8 января в 20:06

Обещания Google начали сбываться — теперь сайты https помечаются как надёжные


(Разница между HTTPS и HTTP к которой идет Google)

Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.

Сейчас начался первый этап — пометка сайтов с https как безопасные.

Что там будет дальше?

Следующий этап стимулирования перехода на https намечен на конец января — в Google Chrome 56 версии. Тут уже будет однозначно сообщаться, что сайт не безопасен.


И в финале нас ждет красивая маркировка староверов, которые всё еще не перешли на HTTPS


image

Но есть и одна тонкость, которая позволит сайту не бежать на HTTPS — если у сайта нет форм ввода, то последний сценарий не наступит.

Точнее говоря наступит конечно же, но пока не известно когда.
Поддерживаете ли вы переход на https?

Проголосовало 2883 человека. Воздержался 421 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Shift @shifttstas
карма
46,0
рейтинг 14,2
Похожие публикации
Самое читаемое Разработка

Комментарии (323)

  • +14
    Главное чтобы letsencrypt не прикрыли и не сделали платным.
    • +4
      Зачем? Я скорее поверю, что гугл сделает свой центр сертификации (странно вообще как он успустил это) это же еще один способ сбора информации
      • +8
        Просто этот центр остался единственным, кто выдаёт бесплатные сертификаты. Китайскому WoSign и теперь уже китайскому StartSSL доверия нет, а гонять трафик через Cloundfare не для всех приемлемо. Если сейчас прикроют letsencrypt, я не знаю, где мне брать сертификаты для моих сайтов. Скорее всего я просто обратно уйду на http, и повешу плашку, что браузер Crome вконец обнаглел.
        • +2
          Ну так я и говорю, если что-то с летсинкруптом случится, велика вероятность появления замены от гугл, хотя я уверен, что с ним ничего не будет — там жертвователи серьёзные, c хромом в первых рядах
        • 0
          а в чем проблема покупать сертификаты при закрытии letsencrypt.
          я серьезно и без подколов. прост на них сейчас совсем не такие цены, как были раньше.
          • +14
            Когда это хомяк/бложик/форум для двух с половиной энтузиастов, везде пытаешься сэкономить. Реклама там ни сертификат, ни хостинг, ни доменное имя не отобьет никогда, её даже вешать смысла нет.
            • –4
              с одной стороны, я понимаю такие доводы.
              с другой стороны, я не могу понять какая разница какая будет надпись у «хомяк/бложик/форум для двух с половиной энтузиастов» в браузере у этих самых энтузиаствов.

              мне кажется, что ту скорее психологический момент, чем реально вопрос денег/целесообразности.
              • 0
                А там гугл грозился (вместе с мозилой) в конечном итоге не передавать данные форм, если соединение не https
                • –1
                  Пойдет лесом значит. Условия он еще диктовать собрался, поганец.
                  • +5
                    И останется IE, который придётся рекомендовать пользователям.
              • +2
                Третий энтузиаст даже не найдет этот форум, потому что сверху будет другая выдача — с сертификатами.
                • +3
                  Видимо, у третьего энтузиаста слишком мало энтузиазма.
            • 0
              Смотря что, для кого, о чём и зачем вешать.
        • 0
          • +2
            Free SSL certificates are valid for 90 days and are limited to one issuance per domain.
        • 0
          Cloudflare помимо всяких плюшек в бесплатном плане подключает и паблик сертфикат, чего достаточно для получения заветной галочки «Secure», и http/2.
      • 0
        А что вы скажете про это:
        image
        О перспективах встраивания российской криптографии в браузеры Chrome от Google? Речь идет, естественно, о ГОСТ-ом https.
        • 0
          оно должно помереть как и всё гост-шифрование
          • 0
            Почему?
            • 0
              Следуя логике топикстартера, по моему личному мнению, все наше должно умереть, от электроники до стандартов, все чужое (читай гугловское) это мана небесная, продуманная для улучшения жизни.
              • 0
                Ну почему же, есть неплохие вещи — глонасс тот же, я выступая за леквидацию всего того, что хуже чем общемировое. Не надо изобретать велосипеды, а если госудрство считает, что её велосипед лучше — вперед в международные рабочие группы доказывать это.

                А так, изобретаем велосипеды, которые еще и хуже работают.
                • +1
                  Тогда давайте ликвидируем половину мировых фирм, включая VIA, Matrox, половину подразделений Microsoft, мейл, прости господи, ру, гугла и т.п.?
                  Когда оно выстрелит и в чем — не предсказать. Сегодня мы в аутсайдерах по многим областям, лишь по тому что мы все еще учимся, но что будет далее? Лет десять назад слово «Китайские товары» вызывало улыбку, а сегодня у них своя космическая станция. Им тоже, лет десять назад, надо было закрыть их проекты пилотируемых полетов, которые были хуже чем общемировые?

                  Я за альтернативу.
                  • 0
                    Я еще раз повторяю, я за совместимую альтарнативу.

                    т.е
                    самолёты свои — хорошо, они работают с мждународными стандартами (связь, аэропорты)
                    ГОСТ шифрование и CPU эльбрус — плохо, очень плохо — оно не совместимо с нынешними стандартами. Я не против если сделают CPU «местого разлива» с архитектурой ARM/x64 но не надо пилить свою а потом эмулировать на ней что-то привычное…
                    • +1
                      Архитектура у Эльбруса не своя, а вполне стандартная, на которой существуют процессоры у других компаний. Если не брать побочку в виде х86 эмуляции — вполне жизнеспособная _для_определенных_ целей_. Или вы думаете что расчет баллистики или еще какие военные цели будут идти под виндой, как во французской армии?

                      Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.
                      • 0
                        Архитектура у Эльбруса не своя, а вполне стандартная

                        Ошибаетесь, у него своя архитектура.
                        вполне жизнеспособная _для_определенных_ целей_

                        Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                        Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.

                        У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                        А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!
                        • +1
                          >Ошибаетесь, у него своя архитектура.

                          Перепутал, признаю, спутал с Байкалом.

                          >Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                          Вроде как вам никто и не навязывает использование в обычной жизни ГОСТовские алгоритмы и наши компьютеры. Лично я с ними связываюсь только когда надо сдавать финансовые или кадровые отчетности.

                          >У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                          Что вы подразумеваете под «совместное взаимодействие»? Доставка электроэнергии к потребителю вроде как взаимодействие. Это везде так. Начиная от стандартов сжатия видео, заканчивая поддержкой html тегов в браузерах есть разночтения. Это «конкурирующие стандарты».

                          >А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!

                          Надо сказать изобретателям современных ЯП что они дураки, следуя вашей логике. Зачем изобретали всякие С# и иже с ним, ведь был прекрасный С++. Да и изобретателям HTML5, ведь был-же удобный адоуби флеш.

                          Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут. Это здоровая конкуренция. К тому-же ногда надо отбросить старое, чтоб родить действительно новое, без груза совместимости.
                          • 0
                            Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут.

                            Вот это вы верно сказали, но государство будет активно пытатся продвинуть свой дохлый стандарт внутри страны создавая трудности всем. Я именно и призываю, что если что-то хуже и не взлетело — не надо это форсить, есть куча открытых альтарнатив которые живы.
                            • 0
                              Любое государство будет этим заниматься. Любая своя разработка будет выше для дотаций, чем чужое. В финляндии так, в США так, в РФ так.
                              • 0
                                что-то я не вижу бреда насчет «сделаем свой интернет» приличных странах
                                • 0
                                  Не передергивайте. «свой интернет» не пилит ни одна страна, даже наша. Ограничивать доступ — вполне нормальная практика.
                                  • –1
                                    Вы наверно пропустили года 2 последних и совершенно не в курсе о дублировании инфраструктуры внутри страны
                                    • +3
                                      Я наверное проспал десять тысяч лет, но не могу понять что плохого в дублировании инфраструктуры внутри страны и почему это вызывает у вас негативные мысли? Или вы считаете что контроль за всея интернетом, все корневые серверы, все комиссии и надзорные органы должен быть всецело у США?
                                      Тот-же Китай успешно проводит такую политику. В ЕС тоже есть дублирование инфраструктуры, на всякий случай.
                                      • 0
                                        Так они не просто говорят про дублирование того, что уже давно продублировано. они говорят об этом в контексте чебурашки мифического отключения страны от интернета. Притом что после их действий отключить страну от интернета станет легче лёгкого. Только не снаружи, а изнутри.
                                        На Китай равняться не стоит, да и на ЕС с их маразмом с куками тоже. Вообще государству не стоило лезть в интернет, он в России отлично был развит без его вмешательства.
                                        • 0
                                          Друг мой, я могу очень много говорить про «наш путь без оглядки на запад и восток», мечтать о том что roi.ru будет влиять на госдуму, но давайте примем как данность уже существующее положение вещей — есть США, Европа и Китай. РФ догоняет, пытаясь брать «бест практис» от весьма различных по менталитету сторон света, коверкая это все в мозгу, во все еще неокрепших от свободы головах.
                                      • 0
                                        плохо тут то что «они» уже вежливо ходят по точкам обмена трафиком и просят трафик гонять через «наши» узлы мол а вдруг враги отключат свои циски, а наши чёрные ящички никто не отключит(ну кроме нас конечно, да и мы вроде как хотим смотреть куда пакеты текут)… надеюсь законодательно это не протащат…
                                        • 0
                                          вполне могут протащить, пробегал документ несколько лет назад на эту тему
                            • 0
            • 0
              Потому, что данный тип шифрования больше нигде не используется, предлагаете рунет на него перевести? бред же, я вот хочу, что бы на мой сайт мог зайти любой человек из любой страны, так же и я хочу заходить на любой сайт.

              Я уже выше написал, если этот стандарт хорош — вперед на международную требуну (рабочую группу) доказывать, что он — лучше и требовать его включить. А если он не лучше — то зачем?
              • 0
                TLS вроде бы позволяет согласовывать ciphers, почему бы и не переходить на гост, если с обоих сторон он поддерживается и выставлен приоритетным
  • 0
    … если у сайта нет форм ввода, то последний сценарий не наступит.


    Имеется ввиду любая форма ввода, или же не содержащая полей для ввода пароля и данных платежных карт?
    • 0
      В документах хрома говорится о поле паролей и кредитных картах, но как оно будет в итоге — непонятно.
      • +9
        Есть опасность, что как костыли, будут механизм форм с паролями эмулировать кастомными элементами/ajax'ом. Это будет выглядеть менее нативно, менее безопасно и отвалятся все механизмы автоподстановки паролей/содержания карт.
    • +2
      Поле «Поиск» и дасвиданья? :-)
  • –1
    Сижу на бете Chrome 56, пока что не встречал «Not secure» из-за http://
    • 0
      Пока помечает только «Secure» для https, «Not secure» — следующий этап. В статье, по крайней мере, это написано.
    • +1
      Можно в эксперементе включить для проверки как оно работает





    • 0
      Сижу на Google Chrome 55(55.0.2883.87 (64-bit)) и вижу эти надписи. У меня они появились сами после обновления на 54 версию. Вы можете это включить руками где-то в chrome://flags/
      При этом у меня оно и под основной(Ubuntu GNU/Linux 16.04 LTS) системой, и под игровой виндой имеется.
  • +6
    Перевел сайт на https с 3600 скакануло до 5600 трафик. Все из гугла. Гугл любит https!
    • +1
      Если память не изменяет, https-сайты (при прочих равных) выше в выдаче.
    • +1
      Я думаю, что, конечно, использование https увеличит потребность человечества в электричестве, возможно увеличит сжигание угля и выбросы со2. Основной массивный контент — это видео, хоть того же гугла. С https его невозможно кешировать у провайдеров. Объемы трафика будут расти вместе с потреблением энергии.
      • +4
        Открою вам страшную тайну, ютуб уже давно на https
      • +1
        для провайдеров с большим трафиком у гугла есть GGC:https://geektimes.ru/post/93864/
      • 0
        https://istlsfastyet.com/
  • +1

    tsya.ru

    • +13
      Тоже Not Secure, кстати
  • +42
    Сайт первого канала с предупреждающей символикой «Ненадёжный», почему-то смотрится очень органично)))
    • –4
      Вы правы, поменял картинку
  • +4
    Хм, в голосовалке 13% против https, было бы интересно услышать доводы.
    • +15
      Есть сайты, где это не нужно.
      • 0
        например?
        • +9
          Любой сайт, где не спрашиваются и не используются никакие приватные данные.
          Блог, новости, галереи и т.д.
          • +1
            ну т.е вы готовы поделится информацией, что вы конкретно смотрите с:
            1) Обладателем точки бесплатного Wi-Fi
            2) Вашим провайдером
            3) Вашим мобильным оператором
            4) Государством

            ?
            • +9
              Все перечисленные и так узнают сайты, просто не конкретные страницы.
              Хотите спрятаться — используйте впн.
              • +4
                Они узнают домен, а не конкретную страницу и тем более не конкретный контент.

                • –14
                  Они узнают все, если им будет надо. Ибо MIDM и т.д. — возможностей море — посмотрите на китайский файерволл.

                  По-этому для такого типа сайтов https бессмысленен — ибо ни чьей безопасности они не угрожают, зато для веб-мастеров это доп.телодвижения для выпуска, продления и т.д.

                  Причем часто это вообще бесплатные проекты.

                  Но с гуглом не поспоришь, увы. Придется делать.

                  • 0
                    Может MITM?
                    Китайский фаервол не вмешивается в HTTPS в этом собственно основной плюс HTTPS — трафик можно или пропустить или дропнуть, но заходя на сайт с зелёным значком можешь быть уверен — сайт по пути от сервера до тебя не модифицировался.
                    • +6
                      Наверно, MIDM расшифровывается как Man In Da Middle :)
                      А если серьезно, я догадываюсь, почему кто-то проголосовал против. За любое шифрование приходится платить вычислительными ресурсами и скоростью. При слабом сигнале (а беспроводные сети сейчас в мейнстриме) http работает быстрее и стабильнее https по объективным причинам: меньше хэндшейков с передачей ключей туда-сюда.
                      (Для меня безопасность важнее, поэтому я не поддерживаю данную точку зрения.)
                    • +1
                      Ну… не можешь так-то. Были случаи, когда центры сертификации подписывали левые домены.
                • +1
                  Сам голосовал за https, но тем не менее действительно есть некотоьрые сайты, где это действительно очень нужно. Так как не всю информацию все люди стремятся скрывать от государства\провайдера\оператора, обладателя Wifi точки.
                  • 0
                    примеры?
                    • +6
                      Сайты СМИ, например. Контент намеренно публичен. Тот факт, что я прочитал про очередную инициативу все запретить от госпожи Мизулиной или про счет матча газмяс — зубило, я ни от кого скрывать не собираюсь.
                      • +1
                        Если вы только прочитали — нет, а представьте, что медиалогия (гос-система которая меряет общетвенные настроения) при прочтении в неделю более 10 новостей с ключевыми словами которые относятся к плохим — вас занесут в особый список майора?

                        • +8
                          Слушайте, ну нашему, русскому товарищу майору я могу стать внезапно интересен вот прямо завтра без всяких там прочтений, не надо меня этим пугать. Ну, на дочку его внезапно посмотрю как-то не так. Ваши предположения про 10 статей в неделю на 10^10 порядков менее вероятны, чем то, о чём я пишу. На всех тупо не хватит майоров, знаете ли.
                          Меня вот конкретно сейчас волнует не наш посконный товарищ майор, который в конце концов (по версии либерастов) насквозь коррумпирован, и от которого можно хоть как-то откупиться, а искусственный интеллект, потенциально работающий на чужого мистера майора. И который может автоматически, ещё раз, автоматически, без всяких тухлых разговоров, отключить меня от всех источников дохода, если решит, что я неблагонадёжный. Потому что у меня телефон на андроиде, почта на гмейле и карта виза. И всё это контролируется из (сколько там? три с половиной десятка?) спецслужб чужой для меня страны.
                          Про false positives что-нибудь слышали?
                          • 0
                            Я скорее поверю в то, что у вас было false positive на violations of ToS/TOU, и Гугл отключит вас от всего гугловского (adsense, gmail и google play — оптом), чем то, что на вас наложат персональные санкции спецслужбы иностранного государства.
                            Хотя да, такое тоже возможно — если ваш теска где-нибудь всплывет в рядах какой-нибудь террористической организации (или считаемой таковой в оплоте демократии).
                            • –2
                              Если меня Google отключит от AdSense, я буду только рад — наконец-то в моей жизни станет меньше рекламы /s
                              • +3
                                От Adsense, но не от Adwords :-)
                              • 0
                                А в чём проблема самому отключится от AdSense, Adwords, аналитики и остального не нужного?
                                • 0
                                  В мобильных приложениях это не так просто, к сожалению
                                  • 0
                                    С рутом и правкой hosts вроде никаких не должно быть. Хотя утверждать не буду, не сталкивался.
                                  • 0
                                    Хотел подсказать вам несколько вариантов блокировки рекламы в мобильных браузерах, а потом сообразил, что вы про приложения… А тут без рута проблематично, да…
                                    • 0
                                      Вот и я про то. В итоге снёс Youtube и смотрю теперь его в броузере на мобильнике, благо AdAway есть.
                                      • 0
                                        Ну AdAway все же рут требует даже для браузера, мне больше нравятся новые варианты, когда используется API для блокировки или плагин в мобильный браузер, чтобы не рутить смартфон.
                                        • 0
                                          Рут пока что есть (и в следующем телефоне будет), ещё поживём немного.
                                          Плагин к файрфоксу мобильному есть… но файрфокс и без плагина тормозит.
                                          • 0
                                            Я сейчас использую Яндекс.Браузер который дает API(аналогичный API есть еще в самсунговском браузере, насколько знаю) для приложения AdGuard, которое и занимается резкой. Хотя в нем и есть возможность поставить расширения, но не уверен, как оно будет работать, т.к. это еще только тестируемый функционал.
                                            • 0
                                              Яндекс… у меня на него идиосинкразия. Из-за постоянной навязчивой рекламы по пропихиванию себя любимого во все щели.
                                              • 0
                                                Нуу… тут сложно найти того, кто этим не занимался. Компании предлагают партнерки, а разработчики сами решают, какую им выгоднее запихнуть в свой инсталятор. Гугл тоже этим баловался до того момента, как стал лидером на рынке браузеров. Да и сейчас кое-где его можно встретить до сих пор. Совершенно спокойно к этому отношусь + имею программу unchecky, чтобы случайно не проглядеть чего :-) Зато API для блокировки рекламы и поддержка расширений для десктопного хромиума. Но с другой стороны — если рут вас не смущает, и используете firefox, у которого на мобильном тоже есть расширения — то для вас это не критично. А вот лично мне рут не нравится, поэтому API для блокировки рекламы оказалось очень востребованной штукой.
                                                • 0
                                                  Жизнь без рута мне не нравится. Тот же Greenify не запустишь, например…
                                    • 0
                                      Единственное что приходит в голову это VPN с фильтрацией. Заодно это будет защита от мобильных подписок.
                          • –2
                            На всех тупо не хватит майоров, знаете ли.

                            В 1937-38 хватило на всех.
                            • 0
                              Не на всех. Иначе бы Вас на свете не было.
                              • 0
                                На всех, на кого было надо.
                          • 0
                            как то сложно представить что в насквозь либералистическом мире потенциального противника вы можете сделать ненадежного?
                            быть госчиновником какой то страны и иметь миллионы на счетах без объяснений как вы их заработали? не вызывает сочувствия если честно.
                            • 0
                              Хорошо бы еще понять, к чему данный комментарий…
                            • 0
                              Скачаю и сяду раздавать неправильный торрент.
                          • +1

                            Товарищу майору может внезапно прилететь плюха от начальства на тему слабой работы по выявлению несознательных элементов. И тут товарищ майор вызовет товарища лейтенанта и потребует с него быстро списочек из двух-трех десятков сотен тысяч неблагонадежных. А тов. лейтенант быстренько отфильтрует тех, кто эти нехорошие статьи читал… Так вот и попадают в неблагонадежные. Со всеми живописанными вами подробностями. Касается, кстати, спецслужб любой страны.
                            Откупиться, кстати, тоже вряд ли получится. Ибо поток… и риски не оправдываются.

                      • 0
                        Можно при работе через публичную точку доступа подменить вам контент, добавить нехороший скрипт в страницу и много чего еще.
                      • 0
                        от госпожи
                        пилили бы эти господа уже скорее домой к себе в Израиль…
                • 0
                  даже домен не узнают. только ip адрес. а если там cloudflare или аналоги — то это будет адрес их серверов.
                  • 0
                    Домен узнают, см. SNI.
                    • 0
                      Вот зараза, он в открытую передаёт. Мда, и вправду.
                      • 0

                        В чём-то зараза, в чём-то круто. Это не от хорошей жизни сделано а для того, чтобы на одном IP могли сосуществовать HTTPS-сайты с непересекающимися сертификатами. Без SNI http-сервер не будет знать, какие ключи необходимо использовать и будет посылать дефолтный.

                        • +1
                          IPv6 спас бы, но…
            • +5
              Сейчас у моего сайта есть две зависимости: первое это DNS имя, второе «сервер» где он находится. Теперь добавляется третье звено те кто мне дают сертификат, лично мне это не нравится.

              PS. И конечно хорошо что теперь мой трафик до конца(хочется надеяться) не может проследить все 4 вышеуказанных пункта, однако получается что теперь эту функцию под себя подмяли Mozilla, Google и Microsoft.
              • 0
                эту функцию под себя подмяли Mozilla, Google и Microsoft.

                Это вы о производителях ОС/Браузеров? так всегда есть альтарнатива если не верим в чистоту того или иного ПО, да и на сколько я помнб Firefox сильно меньше суют свой нос в трафик по сравнению с хромом
          • +1
            Ну, есть такие сайты с новостями, и уж тем более такие галереи, за просмотр которых можно и срок схлопотать.
        • +4
          Сайты которые не берут информацию от пользователя, например caniuse.com
          • +3

            SSL еще предотвращает MiTM, так что поддельных данных никто не сунет. Яваскрипты тоже. Такое не раз случалось.

            • –2
              К сожалению, далеко не всегда HTTPS спасает от MITM-а.

              Насколько помню, было такое — атакующий может для каждого TCP-соединения создать две независимые SSL-сессии и при создании защищенного соединения клиент получит шифрованное соединение с атакующим а, тот в свою очередь создает соединение с сервером.

              Поправьте, если не прав.
              • +3
                Вы не правы.

                MITM возможен, только если только вы вручную установите себе сертификат левого certification authority (CA) или если сертификат на домен будет выдан (намеренно или случайно) тем CA, который уже есть у вас в системе. Дополнительную защиту от обоих случаев предоставляет certificate pinning (HTTP Public Key Pinning)
                • +2
                  Компрометация корневых CA же была уже и не раз.
                  К тому-же про государство (про которое уже выше спрашивали) точно сделать это может для себя.

                  Про Pinning спасибо — пошел читать.
                  • +1
                    О любом случае ошибочно выпущенных сертификатов, удостоверенных корневыми CA, очень быстро становится известно, после чего CA приходится долго оправдываться.

                    После намеренной выдачи левых сертификатов по заказу CA будет быстро добавлена в блэк-лист браузеров.
                  • 0
                    Компрометация корневых CA же была уже и не раз.

                    А можно список? Я помню только несколько случаев с их subordinate CAs

                • +1
                  Pinning мало кто использует. Он не удобен.
                • 0
                  Безопасность это комплексная задача. Само по себе шифрование ни чего не гарантирует. Если кто-то утверждает обратное это маркетинг.

                  В энтерпрайзе root ключи устанавливаются централизованно, что позволяет мониторить весь HTTPS трафик сотрудников. Еще в firefox 49 появилась настройка security.enterprise_roots.enabled, заставляющая доверять root сертификатам. Chrome и edge кажется и так давно все это поддерживают.

                  С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.
                  • 0
                    С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.

                    Но для этого необходим контроль над конкретным дистрибутивом, т. к. gpg подписи не проверяет только ленивый.

    • +1
      В голосовалке ткнул «да».
      Но поголовный переход имеет и свои минусы и как правило это технические тонкости — к примеру проси серверы, проксировать ssl тот ещё гемор :)
      • 0
        Если не разбирать трафик а тупо пропускать дальше, то в чем проблема?
        • 0
          Если нужно именно проксировать, и да — править при этом трафик (WAN-оптимизатор например, вроде Riverbed'овских или оптимизаторы для спутникового трафика). Правда тут уже вполне логично свой локальный CA ставить.
          Или именно необходимость локальный кеш иметь потому что внешний канал ОЧЕНЬ плохой и сделать нормальный — нереально (а видео и так не смотрят).
          • 0

            Локальный CA спасет в таких случаях

          • 0

            Из реальных минусов — шифрованый трафик не сжимается из-за высокой энтропии.

    • +4
      Голосовал иначе, но частично понимаю. Правильный вариант ответа «зависит».

      Не для всего нужно https, по крайней мере необязательно. Начиная от каталогов небольших интернет магазинов (без онлайн оплаты) и заканчивая админками роутеров, где все эти сертификаты будут протухать без обновления.

      Плюс всякие другие негативные моменты: например, при нестабильном соединении с телефона https сайты открываются значительно медленнее и батарейка жрётся быстрее. Понимаю, шифрование важно, опсосы иногда вклиниваются в траффик и подсовывают рекламу, но тем не менее.
      • –3
        А пароль от админки роутера настолько бесполезен, что его не следует защищать?
        Включённый на роутере WPS -> брутим пин, влезает в сеть, ждём, пока кто-то не зайдёт в админку -> PROFIT.

        А дальше уже можно много чего интересного делать, вплоть до перепрошивки роутера на такую же прошивку, что и была, но с «черным входом» для себя.
        • +9
          Если в вашей домашней сети между вами и роутером кто-то сидит, у вас уже проблемы.
        • +8
          Если вы переживаете за безопасность, WPS будет первым, что вы выключите.
          Если нет, то и сертифика вас не спасёт.
      • –3
        > Не для всего нужно https, по крайней мере необязательно.

        Эта фраза сразу выдает в вас человека далекого от IT. Возможно в вашем мире кофеварок вы и правы, но http/2, который помимо прочего дает ускорение загрузки, живет только с https, иначе никак.
        • +2
          Для справки- https не обязателен для HTTP2, это инициатива производителей браузеров. В том же EDGE HTTP2 работает без https.
          • –1
            И очень хорошо, что http/2 работает в https only с большинством браузеров, когда-то надо переходить, и сейчас переход на https идет менее болезнено чем на ipv6 и это радует
          • –2
            Вы бы почитали спецификацию. То что какой-то маргинальный браузер у себя родил вариант без ssl'а не означает, что http/2 без него работает.
            • +1
              Я глянул и не увидел там обязаловки по шифрованию:
              https://http2.github.io/faq/#does-http2-require-encryption
              Does HTTP/2 require encryption?
              No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol.

              However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted.


              http://httpwg.org/specs/rfc7540.html#TLSUsage
              9.2 Use of TLS Features
              Implementations of HTTP/2 MUST use TLS version 1.2 [TLS12] or higher for HTTP/2 over TLS. The general TLS usage guidance in [TLSBCP] SHOULD be followed, with some additional restrictions that are specific to HTTP/2.

              The TLS implementation MUST support the Server Name Indication (SNI) [TLS-EXT] extension to TLS. HTTP/2 clients MUST indicate the target domain name when negotiating TLS.

              Deployments of HTTP/2 that negotiate TLS 1.3 or higher need only support and use the SNI extension; deployments of TLS 1.2 are subject to the requirements in the following sections. Implementations are encouraged to provide defaults that comply, but it is recognized that deployments are ultimately responsible for compliance.

              Тут говорится что реализация с шифрованием должна использовать TLS версии 1.2 или выше.
              • –1
                а как дела с вебсерверами? они готовы обработать не шифрованный трафик от IE? nginx/apache (IIS не всчёт)
                • +1
                  Нормально, по крайней мере nginx умеет, хоть и не рекомендует по причине малой распространённости.
                • +1
                  Апач не знаю, а у nginx h2 до сих пор в экспериментальном виде и без ключа ssl у меня не работало, как сейчас хз.
                  Там ещё общие сложности:
                  https://trac.nginx.org/nginx/ticket/808
                  https://trac.nginx.org/nginx/ticket/816
                  Есть ещё проблема что h2 навязывается на все порты, даже те что не указаны как http2.
                  • 0
                    Там же connection upgrade, что плохого в работе по обычным портам?
                    • 0
                      Не знаю. Просто такая ситуация что если в разные секции server для разных доменов задать с http2 и без, то везде http2. Была попытка вынести на отдельный порт и на отдельный порт тоже наследуется http2. Достоверно могу сказать только за хром, как в остальных не помню уже.
                      Я ещё забыл добавить что при http2 начинаются проблемы с клиентскими сертификатами, поэтому собственно и выносил на отдельный порт работу без http2, но фиг.
                      Так что http2 в nginx пока работает только в общих условиях с принятием того факта что он становится главенствующим режимом в клиентах где http2 поддерживается.

                      А с чистым режимом http2 на 80 порту я наверное что-то не так сделал и ошибся с выводами.
        • +1
          Как раз в мире кофеварок (с возможной атакой горячим паром) https более полезен.
      • 0
        А как вообще у админки роутера может быть сертификат, они же выдаются для доменов, а админка роутера — это что-то вроде 192.168.1.1?
        • –1
          Давайте я расскажу вам про ДНС.
          Вы можете в ДНСе прописать резолв в любой адрес, как вам в голову придет. Вы можете получать сертификат прописав временно резолв в публичный адрес, а потом завернуть резолв на 192.168.1.1. А еще вы можете общаться со своим роутером по реальному IPшнику(так тоже можно, да).
          • 0
            Это всё понятно, но для этого надо владеть доменом, да ещё и настроить его на своём роутере. Кто этим вообще заниматься будет, особенно для домашних роутеров?
            • 0
              Погуглите routerlogin.net, например…
      • +4
        Мне кажется, что инициатива маркировки https соединений правильная, но с небольшой доработкой — нужно чтобы она отключалась, если домен резолвится в диапазон ip адресов частных сетей. Тогда попадут все проблемы с админками роутеров/инранетовских сайтов, к которым нет доступа снаружи. Браузеры будут более адекватно работать без доступа к интернету и т.д. Да и уведомления о защищенности/незащищенности сайтов будут более верными, а значит к ним будет больше доверия.

        Особо большого смысла защищать внутренние ресурсы нет: если уж злоумышленник получил контроль над маршрутезатором, то верная раскраска значков в хроме — меньшая из проблем пользователя.
    • +3
      Если старый и большой сайт переводить с http на https, то сильно просядет органика с Яндекса, т.к. он пока не умеет безболезненно перевести и будет считать https зеркалом с переклейкой и прочими плюшками :( Делали эксперимент летом, трафик до сих пор не вернулся в полном объеме :(
      • 0

        А правильно ли делали? ;)
        В момент "переезда" пока не склеятся зеркала, надо чтобы страницы (и изображения) были доступы по обоим протоколам и только после склейки делать редирект с http на https

        • +3
          Если возникают вопросы — может вы статью напишите на тему корректного переезда?
          Я думаю вас спасибо скажут
          • 0
            Да, собственно, maxic всё уже описал. на статью не наберется
            • +1

              Наберется :)
              У меня дока к модулям на пару страниц по этому вопросу
              Я как раз модули для e-commerce систем делаю для корректного переезда на https
              Там очень много подводных камней. Много разных хостеров, много разных настроек у них, много говнокода других модулей, которые делают из этого целую проблему
              Очень много видел как выпадают магазины из топ-ов после не корректного переезда
              Только, к сожалению нету времени "писать" :(
              Есть общий принцип, описанный yandex
              https://yandex.ru/blog/platon/2778
              В принципе суть там понятна
              Но еще много подводных камней настроек магазинов, рефакторинга их кода и т п

              • 0
                Ну это уже конкретно проблемы реализации конкретного движка или шарда.
    • +9
      Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.
      Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда? Да и его настройка занимает время и редко когда возможна на шаред-хостингах.
      Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.
      Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?
      • –3
        Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.

        А вы включите http/2 и страдать они будут даже меньше чем на http — коннектов меньше, не надо ждать пока 100500 соединений установятся и передадут данные.

        Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда?

        Уверены?

        Да и его настройка занимает время и редко когда возможна на шаред-хостингах.

        Множество шаред-хостингов (почему они еще не померли?) умеют в SSL из коробки за 149 руб в месяц

        Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.


        Вы думаете это проблема для современных CPU?
        Зачем на контроллеры делать https? если вы — администратор и вы знаете, что красный крест — это нормально при заходе на 10.10.10.2

        Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?

        Зачем? если у вас централизованное решение автоматизации оно или inhouse или cloud based в первом случае у вас стоит мощная коробка которая агрегирует вообще всю информацию которую ей передают датчики, на выход же обычно торчик API которым управляют приложения/сервисы:
        Amazon Alexa или Apple HomeKit
        Ну а с облаком и так всё понятно.
        • +10
          1. Я не видел независимых исследований, утверждающих что-то хорошее про http/2. Всё что видел — говорят, что ускорение если и есть, то на уровне стат. погрешности. Если слышали обратное, поделитесь, пожалуйста, ссылкой.
          2. Спонсоры спонсорами, но проблема в том, что он такой один. Если завтра окажется, что какие-то бармалеи похитили корневой сертификат и устраивают с его помощью митм, этот сертификат будет немедленно отозван. И дальше всё, половина интернета давай до свидания.
          3. Сейчас как бы хайп про иот. Веб-морда — самый простой и понятный способ настройки и управления всего этого барахла. Я-то понимаю про красный крестик, а вот обычный юзер вряд ли.
          4. Мощная коробка, которая всё агрегирует, требует не менее мощного инженера, который её настраивает, а ещё лучше отдел АСУТП. Такое не у всех как бы есть. И это не отменяет того факта, что базовые контроллеры должны работать независимо от общей коробки, которая иначе становится единой точкой отказа.
          Насчёт облаков вообще смешно: да, давайте сначала всё зашифруем, чтобы фоточки с охранных камер из вашей спальни не перехватил потомственный алкоголик сосед Василий, а потом отдадим эти же фоточки в облако эплу или ещё какой корпорации добра, потому что сами мы настроить ничего не можем. Ещё и денег заплатим. Отличная аргументация, браво!
          • –1
            Демо от CDN провайдера https://http2.akamai.com/demo

            3 — да не будет обычный пользователь заходить по http на свои IOT устройства — как минимум там может сменится IP, сейчас всё на приложениях с авто-обнаружением
            4 — посмотрите на решения от fibaro (z-wave) или любое решения для amazon/homekit настройка там на уровне просканируйте номер с задней части устройства — вы великолепны

            Я не говорил, что я за облака.
            • +1
              Спасибо за ссылку. Поизучаю на досуге.

              PS. Я не говорил, что я против шифрования. Более того, я говорил прямо обратное. Цитата: «Шифруйте всё». Но я против указанных в вашей статье методов принуждения, да.
            • +1
              Провел этот тест уже 10 раз, и всегда по http2 медленнее получается.
              image

              PS На своем проекте уже включил и https и http/2
              • 0
                У меня на мобильном http2 быстрее.
          • +1
            У меня презентации много ссылок на эту тему — http://bit.ly/deceptive-simplicity-of-http2
            Отчёты по профиту от h2 действительно сильно разнятся, но конкретно про принвелирование оверхеда от https говорят почти все.
          • 0
            У меня на https://waysofhistory.com после перехода на http/2 скорость загрузки удвоилась.
    • +9
      У меня пару сайтиков-визиток, которые живут уже кучу лет и до них нет дела хацкерам. Их никто не будет ломать и у них посещаемость в районе 20 человек в день. На них нет рекламы и т.п., они на шареде провадера и я не вижу смысла хоть как-то напрягаться чтоб мой сайт соответствовал критерию современного веба.

      PS: Далее меня будут помечать «данный сайт не безопасный, так как не использует фреймворков» и т.п.?
      • 0
        Насчёт «нет дела хацкерам» говорить не советую. Им всегда есть до чего-то дело — хоть до сайта, хоть до хостинга: надо же как-то поддерживать количество заражённых хостов и командных центров в своих ботнетах для рассылки спама, DDoS или других вредоносных действий. И сканирование на уязвимости может идти тупо по ip или найденным доменным именам без какой-либо оглядки на посещаемость и «нужность». Но да, визитка на простом html без фреймворков и без полей для ввода данных вряд ли будет являться точкой входа для потенциального взлома сайта или хостинга.
        • +2
          Если их заразят — надпись «надежный» останется (:
          Если взломают пользователя и сделают мне 100500 комментариев на внутренних форумах, или опубликуют новости — я прям расплачусь, зайду в админку и нажму кнопкочку «откатить последние ХХ комментариев» или перепишу пароль пользователю.

          У меня не публичные сайты, это не сайты приносящие дохода и я их поддерживаю либо по работе, либо по энтуазизму своего хобби. Почему гугл, который лично для меня дает только поиск и ютруп (я не на андроиде и не пользуюсь гуглопочтой) начинает диктовать мне правила размещения сайта. Почему я должен начать платить деньги за сертификат, либо полагаться на какую-то шарашкину контору, которая раздает их бесплатно?
          • 0
            В Интернете нет непубличных сайтов. А простое переписывание паролей пользователю при взломе в обход оных (например, атака на хостинг) не поможет никак. Впрочем, это не имеет никакого отношения к https.
            • 0
              К этому я и пишу. Если будут ломать — https не поможет.
    • +2
      «Экологи» наверняка уже где-то подсчитали, сколько углекислого газа дополнительно создаётся из-за лишнего процессорного времени на шифрование.
      • +2
        А если серьёзно, рискую показаться гуманитарием, но для меня это выглядит, как решение социальной проблемы (технической безграмотности) техническими методами. Если мы хотим безопасный интернет, нужно, чтобы каждый сам представлял, чем ему грозит отсутствие шифрования, как, кто и зачем может устроить MITM, как поисковики используют информацию о поисковых запросах, как можно использовать информацию из соцсетей и других открытых источников для деанонимизации…

        С моей точки зрения было бы выгоднее (для общества) делать не красную надпись, которая ничему не учит, а хотя бы призыв к действию, например, в виде кнопки «Почему?» рядом. И вообще, поставлять с каждым браузером инструкцию по поведению в интернете для чайников. Открываешь браузер, а там «Внимание, интернет является зоной повышенной опасности. Чтобы обезопасить себя, используя интернет, прочтите...».

        А маленькая красная надпись — пилюля с обезболивающим, которая болезнь не лечит.
        • 0
          Скорее всего гугл проводил тесты такого варианта на тестовой группе и вангую, что нажали на «Почему?» менее 10%
          • 0
            Уверен в этом. Но в целях обучения даже 2% уже результат, особенно с учётом аудитории Chrome. Просто гугл никогда такой цели не ставил. От грамотных и осторожных пользователей них реклама будет хуже работать.

            Если подойти к вопросу системно и с исследованиями, можно было бы и повысить цифру до 20-25%, кнопка — первое и очевидное решение. Думаю, можно и по-другому.
            • 0
              Было бы круто, а вдруг на хабре есть мультиплекаторы которые смогут по участвовать, чтобы сделать такой ролик (по типу TED)?
              • 0
                Да, это было бы круто. Я вот могу на пальцахах объяснить, что такое MITM и т.д. Но… смотреть никто не будет. Даже если ролик и посмотрят, то, скорее всего, на эти правила заабьют.
                • 0
                  В видео формате попробуйте, рисую то, о чем говорите — может взлететь
        • 0
          Гугл — коммерческая компания. Есть мнение, что она не лечит социальные проблемы, а зарабатывает деньги.
          Когда гугл заставляет шифровать вообще всё, включая таблицы стилей и фоновые изображения, мотивируя это «защитой от слежки», это звучит немного параноидально.
          На самом деле, они просто устраняют конкурентов. На каждом первом приличном сайте стоит гугл аналитика, самый популярный браузер — гугл хром. Плюс андроид на телефоне, почта на гмейле и ваши лайки на ютубе. Гугл знает про вас всё.
          «Конкуренты» гугла в «почётном» деле слежки очень редко когда несут людям что-то полезное. В основном это либо атаки злобных хакеров, либо вставка левой рекламы. Но есть два важных исключения. Во-первых, это корпоративные прокси, которые режут рекламу, в том числе гугл аналитику с гугл адвордсом. Во-вторых, как ни странно, это обложенный на хабре со всех сторон пенисами СОРМ, потому как террористов и педофилов ловить как-то всё-таки надо.
          • –3
            СОРМ, потому как террористов и педофилов ловить как-то всё-таки надо.

            Ага, террористов, и педофилов, ага
            • 0
              Ну вот вы зря про вот это вот «ага».
              Был у меня отличнейший друг, работал рядовым опером в городской тогда ещё милиции. Погиб при исполнении в 29 лет. Успел жениться, но не успел оставить потомство.
              Он мне много чего рассказывал про будни розыска за бутылочкой) чая. Его дико бесили две вещи — «палочная система» и общее скотство системы. А вот к коррупции относился с воодушевлением: обычно речь шла про то, чтобы отмазать кого-нибудь блатного, а рядовым операм предлагался не столько кнут («уволим»), а пряник:
              image

              Так вот, раньше убивцев и наркоторговцев ловили по записям телефонных разговоров. Сейчас все переехали на вацапы и вайберы. И рядовым операм стало реально сложнее делать свою работу.
              • +1
                сложнее делать свою работу

                — это ту, которая за «пряники»?
                • 0
                  Нет, это вообще. Пряники есть у 1% населения максимум.
                  • +1
                    наркоторговцев

                    Ну тут нужно регулирование и декриминализация с заместительными терапиями.

                    А насчет убийств и других преступлений — у них не хватает камер наблюдения? им доступ к связи зачем нужен, они там надеяться увидеть четкий план действий или что?
    • +12
      Уже 100500 обсуждалось:
      1. На многих сайтах httpS нахер не нужно, например тут — тут ничего ценного нет, обычный развлекательный сайт
      2. Есть ещё всякие девайсы где httpS не только не нужен но и без шансов его там заиметь: либо ресурсов нет либо никто не станет это делать.
      3. Сертификаты выдают либо за деньги либо полторы шаражки в мире, и те и другие делают это на своё усмотрение, в итоге повсеместный и обязательный httpS приведёт к возможности легко вводить цензуру просто манипулируя сертификатами. Если раньше это было в принципе не возможно и в самом плохом случае можно было просто породолжить работать используя http://IP:port то теперь основная масса при таком варианте отсекается.
      4. Учитывая вышесказанное это всё ещё и нагрев воздуха в пустую — повышенное потребление энергии на крипту.

      Что касается приватности.
      httpS этого не даёт полностью, провайдер знает какие домены резолвили и по каким адресам подключались, и легко поймёт какие сайты посещали. Собственно SNI светит доменное имя прямо в TLS.
      Сами же держатели сайтов лепят всякое говно со сторонних сайтов, от рекламы и счётчиков до шрифтов и скриптов, поэтому гугль и яндекс могут легко трекать миллионы людей, даже если те с ноутом/мобилой ходят в гости — а заодно и палят свои оффлайновые связи пользуясь в гостях инетом через вафлю.

      http2 — нихера не панацея, сколько раз писать что одно TCP соединение сильно хуже двух и более при любых условиях, кроме совсем уж экзотики.
      Для тех кто не прочистил моск — вспоминаем диалап и регет, который в несколько потоков всегда качал быстрее.

      2 FreeMind2000
      если в мозилле это сделают не отключаемым и кроме красного цвета будут реальные неудобства то я лично поищу как это отключить в настройках а то и вообще нахер вырежу из исходников, пересоберу и будут в предь поддерживать патч для отключения это в портах фри.
      • +2
        У меня очень маленькая надежда на то, что здравый смысл возобладает и затея с «крещением всего инета в https» улетучится из голов боссов корпораций благодетелей…

        Ведь, что происходит с точки зрения здравого смысла:
        На основании того, что протокол HTTP не использует шифрование — подключение браузера к вашему сайту могут назвать «ненадежным» или «незащищенным» или даже блокировать.

        Теоретически, за такое можно и в суд подать за клевету.
        Ведь на сайте может использоваться альтернативная реализация шифрования секретных данных поверх HTTP, реализованная, например на клиенте через jscript (я такое делал в нескольких своих проектах).

        Браузер ничего не знает о сайте, и методах защиты используемых на нем для передачи секретных данных между браузером и сервером, соответственно он не имеет права вводить пользователя в заблуждение устанавливая статус подключения «ненадежное/небезопасное» или даже «надежное». Ибо это может не соответствовать реальности.

        Всё что входит в компетенцию браузера, и что он может делать уверенно — это пометить сайт как «использует HTTPS» или «не использует HTTPS» и исходя из своих предпочтений подкрасить в нужный цвет.

        В любом случае, думаю, что неравнодушное сообщество начнет оказывать сопротивление навязыванию из вне каких либо правил. А самое лучшее воздействие на корпорации — это лишение их прибыли отказом от использования их продукции.
        • 0
          Как вы используя JS сможете гарантировать отсутствие MITM?
          • 0
            Так использование https отсутствие MITM тоже не гарантирует, если пользователь примет самоподписанный или скомпрометированный сертификат человека по середине.

            Я не против использования https — я против необоснованной дискриминации http.

            А что касается js, то на клиенте вполне можно сделать поддержку любого протокола шифрования поверх http, и в обход протоколов зашитых в браузере.

            • 0
              А что касается js, то на клиенте вполне можно сделать поддержку любого протокола шифрования поверх http, и в обход протоколов зашитых в браузере.

              Только его можно подменить, и пользователь не сможет это заметить, не заглянув в DevTools.
              • 0
                Да, если он попадет на фишинговый сайт.
                При этом организовать фишинговый сайт с https используя тот же Let’s Encrypt, задача не сверх сложная (хотя и сложнее чем просто подмена js), в этом случае юзер тоже не сможет ничего заметить.
                • 0
                  Пользователей худо-бедно научили смотреть в адресную строку. А вот подмену в JS сходу не замечу даже я, подрабатывающий веб-разработкой, лишь потому, что в адресную строку я смотрю и она на виду, а в код страницы смотрю редко и он скрыт.
                  • 0
                    Так злоумышленник и не сможет поменять js если у вас стоит правильная адресная строка в браузере.
                    • 0
                      Может при MitM.
                      • 0
                        Зависит от алгоритма реализованного в js, если это будет открытый/закрытый ключ по типу SSL, то не сможет.
                        • 0
                          Опишите пример алгоритма при котором я не смогу сделать mitm используя криптографию только на js
                          • 0
                            Если вы не знакомы с принципом асимметричного шифрования, то можете почитать подробнее об этом в инете.

                            В кратце выглядит так:
                            Суть асимметричного шифрования заключается в том, что используется пара ключей. Один из них используется в качестве открытого (как правило, он публикуется в самом сертификате владельца), второй ключ называется секретным — он держится в тайне и никогда никому не открывается. Оба ключа работают в паре: один используется для запуска противоположных функций другого ключа. Если открытый ключ используется для того, чтобы зашифровать данные, то расшифровать их можно только секретным ключом и наоборот.

                            1. На сервере храним закрытый ключ.
                            2. К нам подключается клиент (js) — отправляем ему открытый ключ.
                            3. Клиент шифрует параметры авторизации введеные юзером этим открытым ключем и отправляет на сервер (кроме сервера их расшифровать никто не может).
                            4. Сервер проверяет параметры авторизации и если они принимаются — создает временный симметричный ключ сессии, который отправляет клиенту.
                            5. Клиент запоминает этот ключ и далее все секретные данные (запросы) при передаче на сервер шифрует им. На сервере все секретные данные для ответа клиента шифруются этим же временным ключем. В js клиента мы расшифровываем данные и выводим контент.

                            Злоумышленник посередине этого временного симметричного ключа не знает, поэтому подглядеть и изменить данные не может.

                            Все это на стороне клиента легко реализуется в js через обычные XMLHttpRequest, ну и ответная часть понятно должна быть на сервере.
                            • +2
                              Окей. Я захожу на ваш сайт со всем этим, а злоумышленник вместо вашего js с вашим шифрованием отдаёт свой, который читает секретный ключ клиента, и, вместе с взаимодействием, отсылает копию данных ему.
                              • 0
                                Да согласен, в таком виде это равносильно, просто заходу на фишинговый сайт где юзер отдает свои данные злоумышленнику в поддельной форме, а потом уже тот с помощью них может делать что хочет.

                                Поэтому mitm действительно сработает.
                            • 0
                              Собственно sumanai уже написал всё, в этом и есть основная проблема вашего метода
                              • 0
                                Полноценный mitm, требующий от хакера взлома провайдера этим методом не решается. Но защита от сниферов слушающих локальный трафик и собирающих пароли, хэши и «секретный» контент обеспечивается полностью. В отличии от стандартного и digest протоколов зашитых в браузер.

                                • 0
                                  кто мешает вместо снифера устроить MITM без взлома провайдера? например при некорректно настроено dhcp snooping
                                  • 0
                                    При неправильных настройках — да и такое возможно.

                                    Но, как я писал ранее — mitm подвержен и https, Злоумышленник может «вынудить» пользователя принять самоподписанный сертификат, если тот никак не может достучаться до своего любимого сайта без выполнения этого действия. Единственное отличие тут будет в том, что пользователь увидит предупреждение. А если будет использован валидный скомпрометированный сертификат, то разницы вообще не будет.

                                    Тут весь вопрос в соотношении цена / требуемое качество защиты:

                                    https — незаменим при денежных операциях, т.к. здесь защита должна быть максимально возможной.

                                    https — для торрентов, форумов где требуется логин… было бы не плохо, но совсем не обязательно. Тут все зависит от доходности самого форума. Если есть деньги на поддержку https — замечательно. А если доходности нет, то создателю и смысла нет дополнительно увеличивать свои расходы. Есть вариант с установкой самодписного https, но это как раз из-за грозных предупреждений может отпугнуть аудиторию первый раз заходящую из поисковика.

                                    https — для новостных сайтов и каталогов статей вообще не имеет смысла и даже вреден из-за увеличения трафика. Если юзер не хочет, что бы следили за тем куда он лазит, всегда можно использовать Tor.

                                    Таким образом «бесплатный» http — должен применяться там, где нет серьезных опасностей от взлома. При этом, если использовать шифрованное соединение реализованное в js клиента, можно приподнять планку защищенности, оградив себя от риска перехвата паролей и секретных данных (без mitm)

                                    Вывод — http нужен, и блокировать/дискредитировать его в браузерах ни при каких условиях нельзя.

                                    P.S. На самом деле, метод реализации защиты на js клиента, достаточно интересен ввиду своей «бесплатности» и теоретической надежности сравнимой с https. Да, без помощи браузера при mitm хакер может подменить js, но как вариант, это можно исправить используя для подключения плагин, установленный в браузер через его «надежный» репозиторий. Плагин будет выполнять ф-ции проверки сертификата сервера. В таком случае, на секретные страницы сайта можно будет попасть, только используя этот плагин, о чем будет сообщаться при регистрации. Т.е. по сути мы полностью повторяем https, только с более широкими возможностями выбора алгоритмов шифрования, собственных форматов сертификатов и т.д… что на порядок усложнит жизнь злоумышленникам.
                                    • 0
                                      Если есть деньги на поддержку https — замечательно.

                                      Но зачем деньги, когда есть бесплатные сертификаты?
                                      что на порядок усложнит жизнь злоумышленникам

                                      И на два порядка- простым людям, которых на подобном сайте просто не будет. Я уверен, что на таком сайте будет только два посетителя- сам автор и его фейк.
                                      • 0
                                        Но зачем деньги, когда есть бесплатные сертификаты?
                                        — Тут ниже уже было по этому поводу написано: «Первая доза всегда бесплатно». Я склонен с этим мнением согласиться.

                                        И на два порядка- простым людям, которых на подобном сайте просто не будет.
                                        — Возможно и так, а возможно и нет. Тут надо более подробно продумывать детали…
                                        • 0
                                          Я склонен с этим мнением согласиться.

                                          Я тоже несколько сомневаюсь, но пока всё работает. И да, если так сильно нужна защита, можно и купить, это в общем то не так дорого.
                                          Возможно и так, а возможно и нет.

                                          Не возможно, а точно так, как я сказал.
                                          • 0
                                            «Не возможно, а точно так, как я сказал»
                                            — Даже не знаю что на такое ответить :) Обычно так говорят люди, которое плохо подумали над тем что сказали… Ведь даже на вскидку за 10 секунд можно придумать рабочий вариант. Например, при регистрации предложить 2 варианта: обычная регистрация и регистрация с дополнительной защитой от кражи пароля, которая позволяет заходить в ЛК только через плагин. Установка плагина не такая уж сложная операция, в FF есть вариант даже для установки подписанного плагина-расширения прямо с web-страницы. Кто не хочет заморачиваться, выберет 1й вариант, кто захочет большей защиты — выберет второй. Все довольны.

                                            «И да, если так сильно нужна защита, можно и купить, это в общем то не так дорого.»
                                            — В том-то и дело, что для небольших форумов и торреннтов, не так уж сильно она и нужна, чтобы тратить на нее деньги. Тот же rutracker юзает http
                                            • 0
                                              Например, при регистрации предложить 2 варианта

                                              Это не интересно. Тем самым вы признаёте, что плагин- сложный вариант для большинства. И для них же делаете свой сайт не защищённым.
                                              А https не требует со стороны пользователя никаких действий, и по умолчанию для всех обеспечивает достойную защиту.
                                              Тот же rutracker юзает http

                                              Скорее из-за нагрузки. И да, у них доступен https с бесплатным скорее всего сертификатом от StartCom.
                                              • 0
                                                :) И вот что бывает, когда юзаешь бесплатные сертификаты, только что попробовал зайти на rutracker

                                                Итог:

                                                Владелец rutracker.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Tor Browser не соединился с этим веб-сайтом.

                                                Подробнее…

                                                rutracker.ru uses an invalid security certificate.

                                                The certificate is not trusted because the issuer certificate is unknown.
                                                The server might not be sending the appropriate intermediate certificates.
                                                An additional root certificate may need to be imported.

                                                Error code: SEC_ERROR_UNKNOWN_ISSUER

                                                Хотя через оперу по https://rutracker.ru соединяется, но пишет что соединение не защищено.

                                                x-----x
                                                «Тем самым вы признаёте, что плагин- сложный вариант для большинства.»
                                                — Конечно, это сложнее чем обычная регистрация так как длиннее на 1 шаг, но для тех кто хочет большую безопасность — он совсем не сложный.

                                                «И для них же делаете свой сайт не защищённым»
                                                — Если пользователи не хотят, он будет для них не защищенный, если хотят — то могут потратить чуть больше времени на регистрацию.

                                                Поймите, я просто рассматриваю вариант, как дать максимальную защититу пользователям, если им это требуется, без затрат на https. Если бы https был бесплатен (хостинг/сертификат) то и смысла заморачиваться бы не было.
                                                • 0
                                                  Это когда не бесплатные сертификаты, а когда у админа не стоит задача поддержки HTTPS.

                                                  Плагины нико ради сайта ставить не будет — это полный бред. Особенно на мобильных устройствах.
                                                • +1
                                                  https://rutracker.ru

                                                  Вы там что открываете то? Рутрекер сто лет на org, на ru какая-то левая помойка.
                                                  Если бы https был бесплатен (хостинг/сертификат) то и смысла заморачиваться бы не было.

                                                  Бесплатные хостинги шлак безотносительно поддержки https, а на платных можно выбрать с поддержкой LetsEncrypt.
                                                  • –1
                                                    Да, оказывается и ru есть, но для меня разницы нет, помойка и то и то. Зато прям хорошо совпало, что на ru еще и проблема с https сертификатом, похоже либо просроченный бесплатный, либо самоподписанный.

                                                    «Бесплатные хостинги шлак безотносительно поддержки https, а на платных можно выбрать с поддержкой LetsEncrypt. „
                                                    — Для SSL в любом случае тарифы дороже чем без него.
                                                    .

                                                    • 0
                                                      помойка и то и то

                                                      Вы сейчас назвали одну из крупнейших мировых библиотек, содержащую 3.228 PB каталогизированной информации, помойкой?
                                                      Для SSL в любом случае тарифы дороже чем без него.

                                                      Нет не всегда. Многие хостеры просто взяли и включили поддержку LetsEncrypt на всех тарифах.
                                    • 0
                                      такой js просто надо отдавать по https
                                      • 0
                                        Так фишка в том, чтобы не использовать https встроенный в браузер, требующий платных сертификатов либо пугающий юзеров страшными предупреждениями. А использовать свою реализацию на js, которая уже будет знать — что сертификат этого сайта надежный.
                                        • 0
                                          выше уже обсудили, что реализацией на JS вы не сможете доказать, что вы это вы, а по поводу «Пользователь кликнет на согласен и примет поддерльный сертификат» — не кликнет, Safari в iOS 10 многие не валидные сертификаты запрещает принимать — просто ошибка с доступом без вариантов обхода.
                                          • 0
                                            Safari в iOS 10 многие не валидные сертификаты запрещает принимать — просто ошибка с доступом без вариантов обхода.

                                            Это можно сделать на любом современном браузере силами вебмастера, добавив заголовок HTTP Strict-Transport-Security.
                                            • 0
                                              Если это HSTS — то странно почему при доступе к Google был вариант «продолжить подключение с плохим сертификатом»
                                              • 0
                                                Может особенность мобильного браузера? Хотя Google вообще жёстко прописан в исходниках как минимум хрома. Про вебкит правда не уверен.
                                          • 0
                                            Да, а чуть ниже я предложил вариант с js+плагином, который решает эти проблемы, т.к. без плагина юзер в ЛК не зайдет. Плагин знает сертификат сервера, поэтому на mitm — выдаст сообщение, что юзера перенаправили на фальшивый сайт. И все это — беспланто, без необходимости покупки сертификатов и хостинга https. Если юзер выберет вариант регистрации через плагин — то он будет всегда защищен не хуже чем по https. Единственное оставшееся слабое звено — это сама регистрация, но это тоже обходится, если логин и пароль юзер будет вводить, только после установки плагина.
                                            • 0
                                              Плагины нико ради сайта ставить не будет — это полный бред. Особенно на мобильных устройствах.
                                              • 0
                                                Это ваше мнение и оно имеет право на существование, но не судите всех людей по себе.
                                                • 0
                                                  Да причем тут моё мнение, вы как плагин в Safari на iOS поставите?
                                                  • 0
                                                    А причем тут конкретно iOS? Вы говорите, что «Плагины никто ради сайта ставить не будет». Я же отвечаю — говорите конкретно за себя, не надо делать обобщения. А для Ios можно при желании и приложение написать.
                                              • 0
                                                Ну как сказать, есть один сайт, на который так просто не зайти. Нужно либо ставить плагин, либо вручную редактировать куки (а для редактирования кук тоже используется плагин). В противном случае вы увидите только грустного бамбукового мишку. Так что и плагин поставят, и сертификат примут. Вопрос лишь в мотивации.
                                              • 0
                                                Плагины нико ради сайта ставить не будет — это полный бред.


                                                Ява у меня стояла ради одного лишь сайта — банка
                                                Силверлайт стоял ради одного лишь сайта — библиотеки
            • 0
              Я тоже против необоснованной дискриминации.

              Многие браузеры запрещают принимать отозванные сертификаты без возможности принять их
      • 0
        > например тут — тут ничего ценного нет, обычный развлекательный сайт

        Не соглашусь!

        Возьмем компанию Microsoft, у которой тут есть корпоративный блог.
        Сотрудник логинится, кулхацкер перехватывает его пароль, публикует от имени МС какую-нибудь чушь, компания несет убытки. Понятно что эта схема слишком грубая но в целом тут очень даже есть что защищать.

        Соглашусь с автором о том, что HTTPS нужен если на сайте есть какие-либо формы
    • +2
      Если очень кратко:
      а) очень смахивает на «первая доза — бесплатно»… закончатся бесплатные центры выдачи сертификатов кому попало и все — «несите ваши денежки»
      б) «кто попало» — в погоне за дешевизной (и предложениями) уровень доверия начнет падать

      p/s/ Кстати то что делает сейчас гугл в плане дискриминации http-сайтов привилегий для https очень напоминает внедрение ислама в старые времена: захватили, обложили 50% данью, потом «льгота» — принимаешь = ставка падает до 10%
    • +4
      Во-первых я против любой принудиловки. Это путь какого-то совка.
      Во-вторых, корневые центры сертификации это потенциальная точка отказа.
      С одной стороны, пока просто появляется надпись, что сайт небезопасен, то вроде бы ничего страшного. Но остановится ли Google на этом? Что если через пару лет такие сайты вообще перестанут открываться? Вот скажут власти отдельно взятой страны: «Отзовите сертификат гражданина Н.» — и перестанет его сайт открываться у большинства пользователей. Несколько лет назад, я бы на этом месте остановился, обозвал бы себя параноиком, и посмеялся. Но сегодня мне как-то уже не смешно.
      Причем, хочу заметить, что цифровая подпись может быть использована как инструмент цензуры, только при её принудительном повсеместном внедрении. Так что, если многоуважаемый Google прекратит свою «благую миссию по принуждению к безопасности», проблема как бы отпадёт сама собой.
      Именно поэтому я проголосовал против перехода на https. Особо подчёркиваю, что я против именно перехода, а не против самого https. Я считаю что на https не надо «переходить». Его надо просто использовать там, где это требуется, ни больше ни меньше.
      • 0

        Вот я тоже за протокол https, но категорично против "принудиловки" (поэтому воздержался)
        Хозяева должны сами выбирать.
        Одно дело — повышать в выдаче ранжирования https сайты, а другое дело прямо в браузере их клеймить как "не надежные"!

    • +1
      Если какой-то сайт в принципе не обрабатывает конфиденциальной информации и не требует никаких логинов-паролей (а то и вообще ввода данных), зачем ему https? Вот делать нечего больше админу, кроме как периодически перевыпускать сертификат, а то ещё и платить за это.
      • 0
        автоматизируется же всё — висит скрипт, который раз в два месяца запрашивает и устанавливает новый сертификат
        • 0
          Так а присматривать же за работой хозяйства тоже надо. И, если УЦ отвалится, переписывать эту автоматизацию?
          И да. Кто скажет, что в принципиально ненужной в конкретном месте OpenSSL совсем нет дыр, через которые специально сформированным https-запросом (при использовании https, конечно) можно ломануть хостинг или сервер?
          • 0
            если УЦ отвалится, будут проблемы посерьёзней исправления скриптов

            сертификат бесплатный выдаётся на 90 дней, если скрипт его обновляет каждые два месяца и в случае какого-то облома пишет вам письмо с уведомлением о проблеме, у вас в запасе целый месяц, чтобы решить эту проблему
    • +1
      HTTPS нафиг не нужен на сайтах типа скачать обои, посмотреть анимэ и прочии сайты предоставляющие контент в одностороннем порядке. Для всех сайтов домашних страничек эпохи Web 1.0 https не нужен.
    • –1
      Доводы? Их есть цельный воз: от кого, скажите мне на милость, кроме хомячков, не читавших о компьютерном взломе и его методах ничего, кроме случайно в туалете у друзей-программистов попавшегося в руки журнала «Хакер» от '95 года может защитить https?
    • 0
      У меня доменное имя кириллическое, подключение к сайту идёт через DynDNS провайдера к серверу под Windows 7 Домашняя расширенная. Как ни пытался, я не смог установить сертификат от Let's Encrypt и получить заветный зелёный значок.
      • 0
        У вас сразу 2 проблемы:
        1) В качестве серверной системы вы зачем-то используете windows
        2) домен у вас кирилический
        Старайтесь избегать такого.

        А если серьёзно — выше писали, что летсинкрупт в сейчас фиксит (или уже пофиксил) поддержку кирилический доменов. Насчет windows ничего сказать не могу, это действительно очень странно, держать веб-сервер на ней.
        • 0
          Может он на sharepoint'е написан.
        • 0
          Кириллический домен это ладно, punycode везде работает. Самая главная проблема как раз в DynDNS. Сертификат установить кое-как удалось, но с ним браузер считает соединение небезопасным т.к. домен сертификата (обычный в зоне.рф) и домен через который устанавливается подключение (DynDNS-поддомен моего провайдера) — это разные домены.

          Винду использую т.к. изначально на сервере была трансляция онлайн-телеканала, а подходящего для этого софта под Линукс я не нашёл… да и сама винда несравнимо привычнее, без малого 15 лет опыта в винде и лишь теоретические знания по Линуксу.
          • +1
            1. Кто мешает подключаться к нормальному домену или получить сертификат на динамический?
            2. «Опыт в винде» это я так понимаю, что вы под ней играли и видели, как родители ей пользуются? Извините, но сервер на винде это сразу признак того, что человек далек от IT, как я от ядерной физики(за исключением маргинальных случаев, типа нужды в AD или еще какой дряни от MS).
            • 0
              Извините, но сервер на винде это сразу признак того, что человек далек от IT

              Так и запишем- админы StackOverflow далеки от IT, раз держат 560 млн показов в месяц на 25 серверах по состоянию на 2014 год.
              Это я к тому, что всё зависит от прямоты рук настраивающих, а не от наименования ОС, установленной на сервере.
            • 0
              При использовании сертификата на домен DynDNS обратная ситуация: соединение считается небезопасным из-за того что сертификат выдан на другой домен (не на тот который отображается в адресной строке).

              По поводу винды… я изучал системные файлы и функционирование Windows Millenium ещё в детстве, знаю уязвимые места Windows XP т.к. на своём опыте видел проблемы связанные с этим, перешёл на Windows 7 ещё когда она была в бета-версии, теперь у меня на основном компе Windows 10 на канале обновлений Windows Insider Preview.

              В 16 лет начал подрабатывать эникейщиком, в данный момент имею репутацию лучшего компьютерщика среди моих клиентов, устраняю все программные и аппаратные проблемы пользователей, понимаю принципы работы многих видов программного и аппаратного обеспечения, учусь на 4 курсе вуза по специальности «Информатика и вычислительная техника».
              • +1
                > имею репутацию лучшего компьютерщика

                Вот последнее слово таки и выдает в вас мамкиного какира. Вы не специалист и им не станете, раз именуете себя «компьютерщиком» и держите «сервер» на ОС для запуска игр.
                • 0
                  У вас очень стереотипное мышление, айтишникам такое не свойственно, не стройте из себя айтишника, вам это не идёт. :D

                  И да, именно запуск игровых серверов и был одной из основных причин выбора Windows, в этом вы частично правы. А ещё возможность включения в домашнюю группу. Причин множество.
                • 0
                  Дальнейшее обсуждение прошу вести по существу, не забывайте что топик про HTTPS а не про целесообразность использования Windows на сервере в целом, не создавайте флуд и не провоцируйте на это других.
                  • +1
                    Простите, а вы кто такое, что бы указывать мне что мне писать в комментариях? Вы — владелец ресурса или его представитель? Нет? Тогда ваше мнение никому не интересно.
                    • +1
                      Просто предупреждение рекомендательного характера, т.к. за флуд обычно бан полагается.
                      • –1
                        Кто вы такой, что бы выдавать предупреждения?
                        Замаскированный Денискин? Или кто-то из его мальчиков? Нет вроде, вы простой мамкин какир обидившейся на слова правды.
                        Так вот запомните: ваше мнение никому не интересно. Помалкивайте.

                        При чем учитывая дату регистрацию и дату расчехления вы скорее всего еще и чужой аккаунт купили, мало шансов, что молчало 5 лет, а тут начало комментить какой оно крутой какир и угрожать людям.
                        • +1
                          Во-первых на правду не обижаются. Во-вторых истинные Брони не обижаются вообще ни на что, т.к. понимают право каждого на субъективное мнение. Если правда — используем для самосовершенствования. Неправда — считаем мнение ошибочным (как в вашем случае) и игнорируем.

                          По поводу даты регистрации аккаунта ваше мнение опять-таки субъективно и не соответствует действительности. Просто в те времена комментировать могли только обладатели инвайта, а я же зарегистрировался сам по себе. Ныне пользователи с аккаунтом read-only могут комментировать записи не старее трёх дней при условии если коммент будет одобрен модераторами — после этого аккаунт получает статус read&comment. Так вот, этот коммент и оказался первым одобренным с моего аккаунта.

                          И обратите внимание: ни одно ваше высказывание так и не оказалось истинным. Такое свойственно либо троллям, либо тем у кого проблемы с мышлением (что зачастую кстати совпадает). Попробуйте другие способы самореализации, есть занятия гораздо более интересные и главное полезные чем троллинг. =)
                        • –1
                          А судя по вашей дате регистрации вы вообще на хабре только-только, Да и статус отхабренный тоже, надо полагать, не спроста.
                          Прекратите оскорбления, здесь так не принято.
                          Ваше не умение настраивать ОС под конкретные задачи не даёт вам права на такие действия
                          • –2
                            Это вы с 0 публикаций и отрицательной кармой будете мне рассказывать что тут принято? А на хабре я с 2006 года, когда вы еще сперматозоидом были, неуважаемый.
  • +5
    На самом деле не самая лучшая идея. Слово «надежный» может ввести простого пользователя в заблуждение, который подумает, что это еще одна гарантия того, что сайт не мошеннический. Да и сами мошенники могут наличие https, точнее этой надписи, представлять пользователям как доказательство их надежности.

    Пользователи должны ясно понимать, что это касается не самого сайта, а только соединения с сайтом.
    • +1
      Да и сами мошенники могут наличие https, точнее этой надписи, представлять пользователям как доказательство их надежности.
      Уже было на хабре, мошенники используют бесплатный letsencrypt, и делают «надежные» сайты.
    • +1
      Вы так говорите, как будто целевая аудитория мошенников способна понять разницу между «сайтом» и «соединением»!
    • 0
      Да, от фишинговых сайтов с сертификатами никак не спасает, а даже наоборот, когда идёшь на sperbank.ru, а там тебе зелёным светится Надёжный.
  • 0
    поправьте заголовок, там как минимум пропущена «не»
    • +1
      Там всё верно, перечитайте
      • 0
        хм… я вижу что в заголовке написано что httpS помечается как ненадёжный( в то время как картинка и хром пишет надёжный)… но да про пропущенную не я точно ошибся вероятно хотел написать лишняя…
        • 0
          Там там итоговый вариант представлен =)
  • +1
    Однозначно,
    для всех таких «слишком умных» браузеров, сообщение — «Ваш браузер устарел т.к. не поддерживает протокол HTTP, используйте современный браузер, например… ваша ссылка...»

    Ну что это за бред, одно дело показать замочек для https соединения, а совсем другое — запрет доступа к какому-нибудь каталогу статей, да еще и с ярлыком «ненадежный». Хромом не пользуюсь и видимо никогда не буду, а с FF придется похоже тоже переходить, т.к. и Mozilla ратует за перевод инета в https.
  • 0
    Особо порадует слово «Надежный» на какой-нибудь джумле бородатой версии.
  • +2
    У меня группа маленьких тематических сайтов с полезным контентом, в сумме которые дают небольшой доход, но если на каждый прикручивать сертификат — все это занятие становится нерентабельным и требует много времени на рутину. Лично мне непонятно, почему я должен платить за возможность шифровать трафик или за то, чтобы подтвердили, что мой домен настоящий (регистрации домена для этого уже недостаточно?). Для моих сайтов это ненужно, но если я не этого не сделаю, мои сайты опустятся в поиске, несмотря на то, что содержат качественный контент. Поэтому я это вижу как «хочешь оставаться в топе — плати» — чистой воды развод и возможность собрать круглую сумму с веб-мастеров, которая во много раз превосходит плату за аренду доменов.
    • 0
      Откройте для себя http://letsencrypt.org
      • +1
        А для подписи бинарников? Раньше поляки выдавали для опен-сорс проектов, теперь и там платно (хоть и со скидкой).
      • 0
        Не имея рут-доступа, если я правильно понимаю, я не могу использовать этот ресурс.
        If you don't have these privileges on your webserver or you're not familiar with command line server administration, Certbot probably isn't the best option to enable HTTPS on your site.

        Хостинг ТаймВеб, которым я пользуюсь, жаждет получать 2к руб в год за эту услугу.
        Дороговато, как для HomePage
        • 0
          значит хостинг не развивается — попробуйте свой сервер (digital ocean) или reg.ru они от 150р в месяц сертификат делают (летсинкриптом как я догадываюсь)
          • 0
            Нннну я б не стал устверждать, что он не развивается. Просто у каждого своя модель получения бабок и расстановки приоритетов.
            Понимаете… сам хостинг в рег-ру в 2 раза дороже таймвеба. Т.е. в сумме выходит примерно тоже, на тоже.
            Я плачу сейчас 99р/мес за 1 сайт и 5гб.
            Так что весь этот безопасный интернет конечно интересный и полезный. Но моя доля в нем слишком мала, чтоб парится с ССЛ)
            Так что искажу слова высказавшегося ниже:

            Считаю ли я правильным все переводить на HTTPS? — Нет, считаю частично.
            Перевожу ли я свои сайта на HTTPS? — Нет, не перевожу, т.к. я пока не готов увеличить свои затраты на сайт в три раза.
        • 0
          > Не имея рут-доступа, если я правильно понимаю, я не могу использовать этот ресурс

          Можете. Получайте сертификат при помощи https://github.com/hlandau/acme оно прекрасно работает из коробки без рута для получения сертификата.
          • 0
            Получить то можно, только не все хостинги в принципе позволяют установить свой сертификат на дешёвых тарифах, некоторые так вообще не слышали SNI или ленятся его настраивать, и поэтому требуют отдельный IPшник.
            • 0
              > некоторые так вообще не слышали SNI или ленятся его настраивать

              От них надо бежать.
              1. SNI стандарт уже больше 10 лет
              2. Его нет нужды настраивать, достаточно иметь веб-сервер релиз которого был в последние лет 10.
      • 0
        Его можно поставить на shared-хостинге?
        • 0
          Мой коммент выше, вродь, отвечает на этот вопрос )

          Нет рута — нет серта
          • 0
            приличные хостинги поддерживают, скорее всего, в ближайшее время все введут поддержку чтобы конкурировать
            • 0
              Для старых браузеров нужно также, чтобы каждый SSL-сертификат работал на своём IP-адресе; с виртуальными хостами на них SSL работать не будет.
              • 0
                К слову эти старые браузеры сейчас днём с огнём не сыскать, разве что IE8 на XP, или там старые андроиды, но они уходят в небытие.
                • 0
                  Старых андроидов на дешёвых старых телефонах ещё достаточно. И не факт, что ненадолго: не все покупатели привыкли менять телефоны как перчатки, а производители — выпускать аппараты на пару-тройку лет.
                  • 0
                    А зачем их вообще брать в расчет? вангую, что их менее 5% от посетителей сайта
                  • +1
                    Такие пользователи и в интернет редко заходят, дорого же.
  • +1

    Однозначно HTTPS нужен для любого коммерческого сайта т.к. с HTTPS на HTTP не передается referer и отслеживать источники трафика уже не выйдет.

  • +6
    Голосовалка не вполне однозначная. Что значит «поддерживаете ли вы переход»?

    Считаю ли я правильным все переводить на HTTPS? — Нет, не считаю.
    Перевожу ли я свои сайта на HTTPS? — Да, перевожу
  • +1
    Главный минус https, это не работоспособность сжатия трафика в мобильных браузерах.
    • +1
      gzip перестаёт работать при https соединении?
      • 0
        Гугловый прокси перестаёт и блокируется куча сайтов из списков РКН.
      • 0
        Нет, но становится уязвим к атаке BREACH.
        • 0
          а при чём тут не работоспособность сжатия трафика в мобильных браузерах?
      • 0
        Шифрованный трафик просто существенно хуже сжимается. Чем больше энтропия, тем хуже сжатие. А шифрование как раз энтропию увеличивает. Так что дело не в gzip. Вы можете попытаться сжать шифрованный трафик, но он сожмется, скажем, не на 30%, а на 3%. Проблема фундаментальная.
        • 0
          Внезапно! Все сначала сжимают, а потом шифруют. Никто не делает наоборот.
          • 0
            Но ведь речь шла о сжатии трафика в мобильных браузерах. А там это реализовано через прокси. Чтобы сжимать до шифрования, сжатие должен осуществлять сам сайт. Тут стоит ещё вспомнить про одну неприятную уязвимость, связанную со сжатием.
    • +2
      Более того, https ещё и нельзя закэшировать на прокси-сервере. Раньше как было: ставим squid, врубаем кэширование — и через два дня трафик падает в 10 раз, т.к. практически всё нужное уже в кэше. И даже когда внешняя сеть отваливалась, это не сразу замечали, т.к. все часто используемые странички по-прежнему грузились.
      Теперь же, когда все повадились пихать https куда только можно, кэширующие прокси становятся полностью бесполезными.
      • +1
        Для личного использования никто не мешает устроить самому себе MITM
  • 0
    типичная проблема совместимости с легаси. Пока не все браузеры умеют http2 — надо держать сайты на http1. Сайты не все умеют и не стремятся, тк и так пока работает во всех браузерах. Юзерам по барабану, пока работает.
    Или надо всех допинать или так и останется и то и то — т.е. больше работы для всех.
    Хорошо бы w3c или IANA или еще кто объявили, что http1 через 30 лет вообще выпилим. Тогда бы хотя бы теоритически была причина шевелиться. Для перехода ip-ipv6 даже диапазон кончился, и то пока нет того ipv6 нигде.
    • 0
      аналогия не очень, что бы сделать v6 нужно много менять дорогостоящего оборудования + клиентское, на мой взгляд выпиливать ничего не надо, путь запретов он плохой, но всячески дать пользователю информацию, что сайт устарел — надо.
    • 0
      Хорошо бы w3c или IANA или еще кто объявили, что http1 через 30 лет вообще выпилим. Тогда бы хотя бы теоритически была причина шевелиться.

      Через 29 лет и 11 месяцев станет ясно, что никто так ничего и не сделал. А так, как сломать весь Интернет никто не решится, то выпил отложат ещё лет на 10. И вот тогда-то точно… всё повторится вновь.
      С айпишниками-то ограничение чисто физическое, так что рано или поздно лёд тронется. А вот с http такой проблемы нет. Он работает, и нет никаких особых причин от него отказываться. http2 получился неоднозначным, он не даёт выигрыша в 2-3 раза. А многие и вовсе критикуют его. Так что перспектива сомнительная. По моим ощущениям это ещё один xhtml, к переходу на который все вроде бы готовились несколько лет, но на деле он никому не был нужен.
      • 0
        Ну в 3 раза нет выигрыша, а в 2 есть. По части разработки, поддержки, тестирования кода под 2 версии протокола. Некоторые оптимизации, которые для http1 были нужны, для http2 уже не нужны и даже вредны, значит придется иметь 2 пути в логике, которые в этом плане себя вести по-разному будут, следить за этим всем, тюнить отдельно, мерить отдельно и т.д.
  • –1
    Шифрование не панацея, но все же помогает сохранить персональную информацию! Считаю что каждый сайт, где имеется личный кабинет, должен иметь шифрование!

    Из минусов:
    1) SSL Не безопасен! Мало прикрутить сертификат, нужно еще отключить ssl1, 2, 3, которые уже давно не безопасны! Многие прикручивают сертификат и думают — всё! теперь я в шоколаде. и забывают про уязвимости в ssl! Не надо так!
    2) Скорость загрузки сайтов в мелких городах с беспроводным интернетом в разы увеличивается! Особенно касается медиаконтента, например фото.

    P.s. да сейчас есть сервисы предоставляющие бесплатный сертификат пусть даже на 90 дней…
    Но что будет когда бесплатное закончится? Представляю себе что скоро в сертификат будут вшивать код для рекламы на вашем сайте!) Не нравится? платите за сертификат без рекламы!)))) Но это так, пессимистичные мысли.
    • –1
      1. старая криптография медленно, но выпиливается из браузеров

      Но что будет когда бесплатное закончится? Представляю себе что скоро в сертификат будут вшивать код для рекламы на вашем сайте!) Не нравится? платите за сертификат без рекламы!)))) Но это так, пессимистичные мысли.

      Техническая реализация?
      • 0
        Баннер с рефом на сайт провайдера сертификата. Пока идут показы — сертификат активен. Каждый день работы сертификата = n показов и m кликов (:
        • 0
          Пока идут показы — сертификат активен.

          Плюс одна задача в кроне с cURL.
  • 0
    Я честно прочитал все комментарии (ну ладно, часть — по диагонали), но не до конца понимаю, в чём именно фундаментальная проблема.
    Если предположить, что в обозримом будущем браузер не будет препятствовать загрузке страниц по http, а будет всего лишь показывать какой-то значок рядом с адресом — почему это вообще должно кого-то всерьез волновать?
    Пусть аналогия не 100%-ая, но никого же никогда не останавливала от курения надпись «Минздрав предупреждает...», равно как американцам, скрепя сердце, приходится покупать товары с предупреждением Proposition 65 на них? Что изменится, если при заходе на любимый бложик я вдруг увижу, что мое соединение браузер посчитал небезопасным?

    Но вообще, конечно, мне всё меньше и меньше нравится траектория развития Хрома. Сначала всем насильно впихнули material design в адресную строку, от которого, по-моему, сломались глаза у всех обладателей не очень больших экранов, теперь появляются какие-то дополнительные элементы, которые пользователю не дозволяется отключить по своему желанию. Нерадостно как-то…
    • 0