Google Chrome пометит HTTP-сайты как небезопасные

    Разработчики веб-браузера Google Chrome обещают пометить веб-сайты, которые используют простое HTTP-подключение с клиентом как небезопасные и предлагают всем другим веб-приложениям (User Agent) сделать то же самое. Таким образом, пользователям хотят дать понять, что это простое подключение не обеспечивает необходимого уровня безопасности при передачи данных. Предполагается, что теперь сам браузер будет различать типы безопасности подключения к серверу для уведомления об этом клиента: безопасное (Secure), сомнительное (Dubious) и небезопасное (Non-secure).



    We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.

    Веб-подключения разделяются на три типа:
    • Безопасное (Secure): подключение по HTTPS или localhost.
    • Сомнительное (Dubious): подключение по HTTPS, но c т. н. mixed resources (содержит в теле веб-страницы ссылки на небезопасные ресурсы), а также HTTPS с ошибками в TLS.
    • Небезопасное (Non-secure): подключение через нарушенный (невалидный) HTTPS или простой HTTP.

    Для других вендоров веб-приложений (т. н. User Agent vendors) предлагается схема, по которой сайт можно отнести к тому или иному типу и поэтапно реализовать это в продукте см. здесь.
    ESET NOD32 99,35
    Компания
    Поделиться публикацией
    Комментарии 153
    • –27
      Почему-то вспоминается анекдот про приватизацию метра границы. Или из КВН — «тоже мне Архимед — дайте ему точку опоры… Дайте мне точку на Черкизовском и я переверну Москву.»

      Короче, «дайте мне» поопределять, что безопасно, а что небезопасно и все. Больше в жизни уже ничего не надо.
      • +11
        Спасибо за урок.
      • +34
        Особенно на статическом каком-нибудь сайте https очень необходим.
        • +18
          А почему нет? Все подряд не смогут узнать, какие URL вы посещаете.
          • +18
            И подменить его содержимое
            • +12
              Как это делается в московском метро.
              • +4
                А что там делается?
                • +7
                  Поверх сайта отображается реклама на весь экран, например.
                  • –16
                    Боюсь от рекламы https не спасёт — тут adblock нужен.
                    • +5
                      Речь не о той рекламе, что предусмотрена на самом сайте, а о той, что нагло впихивается самой сетью. Об end-to-end principle они явно не слышали.
                      • +7
                        1. Алиса бесплатно раздаёт интернет в метро и чтобы не разориться вставляет в сайты свой код, который показывает рекламу.
                        2. Боб хочет на халяву лазить на сайт Кэрол, но не хочет смотреть эту надоедливую рекламу. Он предлогает Кэрол сделать редирект http -> https.
                        3. Алиса узнаёт об этом коварном плане и настраивает прокси, чтобы с сайтом взаимодействие шло через https, а с пользователем по http с рекламой.
                        4. У Боба остаётся только три варианта: перестать пользоваться халявным интернетом, продолжать смотреть рекламу или установить адблок.
                        5. Алиса не расстроится, если Боб перестанет пользоваться интернетом. Будет не против, если будет пользоваться и смотреть некламу, принося прибыль. А вот адблок ей, конечно, не понравится, но бороться с ним слишком муторно. Впрочем, первый-то раз пользователь увидит рекламу, и то хорошо.
                        • 0
                          Или Боб просто сразу зайдёт по HTTPS. Или, если он совсем умный, использует VPN.
                          • –3
                            Боб не зайдёт сразу по https потому, что прокси редиректнет его на http.

                            • +7
                              Прокси не может вмешаться в HTTPS-трафик без подмены сертификата. Если бы мог, то проще было бы сразу там рекламу встраивать.
                              • –8
                                А прокси возьмет и подменит сертификат. И будет у Боба все тот же выбор из трех вариантов.
                                • +3
                                  А еще может быть тупо закрыт 443 порт и все остальные кроме 80 на шэдоу проксе. Хочешь халявного инета — сиди на http и смотри рекламу.
                                  • +7
                                    Если все браузеры будут кричать красным для http, то для большинства пользователей закрытый 443 будет равносилен неработающему инету.
                                    • +2
                                      Скорее перстанут обращать внимание на это сообщение, если оно будет выводится для большинства сайтов.
                                      • 0
                                        Вот именно, если сказать, что HTTP по умолчанию «небезопасен», это само по себе дискредитирует сообщение «небезопасен». Просто сообщения безопасности станут игнорировать.
                                    • +1
                                      Если у сайта включен HSTS, браузер никогда не будет показывать его через http.
                                      • 0
                                        Алиса от этого не расстроится :-)
                                        • 0
                                          Не совсем. HSTS активируется при первом заходе по HTTPS. А он, как видно, может быть заблокирован.
                                          • +2
                                            Предполагается, что пользователь в жизни что-то видел помимо бесплатного Wi-Fi в метро )
                                      • –5
                                        А что, редиректу нужен сертификат?
                                        • 0
                                          А будет подмена сертификата. Некоторые провайдеры уже так делают.
                                        • +2
                                          Боб не зайдет сразу на https потому, что пока не жмакнешь ссылку «включить интернет», его и не будет.
                                          Без этого https не пустит.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        • +2
                                          dns?
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                          • 0
                                            Ну это вы невнимательно делали просто. Но вообще турция жжот, например, дропает IMAP-сессию, если встретит в ней слово STARTTLS. Типа, почту читайте, но без шифрования соединения.
                            • +2
                              А с https узнают какие сайты я посещаю. Не большая разница.
                              • –1
                                Если они на виртуальных хостах, то узнают с точностью до провайдера.
                                • +2
                                  Нет. Уже сто лет работает TLS SNI, который передает запрашиваемый сайт при хендшейке.
                                  Кстати, от SNI можно отойти с использованием IPv6. Будет достаточно каждый сайт размещать на своем адресе.
                                  • –2
                                    и блочить неугодные сайты станет еще проще.
                                    • +3
                                      В чем же упрощение?
                                      Каждый сайт сможет быть размещен не только на одном адресе. Он сможет быть размещен на огромном количестве адресов одновременно. Блокировать станет как раз сложнее.
                                  • 0
                                    HTTPS на виртуальном хостинге без SNI, ага.
                              • +35
                                на мой взгляд, все что хочет google — отодвинуть всех возможных конкурентов от возможности сбора статистики. Сейчас более менее репрезентативную выборку интересов пользователей(статистика посещаемости) можно сделать на любом трафикообменнике. Когда бОльшая часть сайтов перейдет на https — это будет сделать проблематично. И в итоге сферу интересов пользователей гугля будет знать только гугль, что собственно и требуется — они на этом зарабатывают. В свое время гугль сам перешел на https — и исключил возможность сбора статистики по запросам к поисковику.
                                • +2
                                  Вы зрите в корень, а деньги, как известно — это и есть корень большинства деяний.

                                  Прибыль от рекламы точного действия значительно превысила прибыль от продажи SSL-сертификатов для проверки доменного имени. По этому гугле и компания решили убить рынок сертификатов — останутся только EV (их используют только банки, финансовые организации, крупные корпорации), вместе с тем убив конкуретнов по сбору статистики.
                                  • 0
                                    Ну и хорошо, Гугл получит свой доход, обыватели — поголовное шифрование, параноики — открытый везде 443 порт для openvpn
                                    • 0
                                      Пакеты openvpn сильно отличаются от пакетов tls. Любой мало-мальски разумный dpi их различит.
                                      • 0
                                        не уверен, что возможность диктовать условия гуглем всему интернету — это хорошо. Навскидку можно предположить лоббирование яндексом закона, по которому все сайты в зоне ru должны иметь сертификаты, полученные у российского сертификатора (и не надо думать что это нелепо — интернет по паспорту тоже выглядел нелепо). Это теоретически позволит мониторить интересы пользователей рунета. Европа тоже думает, как бы отжать у гугля денег, вполне может подтянутся к этой инициативе (защищая интересы своего бизнеса в рекламе) в итоге получим фрагментированный интернет со вполне реальными границами. Да, гротеск, но глядя на последние принятые законы — остается не удивляться а ждать: пронесет не пронесет…
                                  • +9
                                    Видимо, скоро Google начнет продавать сертификаты, раз пошла такая озабоченность
                                    • +4
                                      Так ведь через несколько месяцев начнётся бесплатная раздача сертификатов в автоматическом режиме. Пока мы не знаем точную дату релиза этой фичи в хроме, можно надеяться, что это система войдёт в строй раньше.
                                      • +2
                                        > Так ведь через несколько месяцев начнётся бесплатная раздача сертификатов в автоматическом режиме
                                        Извиняюсь, а можно про это по подробней. Спасибо.
                                        • +3
                                          Пожалуйста: geektimes.ru/post/241630/
                                          • 0
                                            сегодня ночью получил бесплатный сертификат 1 класса от StartSSL — www.startssl.com/
                                            все проверки заняли час, пользуйтесь :)
                                            • 0
                                              Что значит «1-го класса», неграмотный сертификат?
                                              До сих пор они выдавали domain-validated сертификаты строго на домен 2-го уровня с одним поддоменом. Но и это очень здорово. С удовольствием использую.
                                              • +1
                                                Бесплатные сертификаты выдаются от промежуточного сертификата StartCom Class 1 Primary Intermediate Server CA. habrastorage.org/files/00c/e63/b85/00ce63b8530c49a4bd3f2bef6c45e5d5.png
                                                • –1
                                                  Многие платные (не только StartSSL, но и например от Thawte) тоже выдаются через промежуточный.
                                                  • 0
                                                    Они всегда через промежуточный выдаются. Я попытался обратить ваше внимание, что бесплатные сертификаты у StartCom называются «Class 1».
                                      • +19
                                        Вспоминается притча про мальчика, что постоянно кричал «Помогите, волки!», а когда волки и правда пожаловали, никто не обратил внимания.
                                        • 0
                                          Подскажите, я сейчас на все обращения по http делаю 301 на https — верно ли я поступаю?
                                          И где взять сертификат бесплатно или за умеренные деньги? Сертификат от Комодо скоро закончится
                                          • +1
                                            • +2
                                              Есть еще HSTS — способ сказать браузеру, что с ресурсом нужно связываться только по HTTPS.
                                              • +1
                                                В целом, верно. Надо еще отдавать пользователю заголовок HSTS.
                                                • 0
                                                  То есть 301 moved + hsts?
                                                  • 0
                                                    По HTTP достаточно только 301, а по HTTPS нужно Strict-Transport-Security.
                                                • 0
                                                  Если 8.95$ в год можно считать умеренными деньгами, то рекомендую Positive SSL от Comodo.
                                                  Если брать на пять лет, предлагают за 4.99$ в год (24.95$ на пять лет).
                                              • 0
                                                предлагают всем другим веб-приложениям (User Agent) сделать то же самое
                                                Как это понять? Веб-приложения должны говорить пользователю, что они небезопасны? При чём тут User Agent?
                                                • 0
                                                  Я так понимаю, речь о веб-клиентах.
                                                  • 0
                                                    Да, глянул оригинал, речь идёт о браузерах и других программах, работающих по HTTP(S)-протоколу.
                                                • 0
                                                  Вспомним, как было с плагинами для хрома. Если не заплатил гуглу — плагин считается небезопасным, хром на такие плагины ругается. Думаю, скоро для сайта придется покупать специальный сертификат у гугла, в довесок к ssl.
                                                  • +3
                                                    Мало того вроде как шифрование совсем не бесплатно в потреблении ресурсов, и добавит нагрузку на процессоры.
                                                    • 0
                                                      Уже давно нет, алгоритмы шифрования реализованы на уровне процессора, и нагрузка там не критичная будет.
                                                      • –2
                                                        Я не говорил о критичной, но отдавать даже 1% «гуглу» как то вот совсем не хочется.
                                                        • +3
                                                          Не гуглу а безопасности ваших клиентов. Как по мне то нет ничего зазорного помечать не безопасные сайты не безопасными.
                                                          • +2
                                                            Смотря как помечать. Если значком в углу то это одно, а если краснй страницей на весь экран с запрятаной кнопой открытия сайта то это другое.
                                                            • +1
                                                              Думаю начнут с чего то простого. Возможно будет красная плашка по типу зеленой: image
                                                              • +1
                                                                Если так то отлично, а вот если так как сейчас невалидный сертификат показывают, то я против.
                                                                А в статье эти две группы было объденены в одну, это и пугает.
                                                                • 0
                                                                  Есть бесплатные сертификаты, cloudflare умеет брать на себя нагрузку https proxy
                                                                  • 0
                                                                    И как это связано с типом показываемого предупреждения?
                                                          • +1
                                                            Просто представьте что например банк решил не париться над безопасностью ваших транзакций, и просто теперь передает их радиосигналом в FM диапазоне в открытом виде. Зачем он должен тратить деньги и ресурсы на вашу безопасность? Простому http уже просто пора на пенсию, и чем раньше это случиться тем лучше всем будет.
                                                            • 0
                                                              Вообще, когда IPv6 делали, у них была гениальная идея, которая, по какой-то причине, так и не была реализована: требовать прозрачного point-to-point шифрования через IPsec.
                                                              IPsec предполагалось гонять в транспортном режиме с автоматической установкой соединения. К сожалению, позже это стало опциональным, и до сих пор никто это не реализует.
                                                              • +1
                                                                А открытый ключ откуда брать? Если запрашивать его у роутера — хакер поставит свой роутер. Если запрашивать его с DNS — хакер поставит свой DNS. Если цепочку доверия завязать на какие-нибудь «корневые» сервера — то перестанет работать локальная сеть в отсутствии доступа в интернет.

                                                                IPSec, каким бы прозрачным он ни был, всегда требует начальной настройки. Потому его и не смогли сделать обязательным.
                                                                • 0
                                                                  Насколько я помню, предполагалось, что ключи будут браться из DNS, и будет использоваться DNSSEC.
                                                                  • +1
                                                                    Теперь понимаете, почему это не пошло в народ? Поди внедри.

                                                                    Это только кажется, что так всё просто — добавить в систему криптозащиту. На самом деле надёжная криптография — это резкое и серьёзное усложнение, значит — удорожание, а заодно и уменьшение надёжности системы.

                                                                    Ну и, подумайте про скажем автонастройку и загрузку бездисковых станций по сети IPv6. Откуда они изначальные ключи возьмут? Откуда возьмётся DNSSEC-запись у PXE over IPv6 станции, которую и включили-то в первый раз как раз для автоматической настройки? Напомню, что в протоколе IP нет понятия «сервер» и «клиент», нельзя сказать, что «ключ нужен только серверу», и значит ключи нужны обоим.
                                                                    • 0
                                                                      Вы напрасно смешиваете степень доверия в пределах link local сети с доверием в «Интернете вообще».
                                                                • +1
                                                                  по какой-то причине, так и не была реализована
                                                                  Во вполне определенной причине. :)
                                                                • +8
                                                                  Я совершенно не против HTTPS. Я против его оголделого внедрения везде и вся. Я допустим никакого смысла не вижу в HTTPS для bash.org и подобным сайтам.
                                                                  • +3
                                                                    Именно. Особенно учитывая, что сайты через HTTPS ползают все же помедленнее (субъективно, по крайней мере).
                                                                    • –1
                                                                      Это из-за того, что системные администраторы либо используют старые дистрибутивы, либо просто неправильно настраивают сетевые параметры, вроде TCP initial window size.
                                                                      • +2
                                                                        Ну хэндшейк при https еще никто не отменял, так что 2x ping задержка имеет место быть.
                                                                        • 0
                                                                          А можете подсказать, где стоит почитать на эту тему? Как настраивать это правильно.
                                                                          • –1
                                                                            Я бы сказал — без tls falsestart, который больше пользы приносит.
                                                                      • +2
                                                                        Классный термин в результате опечатки получился:

                                                                        оGOLDелое внедрение — внедрение с целью ни чем не сдерживаемого обогащения.
                                                                        • –1
                                                                          Сайты без шифрования ставят под угрозу и шифрованые сайты. К примеру, есть гипотетический оппозиционер Алексей Н. Его переписка очень интересна кровавой гэбне, но письма идут через неподконтрольный ей сервер. Спалиться подменой сертификата нельзя, — клиент уйдёт на дно. Зато Алексей любит постить на башорг смешные цитаты из заведенных на него уголовных дел и посещает ещё пару десятков сайтов, не имеющих значение. На каждом сайте он вводит пароль, который он рассчитывает по хитрой системе. Будь у гэбни только пароль только от одноклассников, они бы не смогли ничего из него вытянуть. Но с парой десятков паролей они смогут понять систему и догадаться какой пароль на интересущем сервере.
                                                                          • +2
                                                                            Вывод, пароли по системе зло. Используйте без системные пароли и вас не смогут вычислить.
                                                                            А вот в вашей системе всё хорошо и красиво, вплоть до момента пока CA находится не под контролем «кровавой гэбне»(ну если конечно они до сих пор не под контролем). А если он не дай бог оказался у них под контролем, то «товарищ» оппозиционер оказывается в нехорошей ситуации. Он видит что соединение защищено, и вводит безбоязненно свои пароли, конец немного предсказуем.
                                                                            • 0
                                                                              Пароли по системе — просто пример. Часть под контролем всё же лучше, чем все.
                                                                          • 0
                                                                            Чтобы никакой ушлый провайдер не вставлял свои баннеры и трекеры в страницы.
                                                                            • 0
                                                                              Да ладно, кому может мешать незакрываемый* баннер на весь экран во время чтения статьи?

                                                                              * если очень повезет с разрешением и dpi, то даже закрыть можно будет…
                                                                      • +1
                                                                        В десктопных/серверных процессорах есть только AESNI-инструкции, которые ускоряют AES. Собственно, ресурсы тратятся, в основном, на RSA и DH, но с приходом ECDSA и ECDH проблемы почти нет.
                                                                        Можете прочитать статью от CloudFlare, если интересно: blog.cloudflare.com/ecdsa-the-digital-signature-algorithm-of-a-better-internet/
                                                                        • 0
                                                                          Я вот не доверяю AES, и предпочитаю BlowFish, а некоторые вообще считают, что нужно использовать ГОСТ 28147-89. И всё, для меня шифрование становится потребителем энергии и производительности процессора.

                                                                          Но зачем, мне не нужно шифровать моих котиков!
                                                                          • 0
                                                                            Только XSalsa20, только шифрованые котики и NSA-free кривые.
                                                                    • +6
                                                                      > простое подключение не обеспечивает необходимого уровня безопасности при передачи данных

                                                                      Кому необходимого?

                                                                      Легче простого заклеймить, но — «хомячки» от этого своей безопаностью не озаботятся, а если нужный тебе сайт будет (опа!) помечен небезопасным, пользоваться им скорее всего не перестанут. Да и чего бы переставать? Видел http-сайты, где данные шифровались средствами js до передачи на сервер, и видел https-сайты, которые только номинально можно было считать secure (т.е. как бы «безопасными»).

                                                                      «Рук из одного места» такая пометка не поправит, зато, разумеется, гемора сисадминам в конторах (где часто стоит прокси) — добавит. Не для этого ли Гугл затеял «благую идею» подтолкнуть всех на https, чтобы что-то нужно ему труднее было заметить в потоке запросов?
                                                                      • 0
                                                                        Легче простого заклеймить, но — «хомячки» от этого своей безопаностью не озаботятся, а если нужный тебе сайт будет (опа!) помечен небезопасным, пользоваться им скорее всего не перестанут

                                                                        Если пометить так как сейчас метят сайты с невалидным сертификатом, то пользователей в разы меньше станут, потому как найти кнопку входа на небезопасный сайт нелегко.
                                                                        • 0
                                                                          Да просто перестанут использовать хром, «потому что в нём условный вконтакте не работает».
                                                                          • 0
                                                                            Поэтому хром не только сам это вводит но и остальным предлагает.
                                                                            • 0
                                                                              Я очень надеюсь на благоразумие остальных. Чтобы хотя бы можно было эту фичу отключить.
                                                                        • –4
                                                                          Все же HTTPS- лучшая практика относительно http, несмотря на другие дыры.
                                                                          Зачем кому попало давать копаться в своём трафике?
                                                                          HTTPS дает возможность хотя-бы узнать, трогали твой трафик где-то между тобой и сайтом, или нет.
                                                                          В конторах всё то же самое, меньше будет способов смотреть трафик админу.
                                                                          Если уж совсем зверская секретность и одновременно нужен интернет, нет большого труда делать http<->https на границе предприятия, ну и не пользоваться браузером от Гугла.
                                                                          • +6
                                                                            Видел http-сайты, где данные шифровались средствами js до передачи на сервер


                                                                            Это работает ровно до того момента, когда можно убедиться в аутентичности js. В случае с http — никогда.
                                                                            • –3
                                                                              Ну, https убережет от подмены js по пути, но не убережет: от подмены файла на сервере, от вируса на машине юзера, от MITM средствами «сертификат выдан Ростелекому» (а такое, тьфу-тьфу, но у нас просто может однажды случиться).

                                                                              Еще раз поворю свой мессадж: https — вещь отличная, но это никак не исчерпывающий признак «безопасного» сайта, равно как и использование http — вовсе не признак сайта «опасного». На секунду, https верой и правдой (при должных руках админов и веб-девелоперов) служит нам десятки лет, так что решение Гугла признать все сайты на нем «небезопасными» напоминает, простите, что-то религиозное, либо что-то выгодное Гуглу.

                                                                              Админам конторских сетей, сами понимаете, радости не сильно много. Ясно, что отдельные компании поимеют вариант читать трафик при помощи волшебных сертификатов, но все же по большей части просто так указать Squid-у «на этот url не ходить» уже не прокатит — кому с этого легче?

                                                                              P.S. Теперь массово увидим SNI, и старые браузеры резко перестанут работать, что кому-то может быть очень неудобно.
                                                                              • 0
                                                                                Бред. Telnet тоже служил людям верой и правдой десятки лет, но почему-то переход на SSH всё-таки состоялся. Просто потому что иначе нельзя: у SSH бывают дыры, но telnet'а без дыр — не бывает.

                                                                                С http — та же история. Сайт с https может быть небезопасным — это правда, но сайт с http быть безопасным не может по определению. Так почему бы его так и не пометить?
                                                                                • 0
                                                                                  Однако, telnet никуда не ушёл. И не уйдёт. Сколько всяких железок с только-телнетом — рассказывать надо?
                                                                                  • 0
                                                                                    И что — все эти железки выставлены в Internet? Извините, но… не верю.

                                                                                    А локальный http для настройки роутеров, я думаю, никто отменять не собирается, так что в этом смысле и http «никуда не уйдёт».
                                                                          • +6
                                                                            И вот ещё интересный момент, сейчас чтобы завести сайт мне достаточно купить домен и связать его с сервером. Всё сайт работает. Тут же появляется ещё цент выдачи сертификатов, который уже может влиять на мой сайт, например взять и отозвать сертификат. Зачем добавлять ещё одну точку влияния в цепочку между пользователем и моим сайтом?
                                                                            • –6
                                                                              Вам никто не запрещает сгенерировать сертификаты самостоятельно.
                                                                              • +12
                                                                                Попробуйте и поглядите как на это реагируют современные браузеры.Реакция такая что лучшебы сертификата вообще небыло.
                                                                                • –8
                                                                                  Я знаю, как на это реагируют браузеры. Они так реагируют потому, что ваш сгенерированный CA не установлен в систему. Установите его в систему, и никаких отличий не будет.
                                                                                  • +7
                                                                                    И как мне объяснить это посетителям моего сайта?
                                                                                    • –10
                                                                                      Это очень проблематично, так что не подскажу. Я лишь заметил, что технически нет никакой зависимости от вшитых CA в ОС.
                                                                                      • +2
                                                                                        Зависимость очень высока, если центр отзавёт сертификат по каким либо ему ведомым причинам(санцкииц например(пример бредовый)) то ваш сайт останется без посетителей.
                                                                                        • –3
                                                                                          Вы не так поняли мой комментарий. Я о том, что нет никакой зависимости от CA, вшитых в ОС, по той причине, что вы всегда сможете сгенерировать сертификаты самостоятельно и добавить свой CA в систему; вас никто не принуждает использовать не свой сертификат. Заставить добавить ваш CA в чужую систему — большая проблема, но технически это возможно. Например, так делает (или делал, не знаю, как сейчас) Webmoney в Keeper Classic. Они долгое время использовали свой PKI.
                                                                                          • 0
                                                                                            Так WebMoney Keeper Classic — не сайт, а ПО (кто бы мог подумать). У сайта WebMoney в любом случае сертификат от Comodo: habrastorage.org/files/cda/56e/4a7/cda56e4a7dde42c8b655997535f5d5e8.png
                                                                                            • 0
                                                                                              Они не так давно перешли на сертификат от Comodo (года 3-4 назад). До этого у них везде был свой PKI.
                                                                                              А WebMoney Keeper Classic устанавливает (и устанавливал) CA Webmoney в систему, и раньше браузеры переставали ругаться на сертификат.
                                                                                            • +6
                                                                                              Когда это внутри организации я согласен могу всё это сделать. Когда я держу сайт в интернете меня ставят перед фактом либо CA либо пользователи видят красную тряпку что сайт вреден.
                                                                                              То есть у меня две альтернативы либо сертификат от CA либо 90%(минимум) пользователей ко мне не попадают. На мой взгляд это может и не сильное но принуждение.
                                                                                              • –2
                                                                                                видят красную тряпку что сайт вреден.
                                                                                                Нет, про вредность сайта там ничего не сказано.
                                                                                                Но вы, в целом, правы. Концепция доверительных CA для сайтов мне совершенно не нравится. Остается надеяться, что в скором времени браузеры получат реализацию DANE, а DNSSEC будет везде.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  • +1
                                                                                                    Я там не вижу как именно планируют помечать «небезопасные» страницы. Однако я вижу что они HTTP заключили в одну группу с «broken HTTPS»
                                                                                                    Non-secure (broken HTTPS, HTTP)

                                                                                                    как браузер сейчас реагирует на «broken HTTPS» я знаю, из чего могу предположить что если HTTP поместили в туже группу то реакция может быть такой же, а может конечно и не быть.
                                                                                    • +1
                                                                                      Ещё б браузеры научились культурно работать с DANE/TLSA + DNSSEC из коробки, тогда настал бы кусок счастья. Но для обычных CA это означает постепенный отток клиентов, что может приводить к противодействию данной инициативе.
                                                                                      • 0
                                                                                        так вот сначала нужно внедрить DANE в браузеры, а потом уже что-то там говорить про HTTP
                                                                                    • 0
                                                                                      Потому что кому-то это выгодно :).
                                                                                    • –5
                                                                                      А, собственно, в чем проблема? Cloudflare подключили и вот вам HTTS.
                                                                                      • +3
                                                                                        Через два года бесплатные сертификаты пропадают, а браузеры на обычный HTTP ругаются не очень благим матом. Вот и проблемы.
                                                                                        • 0
                                                                                          Куда они пропадают?
                                                                                          • 0
                                                                                            Да просто CA перестают их нахаляву раздавать, потому что количество потенциальных клиентов стараниями гугла выросло.
                                                                                            • 0
                                                                                              Вы наверно не читали, что через пол года — год сертификаты можно будет получить быстро и бесплатно
                                                                                              • 0
                                                                                                Читал, только вот пол года ещё не прошло. Это во первых. А во вторых как к этим сертификатам будет относится например гугл или микрософт вопрос открытый. И непонятно на каких условиях эти сертификаты будут раздавать.
                                                                                      • +1
                                                                                        Главное чтобы на каждое действие не было омерзительных всплывающих сообщений о безопасности как в IE каком-то там (6 вроде).
                                                                                        • +7
                                                                                          Два возражения.
                                                                                          1. Сделал я бложек про свою сиамскую кошечку с фоточками и лайками. Обязательно ли нам с кошечкой нужен аудит Кевина Митника и ассиметричное шифрование?
                                                                                          2. Кто охранит самих сторожей? По сути то ведь обязательный сертификат не особо отличается от регистрации в Роскомбольшомбрате. И где гарантия, что завтра регистраторы не начнут их отзывать, если я использую защищенные копирайтом буквы в своем бложике?
                                                                                          • 0
                                                                                            1. startssl.com — минут пятнадцать возни, и готовый бесплатный сертификат на один домен. Если лениво, можете закупить в Comodo такой же intermediate-сертификат, он стоит семь с половиной евро, что ли. Персонально я давно выступаю за то, чтобы прикрывать по https всё, включая обычных хомяков. Я вот себе выписал на два домена личных, и доволен как слон — их же запихал в ejabberd для TLS-коннектов, webmin и прочую ерунду. Всё культурно и цивильно зато теперь.

                                                                                            2. Не говорите чепухи. Сертификат подтверждает identity, сущность сайта, а не его законности статус. Кроме того, нет никакой проблемы использовать Chromium, Firefox или что угодно ещё, где подобной фичи не будет.
                                                                                            • 0
                                                                                              1. Intermediate-сертификат — это промежуточный сертификат с правом выдачи сертификатов. Скорее всего, вы имеете в виду DV-сертификат (Domain Validation).
                                                                                              Что касается Comodo, на gogetssl можно взять сертификат PositiveSSL (лоу-костовский бренд Comodo) за 18,25 долларов (1 000 рублей) сроком на 5 лет.
                                                                                              2. Да, дешёвые DV-сертификаты не подтверждают законность, для этого есть OV-сертификаты (Organization Validation) и EV-сертификаты (Extended Validation), во втором случае адресная строка браузера будет зелёной.
                                                                                              • 0
                                                                                                1. Да, все верно, я тут «слегка» ошибся.
                                                                                                2. DV не подтверждает не законность, а факт существования конторы или юридического лица; он лишь подтверждает, что по конкретно открытому доменному имени открывается именно тот сайт, на который выписывался этот сертификат — т.е., по сути, неизменность контента.
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                • 0
                                                                                                  Всегда есть куча альтернатив с другой политикой развития, в т.ч. Leechcraft.
                                                                                                • 0
                                                                                                  А мне startssl не желает выставлять счет на пэйпал :( Запускал процесс 3 раза, месяца два прошло — так и не прислали счет, хотя обещали.
                                                                                                  • +1
                                                                                                    Хз, я никогда у них не заказывал платные услуги, так что тут ничего не смогу по существу сказать.
                                                                                                    • 0
                                                                                                      Делал оплату через Visa, списать деньги у них получилось только со второго раза, причём в списке добавленных карт логотип Visa поменялся на MasterCard.

                                                                                                      Вы писали certmaster-у?
                                                                                                      • 0
                                                                                                        нет, контактов не нашел как-то :) да и не уверен был, что ответят.
                                                                                                        • +2
                                                                                                          У них весьма отзывчивый саппорт, несколько раз приходилось обращаться, всегда был положительный опыт.
                                                                                                    • –1
                                                                                                      минут пятнадцать возни, и готовый бесплатный сертификат на один домен. Если лениво, можете закупить в Comodo такой же intermediate-сертификат, он стоит семь с половиной евро, что ли.

                                                                                                      Кто в вернет мне эти бездарно потраченные 15 минут жизни и 7,5 евро?

                                                                                                      Сертификат подтверждает identity, сущность сайта, а не его законности статус.

                                                                                                      А тут, опа, RIAA купила вашего регистратора и немножко изменила пользовательское соглашение. Реестр запрещенных сайтов тоже что защитить детишек от зоопедонекрофилии создавался изначально.

                                                                                                      Кроме того, нет никакой проблемы использовать Chromium, Firefox или что угодно ещё, где подобной фичи не будет.

                                                                                                      А вы уверены, что ее там не будет?
                                                                                                      • +1
                                                                                                        Я вот себе выписал на два домена личных, и доволен как слон — их же запихал в ejabberd для TLS-коннектов, webmin и прочую ерунду.
                                                                                                        К сожалению, они не хотят валидировать произвольные домены 3 уровня (и выше), т.е. нужно быть владельцем домена второго уровня (ну или читать почту пост/веб-мастера ;-).
                                                                                                        • 0
                                                                                                          Я себе спокойно выписал сертификат на личный maniac.msk.ru.
                                                                                                          При этом, были доступны опции верификации как через токен, так и через отправку контрольного письма хостмастеру.
                                                                                                          • 0
                                                                                                            Простите, забыл уточнить, что «второй уровень» в моем комментарии нужно трактовать несколько шире; тот же .msk.ru в том выпадающем списке суффиксов есть, а, скажем, домена МГУ (.msu.ru) уже нет.
                                                                                                            • 0
                                                                                                              Могли бы просто сказать, что субдомен :)
                                                                                                              Бесплатно — да, вайлдкардов они не делают.
                                                                                                      • 0
                                                                                                        В этом случае куча людей заведет группу в контакте, страничку в ЖЖ или воспользуется подобным сервисом. Вряд ли они будут еще и сайт создавать, обновлять время от времени CMS, разбираться с кешированием, настраивать комментарии. А если Вы всё это сделали, то 15 минут на Start SSL — это совсем копейки по времени. Однако Ваши читатели не скачают трояна с сайта, воспользовавшись хотспотом, который подменяет трафик.
                                                                                                      • –2
                                                                                                        Хабр в опасности :D
                                                                                                        • +6
                                                                                                          с одной стороны повсеместный HTTPS это хорошо, безопасность и т.п.
                                                                                                          но вот желание одной компании диктовать выгодные ей решения всему интернету…
                                                                                                          • +2
                                                                                                            Мне кажется, это задумано отчасти для асимметрии возможностей спецслужб. АНБ, вероятно, может читать SSL трафик (по словам Сноудена), остальные не могут.
                                                                                                            В итоге американцы, по-прежнему, видят всё, а их оппонентам становится сложнее заниматься разведкой/контрразведкой.
                                                                                                            • 0
                                                                                                              с учетом недавних уязвимостей, вполне возможно что АНБ на протяжении долгового времени собирает комбинации приватных/публичных ключей через различные уязвимости, короткие ключи они могут перебирать, мощности и ученые у них есть, вопрос только в цифрах, какой длинны ключи они могут колоть в тупую
                                                                                                              • +1
                                                                                                                т.е одни плюсы для этой страны?
                                                                                                              • 0
                                                                                                                Учитывая, что через полгода нам обещают бесплатные сертификаты (пруф: habrahabr.ru/post/244037/ ), то вполне неплохо.
                                                                                                                Только смущает «диктатура» со стороны Google

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое