидально.
                                                                                                                          На самом деле, они просто устраняют конкурентов. На каждом первом приличном сайте стоит гугл аналитика, самый популярный браузер — гугл хром. Плюс андроид на телефоне, почта на гмейле и ваши лайки на ютубе. Гугл знает про вас всё.
                                                                                                                          «Конкуренты» гугла в «почётном» деле слежки очень редко когда несут людям что-то полезное. В основном это либо атаки злобных хакеров, либо вставка левой рекламы. Но есть два важных исключения. Во-первых, это корпоративные прокси, которые режут рекламу, в том числе гугл аналитику с гугл адвордсом. Во-вторых, как ни странно, это обложенный на хабре со всех сторон пенисами СОРМ, потому как террористов и педофилов ловить как-то всё-таки надо.
                                                                                                                            –3
                                                                                                                            СОРМ, потому как террористов и педофилов ловить как-то всё-таки надо.

                                                                                                                            Ага, террористов, и педофилов, ага
                                                                                                                              0
                                                                                                                              Ну вот вы зря про вот это вот «ага».
                                                                                                                              Был у меня отличнейший друг, работал рядовым опером в городской тогда ещё милиции. Погиб при исполнении в 29 лет. Успел жениться, но не успел оставить потомство.
                                                                                                                              Он мне много чего рассказывал про будни розыска за бутылочкой) чая. Его дико бесили две вещи — «палочная система» и общее скотство системы. А вот к коррупции относился с воодушевлением: обычно речь шла про то, чтобы отмазать кого-нибудь блатного, а рядовым операм предлагался не столько кнут («уволим»), а пряник:
                                                                                                                              image

                                                                                                                              Так вот, раньше убивцев и наркоторговцев ловили по записям телефонных разговоров. Сейчас все переехали на вацапы и вайберы. И рядовым операм стало реально сложнее делать свою работу.
                                                                                                                                +1
                                                                                                                                сложнее делать свою работу

                                                                                                                                — это ту, которая за «пряники»?
                                                                                                                                  0
                                                                                                                                  Нет, это вообще. Пряники есть у 1% населения максимум.
                                                                                                                                    +1
                                                                                                                                    наркоторговцев

                                                                                                                                    Ну тут нужно регулирование и декриминализация с заместительными терапиями.

                                                                                                                                    А насчет убийств и других преступлений — у них не хватает камер наблюдения? им доступ к связи зачем нужен, они там надеяться увидеть четкий план действий или что?
                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                          +2
                                                                                                                          У меня очень маленькая надежда на то, что здравый смысл возобладает и затея с «крещением всего инета в https» улетучится из голов боссов корпораций благодетелей…

                                                                                                                          Ведь, что происходит с точки зрения здравого смысла:
                                                                                                                          На основании того, что протокол HTTP не использует шифрование — подключение браузера к вашему сайту могут назвать «ненадежным» или «незащищенным» или даже блокировать.

                                                                                                                          Теоретически, за такое можно и в суд подать за клевету.
                                                                                                                          Ведь на сайте может использоваться альтернативная реализация шифрования секретных данных поверх HTTP, реализованная, например на клиенте через jscript (я такое делал в нескольких своих проектах).

                                                                                                                          Браузер ничего не знает о сайте, и методах защиты используемых на нем для передачи секретных данных между браузером и сервером, соответственно он не имеет права вводить пользователя в заблуждение устанавливая статус подключения «ненадежное/небезопасное» или даже «надежное». Ибо это может не соответствовать реальности.

                                                                                                                          Всё что входит в компетенцию браузера, и что он может делать уверенно — это пометить сайт как «использует HTTPS» или «не использует HTTPS» и исходя из своих предпочтений подкрасить в нужный цвет.

                                                                                                                          В любом случае, думаю, что неравнодушное сообщество начнет оказывать сопротивление навязыванию из вне каких либо правил. А самое лучшее воздействие на корпорации — это лишение их прибыли отказом от использования их продукции.
                                                                                                                            0
                                                                                                                            Как вы используя JS сможете гарантировать отсутствие MITM?
                                                                                                                              0
                                                                                                                              Так использование https отсутствие MITM тоже не гарантирует, если пользователь примет самоподписанный или скомпрометированный сертификат человека по середине.

                                                                                                                              Я не против использования https — я против необоснованной дискриминации http.

                                                                                                                              А что касается js, то на клиенте вполне можно сделать поддержку любого протокола шифрования поверх http, и в обход протоколов зашитых в браузере.

                                                                                                                                0
                                                                                                                                А что касается js, то на клиенте вполне можно сделать поддержку любого протокола шифрования поверх http, и в обход протоколов зашитых в браузере.

                                                                                                                                Только его можно подменить, и пользователь не сможет это заметить, не заглянув в DevTools.
                                                                                                                                  0
                                                                                                                                  Да, если он попадет на фишинговый сайт.
                                                                                                                                  При этом организовать фишинговый сайт с https используя тот же Let’s Encrypt, задача не сверх сложная (хотя и сложнее чем просто подмена js), в этом случае юзер тоже не сможет ничего заметить.
                                                                                                                                    0
                                                                                                                                    Пользователей худо-бедно научили смотреть в адресную строку. А вот подмену в JS сходу не замечу даже я, подрабатывающий веб-разработкой, лишь потому, что в адресную строку я смотрю и она на виду, а в код страницы смотрю редко и он скрыт.
                                                                                                                                      0
                                                                                                                                      Так злоумышленник и не сможет поменять js если у вас стоит правильная адресная строка в браузере.
                                                                                                                                        0
                                                                                                                                        Может при MitM.
                                                                                                                                          0
                                                                                                                                          Зависит от алгоритма реализованного в js, если это будет открытый/закрытый ключ по типу SSL, то не сможет.
                                                                                                                                            0
                                                                                                                                            Опишите пример алгоритма при котором я не смогу сделать mitm используя криптографию только на js
                                                                                                                                              0
                                                                                                                                              Если вы не знакомы с принципом асимметричного шифрования, то можете почитать подробнее об этом в инете.

                                                                                                                                              В кратце выглядит так:
                                                                                                                                              Суть асимметричного шифрования заключается в том, что используется пара ключей. Один из них используется в качестве открытого (как правило, он публикуется в самом сертификате владельца), второй ключ называется секретным — он держится в тайне и никогда никому не открывается. Оба ключа работают в паре: один используется для запуска противоположных функций другого ключа. Если открытый ключ используется для того, чтобы зашифровать данные, то расшифровать их можно только секретным ключом и наоборот.

                                                                                                                                              1. На сервере храним закрытый ключ.
                                                                                                                                              2. К нам подключается клиент (js) — отправляем ему открытый ключ.
                                                                                                                                              3. Клиент шифрует параметры авторизации введеные юзером этим открытым ключем и отправляет на сервер (кроме сервера их расшифровать никто не может).
                                                                                                                                              4. Сервер проверяет параметры авторизации и если они принимаются — создает временный симметричный ключ сессии, который отправляет клиенту.
                                                                                                                                              5. Клиент запоминает этот ключ и далее все секретные данные (запросы) при передаче на сервер шифрует им. На сервере все секретные данные для ответа клиента шифруются этим же временным ключем. В js клиента мы расшифровываем данные и выводим контент.

                                                                                                                                              Злоумышленник посередине этого временного симметричного ключа не знает, поэтому подглядеть и изменить данные не может.

                                                                                                                                              Все это на стороне клиента легко реализуется в js через обычные XMLHttpRequest, ну и ответная часть понятно должна быть на сервере.
                                                                                                                                                +2
                                                                                                                                                Окей. Я захожу на ваш сайт со всем этим, а злоумышленник вместо вашего js с вашим шифрованием отдаёт свой, который читает секретный ключ клиента, и, вместе с взаимодействием, отсылает копию данных ему.
                                                                                                                                                  0
                                                                                                                                                  Да согласен, в таком виде это равносильно, просто заходу на фишинговый сайт где юзер отдает свои данные злоумышленнику в поддельной форме, а потом уже тот с помощью них может делать что хочет.

                                                                                                                                                  Поэтому mitm действительно сработает.
                                                                                                                                                  0
                                                                                                                                                  Собственно sumanai уже написал всё, в этом и есть основная проблема вашего метода
                                                                                                                                                    0
                                                                                                                                                    Полноценный mitm, требующий от хакера взлома провайдера этим методом не решается. Но защита от сниферов слушающих локальный трафик и собирающих пароли, хэши и «секретный» контент обеспечивается полностью. В отличии от стандартного и digest протоколов зашитых в браузер.

                                                                                                                                                      0
                                                                                                                                                      кто мешает вместо снифера устроить MITM без взлома провайдера? например при некорректно настроено dhcp snooping
                                                                                                                                                        0
                                                                                                                                                        При неправильных настройках — да и такое возможно.

                                                                                                                                                        Но, как я писал ранее — mitm подвержен и https, Злоумышленник может «вынудить» пользователя принять самоподписанный сертификат, если тот никак не может достучаться до своего любимого сайта без выполнения этого действия. Единственное отличие тут будет в том, что пользователь увидит предупреждение. А если будет использован валидный скомпрометированный сертификат, то разницы вообще не будет.

                                                                                                                                                        Тут весь вопрос в соотношении цена / требуемое качество защиты:

                                                                                                                                                        https — незаменим при денежных операциях, т.к. здесь защита должна быть максимально возможной.

                                                                                                                                                        https — для торрентов, форумов где требуется логин… было бы не плохо, но совсем не обязательно. Тут все зависит от доходности самого форума. Если есть деньги на поддержку https — замечательно. А если доходности нет, то создателю и смысла нет дополнительно увеличивать свои расходы. Есть вариант с установкой самодписного https, но это как раз из-за грозных предупреждений может отпугнуть аудиторию первый раз заходящую из поисковика.

                                                                                                                                                        https — для новостных сайтов и каталогов статей вообще не имеет смысла и даже вреден из-за увеличения трафика. Если юзер не хочет, что бы следили за тем куда он лазит, всегда можно использовать Tor.

                                                                                                                                                        Таким образом «бесплатный» http — должен применяться там, где нет серьезных опасностей от взлома. При этом, если использовать шифрованное соединение реализованное в js клиента, можно приподнять планку защищенности, оградив себя от риска перехвата паролей и секретных данных (без mitm)

                                                                                                                                                        Вывод — http нужен, и блокировать/дискредитировать его в браузерах ни при каких условиях нельзя.

                                                                                                                                                        P.S. На самом деле, метод реализации защиты на js клиента, достаточно интересен ввиду своей «бесплатности» и теоретической надежности сравнимой с https. Да, без помощи браузера при mitm хакер может подменить js, но как вариант, это можно исправить используя для подключения плагин, установленный в браузер через его «надежный» репозиторий. Плагин будет выполнять ф-ции проверки сертификата сервера. В таком случае, на секретные страницы сайта можно будет попасть, только используя этот плагин, о чем будет сообщаться при регистрации. Т.е. по сути мы полностью повторяем https, только с более широкими возможностями выбора алгоритмов шифрования, собственных форматов сертификатов и т.д… что на порядок усложнит жизнь злоумышленникам.
                                                                                                                                                          0
                                                                                                                                                          Если есть деньги на поддержку https — замечательно.

                                                                                                                                                          Но зачем деньги, когда есть бесплатные сертификаты?
                                                                                                                                                          что на порядок усложнит жизнь злоумышленникам

                                                                                                                                                          И на два порядка- простым людям, которых на подобном сайте просто не будет. Я уверен, что на таком сайте будет только два посетителя- сам автор и его фейк.
                                                                                                                                                            0
                                                                                                                                                            Но зачем деньги, когда есть бесплатные сертификаты?
                                                                                                                                                            — Тут ниже уже было по этому поводу написано: «Первая доза всегда бесплатно». Я склонен с этим мнением согласиться.

                                                                                                                                                            И на два порядка- простым людям, которых на подобном сайте просто не будет.
                                                                                                                                                            — Возможно и так, а возможно и нет. Тут надо более подробно продумывать детали…
                                                                                                                                                              0
                                                                                                                                                              Я склонен с этим мнением согласиться.

                                                                                                                                                              Я тоже несколько сомневаюсь, но пока всё работает. И да, если так сильно нужна защита, можно и купить, это в общем то не так дорого.
                                                                                                                                                              Возможно и так, а возможно и нет.

                                                                                                                                                              Не возможно, а точно так, как я сказал.
                                                                                                                                                                0
                                                                                                                                                                «Не возможно, а точно так, как я сказал»
                                                                                                                                                                — Даже не знаю что на такое ответить :) Обычно так говорят люди, которое плохо подумали над тем что сказали… Ведь даже на вскидку за 10 секунд можно придумать рабочий вариант. Например, при регистрации предложить 2 варианта: обычная регистрация и регистрация с дополнительной защитой от кражи пароля, которая позволяет заходить в ЛК только через плагин. Установка плагина не такая уж сложная операция, в FF есть вариант даже для установки подписанного плагина-расширения прямо с web-страницы. Кто не хочет заморачиваться, выберет 1й вариант, кто захочет большей защиты — выберет второй. Все довольны.

                                                                                                                                                                «И да, если так сильно нужна защита, можно и купить, это в общем то не так дорого.»
                                                                                                                                                                — В том-то и дело, что для небольших форумов и торреннтов, не так уж сильно она и нужна, чтобы тратить на нее деньги. Тот же rutracker юзает http
                                                                                                                                                                  0
                                                                                                                                                                  Например, при регистрации предложить 2 варианта

                                                                                                                                                                  Это не интересно. Тем самым вы признаёте, что плагин- сложный вариант для большинства. И для них же делаете свой сайт не защищённым.
                                                                                                                                                                  А https не требует со стороны пользователя никаких действий, и по умолчанию для всех обеспечивает достойную защиту.
                                                                                                                                                                  Тот же rutracker юзает http

                                                                                                                                                                  Скорее из-за нагрузки. И да, у них доступен https с бесплатным скорее всего сертификатом от StartCom.
                                                                                                                                                                    0
                                                                                                                                                                    :) И вот что бывает, когда юзаешь бесплатные сертификаты, только что попробовал зайти на rutracker

                                                                                                                                                                    Итог:

                                                                                                                                                                    Владелец rutracker.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Tor Browser не соединился с этим веб-сайтом.

                                                                                                                                                                    Подробнее…

                                                                                                                                                                    rutracker.ru uses an invalid security certificate.

                                                                                                                                                                    The certificate is not trusted because the issuer certificate is unknown.
                                                                                                                                                                    The server might not be sending the appropriate intermediate certificates.
                                                                                                                                                                    An additional root certificate may need to be imported.

                                                                                                                                                                    Error code: SEC_ERROR_UNKNOWN_ISSUER

                                                                                                                                                                    Хотя через оперу по https://rutracker.ru соединяется, но пишет что соединение не защищено.

                                                                                                                                                                    x-----x
                                                                                                                                                                    «Тем самым вы признаёте, что плагин- сложный вариант для большинства.»
                                                                                                                                                                    — Конечно, это сложнее чем обычная регистрация так как длиннее на 1 шаг, но для тех кто хочет большую безопасность — он совсем не сложный.

                                                                                                                                                                    «И для них же делаете свой сайт не защищённым»
                                                                                                                                                                    — Если пользователи не хотят, он будет для них не защищенный, если хотят — то могут потратить чуть больше времени на регистрацию.

                                                                                                                                                                    Поймите, я просто рассматриваю вариант, как дать максимальную защититу пользователям, если им это требуется, без затрат на https. Если бы https был бесплатен (хостинг/сертификат) то и смысла заморачиваться бы не было.
                                                                                                                                                                      0
                                                                                                                                                                      Это когда не бесплатные сертификаты, а когда у админа не стоит задача поддержки HTTPS.

                                                                                                                                                                      Плагины нико ради сайта ставить не будет — это полный бред. Особенно на мобильных устройствах.
                                                                                                                                                                        +1
                                                                                                                                                                        https://rutracker.ru

                                                                                                                                                                        Вы там что открываете то? Рутрекер сто лет на org, на ru какая-то левая помойка.
                                                                                                                                                                        Если бы https был бесплатен (хостинг/сертификат) то и смысла заморачиваться бы не было.

                                                                                                                                                                        Бесплатные хостинги шлак безотносительно поддержки https, а на платных можно выбрать с поддержкой LetsEncrypt.