Обещания Google начали сбываться — теперь сайты https помечаются как надёжные


    (Разница между HTTPS и HTTP к которой идет Google)

    Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.

    Сейчас начался первый этап — пометка сайтов с https как безопасные.

    Что там будет дальше?

    Следующий этап стимулирования перехода на https намечен на конец января — в Google Chrome 56 версии. Тут уже будет однозначно сообщаться, что сайт не безопасен.


    И в финале нас ждет красивая маркировка староверов, которые всё еще не перешли на HTTPS


    image

    Но есть и одна тонкость, которая позволит сайту не бежать на HTTPS — если у сайта нет форм ввода, то последний сценарий не наступит.

    Точнее говоря наступит конечно же, но пока не известно когда.
    Поддерживаете ли вы переход на https?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 323
    • +14
      Главное чтобы letsencrypt не прикрыли и не сделали платным.
      • +4
        Зачем? Я скорее поверю, что гугл сделает свой центр сертификации (странно вообще как он успустил это) это же еще один способ сбора информации
        • +8
          Просто этот центр остался единственным, кто выдаёт бесплатные сертификаты. Китайскому WoSign и теперь уже китайскому StartSSL доверия нет, а гонять трафик через Cloundfare не для всех приемлемо. Если сейчас прикроют letsencrypt, я не знаю, где мне брать сертификаты для моих сайтов. Скорее всего я просто обратно уйду на http, и повешу плашку, что браузер Crome вконец обнаглел.
          • +2
            Ну так я и говорю, если что-то с летсинкруптом случится, велика вероятность появления замены от гугл, хотя я уверен, что с ним ничего не будет — там жертвователи серьёзные, c хромом в первых рядах
            • 0
              а в чем проблема покупать сертификаты при закрытии letsencrypt.
              я серьезно и без подколов. прост на них сейчас совсем не такие цены, как были раньше.
              • +14
                Когда это хомяк/бложик/форум для двух с половиной энтузиастов, везде пытаешься сэкономить. Реклама там ни сертификат, ни хостинг, ни доменное имя не отобьет никогда, её даже вешать смысла нет.
                • –4
                  с одной стороны, я понимаю такие доводы.
                  с другой стороны, я не могу понять какая разница какая будет надпись у «хомяк/бложик/форум для двух с половиной энтузиастов» в браузере у этих самых энтузиаствов.

                  мне кажется, что ту скорее психологический момент, чем реально вопрос денег/целесообразности.
                  • 0
                    А там гугл грозился (вместе с мозилой) в конечном итоге не передавать данные форм, если соединение не https
                    • –1
                      Пойдет лесом значит. Условия он еще диктовать собрался, поганец.
                      • +5
                        И останется IE, который придётся рекомендовать пользователям.
                    • +2
                      Третий энтузиаст даже не найдет этот форум, потому что сверху будет другая выдача — с сертификатами.
                      • +3
                        Видимо, у третьего энтузиаста слишком мало энтузиазма.
                    • 0
                      Смотря что, для кого, о чём и зачем вешать.
                  • 0
                    • +2
                      Free SSL certificates are valid for 90 days and are limited to one issuance per domain.
                    • 0
                      Cloudflare помимо всяких плюшек в бесплатном плане подключает и паблик сертфикат, чего достаточно для получения заветной галочки «Secure», и http/2.
                    • 0
                      А что вы скажете про это:
                      image
                      О перспективах встраивания российской криптографии в браузеры Chrome от Google? Речь идет, естественно, о ГОСТ-ом https.
                      • 0
                        оно должно помереть как и всё гост-шифрование
                        • 0
                          Почему?
                          • 0
                            Следуя логике топикстартера, по моему личному мнению, все наше должно умереть, от электроники до стандартов, все чужое (читай гугловское) это мана небесная, продуманная для улучшения жизни.
                            • 0
                              Ну почему же, есть неплохие вещи — глонасс тот же, я выступая за леквидацию всего того, что хуже чем общемировое. Не надо изобретать велосипеды, а если госудрство считает, что её велосипед лучше — вперед в международные рабочие группы доказывать это.

                              А так, изобретаем велосипеды, которые еще и хуже работают.
                              • +1
                                Тогда давайте ликвидируем половину мировых фирм, включая VIA, Matrox, половину подразделений Microsoft, мейл, прости господи, ру, гугла и т.п.?
                                Когда оно выстрелит и в чем — не предсказать. Сегодня мы в аутсайдерах по многим областям, лишь по тому что мы все еще учимся, но что будет далее? Лет десять назад слово «Китайские товары» вызывало улыбку, а сегодня у них своя космическая станция. Им тоже, лет десять назад, надо было закрыть их проекты пилотируемых полетов, которые были хуже чем общемировые?

                                Я за альтернативу.
                                • 0
                                  Я еще раз повторяю, я за совместимую альтарнативу.

                                  т.е
                                  самолёты свои — хорошо, они работают с мждународными стандартами (связь, аэропорты)
                                  ГОСТ шифрование и CPU эльбрус — плохо, очень плохо — оно не совместимо с нынешними стандартами. Я не против если сделают CPU «местого разлива» с архитектурой ARM/x64 но не надо пилить свою а потом эмулировать на ней что-то привычное…
                                  • +1
                                    Архитектура у Эльбруса не своя, а вполне стандартная, на которой существуют процессоры у других компаний. Если не брать побочку в виде х86 эмуляции — вполне жизнеспособная _для_определенных_ целей_. Или вы думаете что расчет баллистики или еще какие военные цели будут идти под виндой, как во французской армии?

                                    Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.
                                    • 0
                                      Архитектура у Эльбруса не своя, а вполне стандартная

                                      Ошибаетесь, у него своя архитектура.
                                      вполне жизнеспособная _для_определенных_ целей_

                                      Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                                      Поймите, в мире не бывает совместимости. Даже в таком небольшом мире как разъем для питания есть 1000000 и 1 стандарт, который сложился исторически, его трудно перебить и невозможно заставить всех быть одинаковыми. Приходится поддерживать все что возможно, если тебе приходится с этим связываться по работе.

                                      У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                                      А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!
                                      • +1
                                        >Ошибаетесь, у него своя архитектура.

                                        Перепутал, признаю, спутал с Байкалом.

                                        >Меня не интересует использование в военной промышленности, я о потребительском сегменте.

                                        Вроде как вам никто и не навязывает использование в обычной жизни ГОСТовские алгоритмы и наши компьютеры. Лично я с ними связываюсь только когда надо сдавать финансовые или кадровые отчетности.

                                        >У вас смешались кони, люди. Нельзя использовать разные стандарты там, нде предполагается совместное взаимодействие. Тот же интернет.

                                        Что вы подразумеваете под «совместное взаимодействие»? Доставка электроэнергии к потребителю вроде как взаимодействие. Это везде так. Начиная от стандартов сжатия видео, заканчивая поддержкой html тегов в браузерах есть разночтения. Это «конкурирующие стандарты».

                                        >А так — давайте изобретём свой TCP/IP и свою криптографию, еще можно и BGP свой сделать, а то чего это мы пользуемся не своим а? ну и DNS, тоже свой!

                                        Надо сказать изобретателям современных ЯП что они дураки, следуя вашей логике. Зачем изобретали всякие С# и иже с ним, ведь был прекрасный С++. Да и изобретателям HTML5, ведь был-же удобный адоуби флеш.

                                        Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут. Это здоровая конкуренция. К тому-же ногда надо отбросить старое, чтоб родить действительно новое, без груза совместимости.
                                        • 0
                                          Есть рынок. Что-то изобрели — вышли на рынок — сдохли или далее живут.

                                          Вот это вы верно сказали, но государство будет активно пытатся продвинуть свой дохлый стандарт внутри страны создавая трудности всем. Я именно и призываю, что если что-то хуже и не взлетело — не надо это форсить, есть куча открытых альтарнатив которые живы.
                                          • 0
                                            Любое государство будет этим заниматься. Любая своя разработка будет выше для дотаций, чем чужое. В финляндии так, в США так, в РФ так.
                                            • 0
                                              что-то я не вижу бреда насчет «сделаем свой интернет» приличных странах
                                              • 0
                                                Не передергивайте. «свой интернет» не пилит ни одна страна, даже наша. Ограничивать доступ — вполне нормальная практика.
                                                • –1
                                                  Вы наверно пропустили года 2 последних и совершенно не в курсе о дублировании инфраструктуры внутри страны
                                                  • +3
                                                    Я наверное проспал десять тысяч лет, но не могу понять что плохого в дублировании инфраструктуры внутри страны и почему это вызывает у вас негативные мысли? Или вы считаете что контроль за всея интернетом, все корневые серверы, все комиссии и надзорные органы должен быть всецело у США?
                                                    Тот-же Китай успешно проводит такую политику. В ЕС тоже есть дублирование инфраструктуры, на всякий случай.
                                                    • 0
                                                      Так они не просто говорят про дублирование того, что уже давно продублировано. они говорят об этом в контексте чебурашки мифического отключения страны от интернета. Притом что после их действий отключить страну от интернета станет легче лёгкого. Только не снаружи, а изнутри.
                                                      На Китай равняться не стоит, да и на ЕС с их маразмом с куками тоже. Вообще государству не стоило лезть в интернет, он в России отлично был развит без его вмешательства.
                                                      • 0
                                                        Друг мой, я могу очень много говорить про «наш путь без оглядки на запад и восток», мечтать о том что roi.ru будет влиять на госдуму, но давайте примем как данность уже существующее положение вещей — есть США, Европа и Китай. РФ догоняет, пытаясь брать «бест практис» от весьма различных по менталитету сторон света, коверкая это все в мозгу, во все еще неокрепших от свободы головах.
                                                      • 0
                                                        плохо тут то что «они» уже вежливо ходят по точкам обмена трафиком и просят трафик гонять через «наши» узлы мол а вдруг враги отключат свои циски, а наши чёрные ящички никто не отключит(ну кроме нас конечно, да и мы вроде как хотим смотреть куда пакеты текут)… надеюсь законодательно это не протащат…
                                                        • 0
                                                          вполне могут протащить, пробегал документ несколько лет назад на эту тему
                                • 0
                                  Потому, что данный тип шифрования больше нигде не используется, предлагаете рунет на него перевести? бред же, я вот хочу, что бы на мой сайт мог зайти любой человек из любой страны, так же и я хочу заходить на любой сайт.

                                  Я уже выше написал, если этот стандарт хорош — вперед на международную требуну (рабочую группу) доказывать, что он — лучше и требовать его включить. А если он не лучше — то зачем?
                                  • 0
                                    TLS вроде бы позволяет согласовывать ciphers, почему бы и не переходить на гост, если с обоих сторон он поддерживается и выставлен приоритетным
                        • 0
                          … если у сайта нет форм ввода, то последний сценарий не наступит.


                          Имеется ввиду любая форма ввода, или же не содержащая полей для ввода пароля и данных платежных карт?
                          • 0
                            В документах хрома говорится о поле паролей и кредитных картах, но как оно будет в итоге — непонятно.
                            • +9
                              Есть опасность, что как костыли, будут механизм форм с паролями эмулировать кастомными элементами/ajax'ом. Это будет выглядеть менее нативно, менее безопасно и отвалятся все механизмы автоподстановки паролей/содержания карт.
                            • +2
                              Поле «Поиск» и дасвиданья? :-)
                            • –1
                              Сижу на бете Chrome 56, пока что не встречал «Not secure» из-за http://
                              • 0
                                Пока помечает только «Secure» для https, «Not secure» — следующий этап. В статье, по крайней мере, это написано.
                                • +1
                                  Можно в эксперементе включить для проверки как оно работает





                                • 0
                                  Сижу на Google Chrome 55(55.0.2883.87 (64-bit)) и вижу эти надписи. У меня они появились сами после обновления на 54 версию. Вы можете это включить руками где-то в chrome://flags/
                                  При этом у меня оно и под основной(Ubuntu GNU/Linux 16.04 LTS) системой, и под игровой виндой имеется.
                                • +6
                                  Перевел сайт на https с 3600 скакануло до 5600 трафик. Все из гугла. Гугл любит https!
                                  • +1
                                    Если память не изменяет, https-сайты (при прочих равных) выше в выдаче.
                                    • +1
                                      Я думаю, что, конечно, использование https увеличит потребность человечества в электричестве, возможно увеличит сжигание угля и выбросы со2. Основной массивный контент — это видео, хоть того же гугла. С https его невозможно кешировать у провайдеров. Объемы трафика будут расти вместе с потреблением энергии.
                                      • +4
                                        Открою вам страшную тайну, ютуб уже давно на https
                                        • +1
                                          для провайдеров с большим трафиком у гугла есть GGC:https://geektimes.ru/post/93864/
                                          • 0
                                            https://istlsfastyet.com/
                                        • +1

                                          tsya.ru

                                        • +42
                                          Сайт первого канала с предупреждающей символикой «Ненадёжный», почему-то смотрится очень органично)))
                                          • –4
                                            Вы правы, поменял картинку
                                          • +4
                                            Хм, в голосовалке 13% против https, было бы интересно услышать доводы.
                                            • +15
                                              Есть сайты, где это не нужно.
                                              • 0
                                                например?
                                                • +9
                                                  Любой сайт, где не спрашиваются и не используются никакие приватные данные.
                                                  Блог, новости, галереи и т.д.
                                                  • +1
                                                    ну т.е вы готовы поделится информацией, что вы конкретно смотрите с:
                                                    1) Обладателем точки бесплатного Wi-Fi
                                                    2) Вашим провайдером
                                                    3) Вашим мобильным оператором
                                                    4) Государством

                                                    ?
                                                    • +9
                                                      Все перечисленные и так узнают сайты, просто не конкретные страницы.
                                                      Хотите спрятаться — используйте впн.
                                                      • +4
                                                        Они узнают домен, а не конкретную страницу и тем более не конкретный контент.

                                                        • –14
                                                          Они узнают все, если им будет надо. Ибо MIDM и т.д. — возможностей море — посмотрите на китайский файерволл.

                                                          По-этому для такого типа сайтов https бессмысленен — ибо ни чьей безопасности они не угрожают, зато для веб-мастеров это доп.телодвижения для выпуска, продления и т.д.

                                                          Причем часто это вообще бесплатные проекты.

                                                          Но с гуглом не поспоришь, увы. Придется делать.

                                                          • 0
                                                            Может MITM?
                                                            Китайский фаервол не вмешивается в HTTPS в этом собственно основной плюс HTTPS — трафик можно или пропустить или дропнуть, но заходя на сайт с зелёным значком можешь быть уверен — сайт по пути от сервера до тебя не модифицировался.
                                                            • +6
                                                              Наверно, MIDM расшифровывается как Man In Da Middle :)
                                                              А если серьезно, я догадываюсь, почему кто-то проголосовал против. За любое шифрование приходится платить вычислительными ресурсами и скоростью. При слабом сигнале (а беспроводные сети сейчас в мейнстриме) http работает быстрее и стабильнее https по объективным причинам: меньше хэндшейков с передачей ключей туда-сюда.
                                                              (Для меня безопасность важнее, поэтому я не поддерживаю данную точку зрения.)
                                                              • +1
                                                                Ну… не можешь так-то. Были случаи, когда центры сертификации подписывали левые домены.
                                                            • +1
                                                              Сам голосовал за https, но тем не менее действительно есть некотоьрые сайты, где это действительно очень нужно. Так как не всю информацию все люди стремятся скрывать от государства\провайдера\оператора, обладателя Wifi точки.
                                                              • 0
                                                                примеры?
                                                                • +6
                                                                  Сайты СМИ, например. Контент намеренно публичен. Тот факт, что я прочитал про очередную инициативу все запретить от госпожи Мизулиной или про счет матча газмяс — зубило, я ни от кого скрывать не собираюсь.
                                                                  • +1
                                                                    Если вы только прочитали — нет, а представьте, что медиалогия (гос-система которая меряет общетвенные настроения) при прочтении в неделю более 10 новостей с ключевыми словами которые относятся к плохим — вас занесут в особый список майора?

                                                                    • +8
                                                                      Слушайте, ну нашему, русскому товарищу майору я могу стать внезапно интересен вот прямо завтра без всяких там прочтений, не надо меня этим пугать. Ну, на дочку его внезапно посмотрю как-то не так. Ваши предположения про 10 статей в неделю на 10^10 порядков менее вероятны, чем то, о чём я пишу. На всех тупо не хватит майоров, знаете ли.
                                                                      Меня вот конкретно сейчас волнует не наш посконный товарищ майор, который в конце концов (по версии либерастов) насквозь коррумпирован, и от которого можно хоть как-то откупиться, а искусственный интеллект, потенциально работающий на чужого мистера майора. И который может автоматически, ещё раз, автоматически, без всяких тухлых разговоров, отключить меня от всех источников дохода, если решит, что я неблагонадёжный. Потому что у меня телефон на андроиде, почта на гмейле и карта виза. И всё это контролируется из (сколько там? три с половиной десятка?) спецслужб чужой для меня страны.
                                                                      Про false positives что-нибудь слышали?
                                                                      • 0
                                                                        Я скорее поверю в то, что у вас было false positive на violations of ToS/TOU, и Гугл отключит вас от всего гугловского (adsense, gmail и google play — оптом), чем то, что на вас наложат персональные санкции спецслужбы иностранного государства.
                                                                        Хотя да, такое тоже возможно — если ваш теска где-нибудь всплывет в рядах какой-нибудь террористической организации (или считаемой таковой в оплоте демократии).
                                                                        • –2
                                                                          Если меня Google отключит от AdSense, я буду только рад — наконец-то в моей жизни станет меньше рекламы /s
                                                                          • +3
                                                                            От Adsense, но не от Adwords :-)
                                                                            • 0
                                                                              А в чём проблема самому отключится от AdSense, Adwords, аналитики и остального не нужного?
                                                                              • 0
                                                                                В мобильных приложениях это не так просто, к сожалению
                                                                                • 0
                                                                                  С рутом и правкой hosts вроде никаких не должно быть. Хотя утверждать не буду, не сталкивался.
                                                                                  • 0
                                                                                    Хотел подсказать вам несколько вариантов блокировки рекламы в мобильных браузерах, а потом сообразил, что вы про приложения… А тут без рута проблематично, да…
                                                                                    • 0
                                                                                      Вот и я про то. В итоге снёс Youtube и смотрю теперь его в броузере на мобильнике, благо AdAway есть.
                                                                                      • 0
                                                                                        Ну AdAway все же рут требует даже для браузера, мне больше нравятся новые варианты, когда используется API для блокировки или плагин в мобильный браузер, чтобы не рутить смартфон.
                                                                                        • 0
                                                                                          Рут пока что есть (и в следующем телефоне будет), ещё поживём немного.
                                                                                          Плагин к файрфоксу мобильному есть… но файрфокс и без плагина тормозит.
                                                                                          • 0
                                                                                            Я сейчас использую Яндекс.Браузер который дает API(аналогичный API есть еще в самсунговском браузере, насколько знаю) для приложения AdGuard, которое и занимается резкой. Хотя в нем и есть возможность поставить расширения, но не уверен, как оно будет работать, т.к. это еще только тестируемый функционал.
                                                                                            • 0
                                                                                              Яндекс… у меня на него идиосинкразия. Из-за постоянной навязчивой рекламы по пропихиванию себя любимого во все щели.
                                                                                              • 0
                                                                                                Нуу… тут сложно найти того, кто этим не занимался. Компании предлагают партнерки, а разработчики сами решают, какую им выгоднее запихнуть в свой инсталятор. Гугл тоже этим баловался до того момента, как стал лидером на рынке браузеров. Да и сейчас кое-где его можно встретить до сих пор. Совершенно спокойно к этому отношусь + имею программу unchecky, чтобы случайно не проглядеть чего :-) Зато API для блокировки рекламы и поддержка расширений для десктопного хромиума. Но с другой стороны — если рут вас не смущает, и используете firefox, у которого на мобильном тоже есть расширения — то для вас это не критично. А вот лично мне рут не нравится, поэтому API для блокировки рекламы оказалось очень востребованной штукой.
                                                                                                • 0
                                                                                                  Жизнь без рута мне не нравится. Тот же Greenify не запустишь, например…
                                                                                      • 0
                                                                                        Единственное что приходит в голову это VPN с фильтрацией. Заодно это будет защита от мобильных подписок.
                                                                              • –2
                                                                                На всех тупо не хватит майоров, знаете ли.

                                                                                В 1937-38 хватило на всех.
                                                                                • 0
                                                                                  Не на всех. Иначе бы Вас на свете не было.
                                                                                  • 0
                                                                                    На всех, на кого было надо.
                                                                                • 0
                                                                                  как то сложно представить что в насквозь либералистическом мире потенциального противника вы можете сделать ненадежного?
                                                                                  быть госчиновником какой то страны и иметь миллионы на счетах без объяснений как вы их заработали? не вызывает сочувствия если честно.
                                                                                  • 0
                                                                                    Хорошо бы еще понять, к чему данный комментарий…
                                                                                    • 0
                                                                                      Скачаю и сяду раздавать неправильный торрент.
                                                                                    • +1

                                                                                      Товарищу майору может внезапно прилететь плюха от начальства на тему слабой работы по выявлению несознательных элементов. И тут товарищ майор вызовет товарища лейтенанта и потребует с него быстро списочек из двух-трех десятков сотен тысяч неблагонадежных. А тов. лейтенант быстренько отфильтрует тех, кто эти нехорошие статьи читал… Так вот и попадают в неблагонадежные. Со всеми живописанными вами подробностями. Касается, кстати, спецслужб любой страны.
                                                                                      Откупиться, кстати, тоже вряд ли получится. Ибо поток… и риски не оправдываются.

                                                                                  • 0
                                                                                    Можно при работе через публичную точку доступа подменить вам контент, добавить нехороший скрипт в страницу и много чего еще.
                                                                                    • 0
                                                                                      от госпожи
                                                                                      пилили бы эти господа уже скорее домой к себе в Израиль…
                                                                                • 0
                                                                                  даже домен не узнают. только ip адрес. а если там cloudflare или аналоги — то это будет адрес их серверов.
                                                                                  • 0
                                                                                    Домен узнают, см. SNI.
                                                                                    • 0
                                                                                      Вот зараза, он в открытую передаёт. Мда, и вправду.
                                                                                      • 0

                                                                                        В чём-то зараза, в чём-то круто. Это не от хорошей жизни сделано а для того, чтобы на одном IP могли сосуществовать HTTPS-сайты с непересекающимися сертификатами. Без SNI http-сервер не будет знать, какие ключи необходимо использовать и будет посылать дефолтный.

                                                                                        • +1
                                                                                          IPv6 спас бы, но…
                                                                              • +5
                                                                                Сейчас у моего сайта есть две зависимости: первое это DNS имя, второе «сервер» где он находится. Теперь добавляется третье звено те кто мне дают сертификат, лично мне это не нравится.

                                                                                PS. И конечно хорошо что теперь мой трафик до конца(хочется надеяться) не может проследить все 4 вышеуказанных пункта, однако получается что теперь эту функцию под себя подмяли Mozilla, Google и Microsoft.
                                                                                • 0
                                                                                  эту функцию под себя подмяли Mozilla, Google и Microsoft.

                                                                                  Это вы о производителях ОС/Браузеров? так всегда есть альтарнатива если не верим в чистоту того или иного ПО, да и на сколько я помнб Firefox сильно меньше суют свой нос в трафик по сравнению с хромом
                                                                            • +1
                                                                              Ну, есть такие сайты с новостями, и уж тем более такие галереи, за просмотр которых можно и срок схлопотать.
                                                                            • +4
                                                                              Сайты которые не берут информацию от пользователя, например caniuse.com
                                                                              • +3

                                                                                SSL еще предотвращает MiTM, так что поддельных данных никто не сунет. Яваскрипты тоже. Такое не раз случалось.

                                                                                • –2
                                                                                  К сожалению, далеко не всегда HTTPS спасает от MITM-а.

                                                                                  Насколько помню, было такое — атакующий может для каждого TCP-соединения создать две независимые SSL-сессии и при создании защищенного соединения клиент получит шифрованное соединение с атакующим а, тот в свою очередь создает соединение с сервером.

                                                                                  Поправьте, если не прав.
                                                                                  • +3
                                                                                    Вы не правы.

                                                                                    MITM возможен, только если только вы вручную установите себе сертификат левого certification authority (CA) или если сертификат на домен будет выдан (намеренно или случайно) тем CA, который уже есть у вас в системе. Дополнительную защиту от обоих случаев предоставляет certificate pinning (HTTP Public Key Pinning)
                                                                                    • +2
                                                                                      Компрометация корневых CA же была уже и не раз.
                                                                                      К тому-же про государство (про которое уже выше спрашивали) точно сделать это может для себя.

                                                                                      Про Pinning спасибо — пошел читать.
                                                                                      • +1
                                                                                        О любом случае ошибочно выпущенных сертификатов, удостоверенных корневыми CA, очень быстро становится известно, после чего CA приходится долго оправдываться.

                                                                                        После намеренной выдачи левых сертификатов по заказу CA будет быстро добавлена в блэк-лист браузеров.
                                                                                        • 0
                                                                                          Компрометация корневых CA же была уже и не раз.

                                                                                          А можно список? Я помню только несколько случаев с их subordinate CAs

                                                                                        • +1
                                                                                          Pinning мало кто использует. Он не удобен.
                                                                                          • 0
                                                                                            Безопасность это комплексная задача. Само по себе шифрование ни чего не гарантирует. Если кто-то утверждает обратное это маркетинг.

                                                                                            В энтерпрайзе root ключи устанавливаются централизованно, что позволяет мониторить весь HTTPS трафик сотрудников. Еще в firefox 49 появилась настройка security.enterprise_roots.enabled, заставляющая доверять root сертификатам. Chrome и edge кажется и так давно все это поддерживают.

                                                                                            С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.
                                                                                            • 0
                                                                                              С точки зрения дистрибьюции ОС добавить root сертификат — вопрос лишь одного апдейта.

                                                                                              Но для этого необходим контроль над конкретным дистрибутивом, т. к. gpg подписи не проверяет только ленивый.

                                                                                • +1
                                                                                  В голосовалке ткнул «да».
                                                                                  Но поголовный переход имеет и свои минусы и как правило это технические тонкости — к примеру проси серверы, проксировать ssl тот ещё гемор :)
                                                                                  • 0
                                                                                    Если не разбирать трафик а тупо пропускать дальше, то в чем проблема?
                                                                                    • 0
                                                                                      Если нужно именно проксировать, и да — править при этом трафик (WAN-оптимизатор например, вроде Riverbed'овских или оптимизаторы для спутникового трафика). Правда тут уже вполне логично свой локальный CA ставить.
                                                                                      Или именно необходимость локальный кеш иметь потому что внешний канал ОЧЕНЬ плохой и сделать нормальный — нереально (а видео и так не смотрят).
                                                                                      • 0

                                                                                        Локальный CA спасет в таких случаях

                                                                                        • 0

                                                                                          Из реальных минусов — шифрованый трафик не сжимается из-за высокой энтропии.

                                                                                    • +4
                                                                                      Голосовал иначе, но частично понимаю. Правильный вариант ответа «зависит».

                                                                                      Не для всего нужно https, по крайней мере необязательно. Начиная от каталогов небольших интернет магазинов (без онлайн оплаты) и заканчивая админками роутеров, где все эти сертификаты будут протухать без обновления.

                                                                                      Плюс всякие другие негативные моменты: например, при нестабильном соединении с телефона https сайты открываются значительно медленнее и батарейка жрётся быстрее. Понимаю, шифрование важно, опсосы иногда вклиниваются в траффик и подсовывают рекламу, но тем не менее.
                                                                                      • –3
                                                                                        А пароль от админки роутера настолько бесполезен, что его не следует защищать?
                                                                                        Включённый на роутере WPS -> брутим пин, влезает в сеть, ждём, пока кто-то не зайдёт в админку -> PROFIT.

                                                                                        А дальше уже можно много чего интересного делать, вплоть до перепрошивки роутера на такую же прошивку, что и была, но с «черным входом» для себя.
                                                                                        • +9
                                                                                          Если в вашей домашней сети между вами и роутером кто-то сидит, у вас уже проблемы.
                                                                                          • +8
                                                                                            Если вы переживаете за безопасность, WPS будет первым, что вы выключите.
                                                                                            Если нет, то и сертифика вас не спасёт.
                                                                                          • –3
                                                                                            > Не для всего нужно https, по крайней мере необязательно.

                                                                                            Эта фраза сразу выдает в вас человека далекого от IT. Возможно в вашем мире кофеварок вы и правы, но http/2, который помимо прочего дает ускорение загрузки, живет только с https, иначе никак.
                                                                                            • +2
                                                                                              Для справки- https не обязателен для HTTP2, это инициатива производителей браузеров. В том же EDGE HTTP2 работает без https.
                                                                                              • –1
                                                                                                И очень хорошо, что http/2 работает в https only с большинством браузеров, когда-то надо переходить, и сейчас переход на https идет менее болезнено чем на ipv6 и это радует
                                                                                                • –2
                                                                                                  Вы бы почитали спецификацию. То что какой-то маргинальный браузер у себя родил вариант без ssl'а не означает, что http/2 без него работает.
                                                                                                  • +1
                                                                                                    Я глянул и не увидел там обязаловки по шифрованию:
                                                                                                    https://http2.github.io/faq/#does-http2-require-encryption
                                                                                                    Does HTTP/2 require encryption?
                                                                                                    No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol.

                                                                                                    However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted.


                                                                                                    http://httpwg.org/specs/rfc7540.html#TLSUsage
                                                                                                    9.2 Use of TLS Features
                                                                                                    Implementations of HTTP/2 MUST use TLS version 1.2 [TLS12] or higher for HTTP/2 over TLS. The general TLS usage guidance in [TLSBCP] SHOULD be followed, with some additional restrictions that are specific to HTTP/2.

                                                                                                    The TLS implementation MUST support the Server Name Indication (SNI) [TLS-EXT] extension to TLS. HTTP/2 clients MUST indicate the target domain name when negotiating TLS.

                                                                                                    Deployments of HTTP/2 that negotiate TLS 1.3 or higher need only support and use the SNI extension; deployments of TLS 1.2 are subject to the requirements in the following sections. Implementations are encouraged to provide defaults that comply, but it is recognized that deployments are ultimately responsible for compliance.

                                                                                                    Тут говорится что реализация с шифрованием должна использовать TLS версии 1.2 или выше.
                                                                                                    • –1
                                                                                                      а как дела с вебсерверами? они готовы обработать не шифрованный трафик от IE? nginx/apache (IIS не всчёт)
                                                                                                      • +1
                                                                                                        Нормально, по крайней мере nginx умеет, хоть и не рекомендует по причине малой распространённости.
                                                                                                        • +1
                                                                                                          Апач не знаю, а у nginx h2 до сих пор в экспериментальном виде и без ключа ssl у меня не работало, как сейчас хз.
                                                                                                          Там ещё общие сложности:
                                                                                                          https://trac.nginx.org/nginx/ticket/808
                                                                                                          https://trac.nginx.org/nginx/ticket/816
                                                                                                          Есть ещё проблема что h2 навязывается на все порты, даже те что не указаны как http2.
                                                                                                          • 0
                                                                                                            Там же connection upgrade, что плохого в работе по обычным портам?
                                                                                                            • 0
                                                                                                              Не знаю. Просто такая ситуация что если в разные секции server для разных доменов задать с http2 и без, то везде http2. Была попытка вынести на отдельный порт и на отдельный порт тоже наследуется http2. Достоверно могу сказать только за хром, как в остальных не помню уже.
                                                                                                              Я ещё забыл добавить что при http2 начинаются проблемы с клиентскими сертификатами, поэтому собственно и выносил на отдельный порт работу без http2, но фиг.
                                                                                                              Так что http2 в nginx пока работает только в общих условиях с принятием того факта что он становится главенствующим режимом в клиентах где http2 поддерживается.

                                                                                                              А с чистым режимом http2 на 80 порту я наверное что-то не так сделал и ошибся с выводами.
                                                                                                  • +1
                                                                                                    Как раз в мире кофеварок (с возможной атакой горячим паром) https более полезен.
                                                                                                  • 0
                                                                                                    А как вообще у админки роутера может быть сертификат, они же выдаются для доменов, а админка роутера — это что-то вроде 192.168.1.1?
                                                                                                    • –1
                                                                                                      Давайте я расскажу вам про ДНС.
                                                                                                      Вы можете в ДНСе прописать резолв в любой адрес, как вам в голову придет. Вы можете получать сертификат прописав временно резолв в публичный адрес, а потом завернуть резолв на 192.168.1.1. А еще вы можете общаться со своим роутером по реальному IPшнику(так тоже можно, да).
                                                                                                      • 0
                                                                                                        Это всё понятно, но для этого надо владеть доменом, да ещё и настроить его на своём роутере. Кто этим вообще заниматься будет, особенно для домашних роутеров?
                                                                                                        • 0
                                                                                                          Погуглите routerlogin.net, например…
                                                                                                    • +4
                                                                                                      Мне кажется, что инициатива маркировки https соединений правильная, но с небольшой доработкой — нужно чтобы она отключалась, если домен резолвится в диапазон ip адресов частных сетей. Тогда попадут все проблемы с админками роутеров/инранетовских сайтов, к которым нет доступа снаружи. Браузеры будут более адекватно работать без доступа к интернету и т.д. Да и уведомления о защищенности/незащищенности сайтов будут более верными, а значит к ним будет больше доверия.

                                                                                                      Особо большого смысла защищать внутренние ресурсы нет: если уж злоумышленник получил контроль над маршрутезатором, то верная раскраска значков в хроме — меньшая из проблем пользователя.
                                                                                                    • +3
                                                                                                      Если старый и большой сайт переводить с http на https, то сильно просядет органика с Яндекса, т.к. он пока не умеет безболезненно перевести и будет считать https зеркалом с переклейкой и прочими плюшками :( Делали эксперимент летом, трафик до сих пор не вернулся в полном объеме :(
                                                                                                      • 0

                                                                                                        А правильно ли делали? ;)
                                                                                                        В момент "переезда" пока не склеятся зеркала, надо чтобы страницы (и изображения) были доступы по обоим протоколам и только после склейки делать редирект с http на https

                                                                                                        • +3
                                                                                                          Если возникают вопросы — может вы статью напишите на тему корректного переезда?
                                                                                                          Я думаю вас спасибо скажут
                                                                                                          • 0
                                                                                                            Да, собственно, maxic всё уже описал. на статью не наберется
                                                                                                            • +1

                                                                                                              Наберется :)
                                                                                                              У меня дока к модулям на пару страниц по этому вопросу
                                                                                                              Я как раз модули для e-commerce систем делаю для корректного переезда на https
                                                                                                              Там очень много подводных камней. Много разных хостеров, много разных настроек у них, много говнокода других модулей, которые делают из этого целую проблему
                                                                                                              Очень много видел как выпадают магазины из топ-ов после не корректного переезда
                                                                                                              Только, к сожалению нету времени "писать" :(
                                                                                                              Есть общий принцип, описанный yandex
                                                                                                              https://yandex.ru/blog/platon/2778
                                                                                                              В принципе суть там понятна
                                                                                                              Но еще много подводных камней настроек магазинов, рефакторинга их кода и т п

                                                                                                              • 0
                                                                                                                Ну это уже конкретно проблемы реализации конкретного движка или шарда.
                                                                                                      • +9
                                                                                                        Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.
                                                                                                        Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда? Да и его настройка занимает время и редко когда возможна на шаред-хостингах.
                                                                                                        Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.
                                                                                                        Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?
                                                                                                        • –3
                                                                                                          Лишнее время на установку соединения (важно для тех, кто сидит на каналах с большим пингом — спутник, 2G). Короче деревня и северяне страдают.

                                                                                                          А вы включите http/2 и страдать они будут даже меньше чем на http — коннектов меньше, не надо ждать пока 100500 соединений установятся и передадут данные.

                                                                                                          Https небесплатен, сертификаты стоят денег и времени на их получение. Letsencrypt может завтра сказать «ой», и что тогда?

                                                                                                          Уверены?

                                                                                                          Да и его настройка занимает время и редко когда возможна на шаред-хостингах.

                                                                                                          Множество шаред-хостингов (почему они еще не померли?) умеют в SSL из коробки за 149 руб в месяц

                                                                                                          Https технически небесплатен (шифрование жрёт ресурсы, пусть и небольшие на фоне килотонн javascript отслеживающего и рекламного кода), а нужно это не всегда. Это не только справочники, интранет-сервисы и т.д., но и всякие контроллеры с веб-мордами, вот у них с ресурсами проца напряженка.


                                                                                                          Вы думаете это проблема для современных CPU?
                                                                                                          Зачем на контроллеры делать https? если вы — администратор и вы знаете, что красный крест — это нормально при заходе на 10.10.10.2

                                                                                                          Невозможность работы без домена. Это что теперь, каждой айпи-камере и контроллеру умного дома домен делать и сертификат получать?

                                                                                                          Зачем? если у вас централизованное решение автоматизации оно или inhouse или cloud based в первом случае у вас стоит мощная коробка которая агрегирует вообще всю информацию которую ей передают датчики, на выход же обычно торчик API которым управляют приложения/сервисы:
                                                                                                          Amazon Alexa или Apple HomeKit
                                                                                                          Ну а с облаком и так всё понятно.
                                                                                                          • +10
                                                                                                            1. Я не видел независимых исследований, утверждающих что-то хорошее про http/2. Всё что видел — говорят, что ускорение если и есть, то на уровне стат. погрешности. Если слышали обратное, поделитесь, пожалуйста, ссылкой.
                                                                                                            2. Спонсоры спонсорами, но проблема в том, что он такой один. Если завтра окажется, что какие-то бармалеи похитили корневой сертификат и устраивают с его помощью митм, этот сертификат будет немедленно отозван. И дальше всё, половина интернета давай до свидания.
                                                                                                            3. Сейчас как бы хайп про иот. Веб-морда — самый простой и понятный способ настройки и управления всего этого барахла. Я-то понимаю про красный крестик, а вот обычный юзер вряд ли.
                                                                                                            4. Мощная коробка, которая всё агрегирует, требует не менее мощного инженера, который её настраивает, а ещё лучше отдел АСУТП. Такое не у всех как бы есть. И это не отменяет того факта, что базовые контроллеры должны работать независимо от общей коробки, которая иначе становится единой точкой отказа.
                                                                                                            Насчёт облаков вообще смешно: да, давайте сначала всё зашифруем, чтобы фоточки с охранных камер из вашей спальни не перехватил потомственный алкоголик сосед Василий, а потом отдадим эти же фоточки в облако эплу или ещё какой корпорации добра, потому что сами мы настроить ничего не можем. Ещё и денег заплатим. Отличная аргументация, браво!
                                                                                                            • –1
                                                                                                              Демо от CDN провайдера https://http2.akamai.com/demo

                                                                                                              3 — да не будет обычный пользователь заходить по http на свои IOT устройства — как минимум там может сменится IP, сейчас всё на приложениях с авто-обнаружением
                                                                                                              4 — посмотрите на решения от fibaro (z-wave) или любое решения для amazon/homekit настройка там на уровне просканируйте номер с задней части устройства — вы великолепны

                                                                                                              Я не говорил, что я за облака.