Почему https не нужон если владелец сайта не банк и не террорист

получающего деньги за продажи воздуха

Если ты думаешь, что это очень прибыльное дело, то ты ошибаешься.

Я уже давно пишу, что TLS и прочие HTTPS просто запускают виток гонки «информация против спецслужб» и только.

Просто рабочие руки становятся нужны все меньше и меньше. Там где раньше работало 10 человек, справляется трое, чем занять семерых? А можно посадить их в подобный центр выдачи сертификатов или сделать их охранниками без оружия. Все воимя безопасности.

Прошлый мой подобный комент потерли с -3

Если ты думаешь, что это очень прибыльное дело

Мне плевать есть ли у них с этого прибыль или нет, я смотрю на ситуацию лишь с т.з. владельца сайта (см. заголовок). Если я не собираюсь передавать никаких конфиденциальных данных — зачем мне за свои же деньги нужна лишняя точка отказа?

получающего деньги за продажи воздуха

на самом деле всё не так просто.

Я не понял кривые руки у GlobalSign или у разработчиков Safari, Chrome и IE11? ФФ же не сломался вроде

статью не читай, сразу отвечай.

Если тебе нужен просто https, то деньги никому платить не надо.

А сертификат с расширенной проверкой, который зеленым цветом пишет название твоей конторы своих денег стоит.

Ъ:

Обновление: The Register в Твиттере сообщает: сотрудники GlobalSign подтвердили в интервью радио BBC, что проблема была целиком на их стороне.

Но что и как с ФФ всё равно не понял.

А сертификат с расширенной проверкой, который зеленым цветом пишет название твоей конторы своих денег стоит.

Только этот золотойзелёный цвет в действительности ничего не значит, т.к. если что-то пойдёт не так —

НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ КОМПАНИЯ «GLOBALSIGN» НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА КАКОЙ-ЛИБО КОСВЕННЫЙ УЩЕРБ, НЕПРЕДНАМЕРЕННЫЙ УЩЕРБ, ФАКТИЧЕСКИЙ УЩЕРБ, ОПРЕДЕЛЯЕМЫЙ ОСОБЫМИ ОБСТОЯТЕЛЬСТВАМИ, ИЛИ ПОСЛЕДУЮЩИЙ УЩЕРБ, ВОЗНИКАЮЩИЙ ИЗ ИЛИ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ, ПРЕДОСТАВЛЕНИЕМ, ПОЛАГАНИЕМ, ЛИЦЕНЗИРОВАНИЕМ, ИСПОЛНЕНИЕМ ИЛИ НЕИСПОЛНЕНИЕМ ТРАНЗАКЦИЙ С ИСПОЛЬЗОВАНИЕМ СЕРТИФИКАТОВ, ЭЛЕКТРОННЫХ ПОДПИСЕЙ, ИЛИ ПРОЧИМИ ТРАНЗАКЦИЯМИ ИЛИ УСЛУГАМИ, ПРЕДЛАГАЕМЫМИ ИЛИ ПОДРАЗУМЕВАЕМЫМИ В ЭТИХ ПОЛОЖЕНИЯМ О ПРАВИЛАХ СЕРТИФИКАЦИИ КОМПАНИИ «GLOBALSIGN».

В CA в большинстве достаточно 1.5 сотрудников (технический упор и отвечающие за ревокинг сертификатов).

Собственно, любой дурак может поднять CA дома и раздавать сертификаты хоть до посинения.

Такие дисклаймеры во всём софте есть. За ответственностью за ущерб - это к страховым компаниям.

странно, обычно у них должна быть страховка в банке не н-ую сумму.

Если ты думаешь, что это очень прибыльное дело, то ты ошибаешься.

Как ты думаешь, как Шаттлворт стал миллионером?

аудит CA который необходим для того чтобы сделать сертификат доверенным стоит как минимум 100.000$

если владелец сайта не банк и не террорист

Что же, идея приравнять банки к террористическим организациям не лишена изюминки :D

из-за криворукости GlobalSign сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней

Это прекрасно!

если владелец сайта не банк и не террорист

...то может быть он просто заботится, чтобы пароль клиента не отсниффили в макдаке или любопытный админ у провайдера.

Safari, Chrome и IE11

Ненужно

Да, вся эта затея с деревом делегирования сертификатов и протоколом SSL на все случаи жизни - весьма странная. Как карточный домик, как испорченный телефон.

Склоняюсь к тому, что со временем придет понимание, что ответственность нельзя вот так спихивать через несколько контор, слабо связанных одна с другой.

Сложнее, но надежнее будет схема, например, с «трехслойным» (максимум) шифрованием, где доверие идет отдельно к оператору связи (шифрование до некого шлюза), владельцу сервиса (примерно то, что сейчас делает https), и другому пользователю, с которым общаешься (E2E). Придется узаконить и как-то увязать все эти слои, чтобы не класть все яйца в одну корзину, как сейчас. Как-то так...

Собственно, любой дурак может поднять CA дома и раздавать сертификаты хоть до посинения.

Самоподписанные?

Собственно каждый решает сам. Не хочешь на своем ресурсе держать https не держи.

А так это звучит как:

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

Да и с бэкапами таж фигня надежность бэкапа зависит от того на какое устройство ты его делаешь (а его ДЯДЯ произвел).

Если я не собираюсь передавать никаких конфиденциальных данных — зачем мне за свои же деньги нужна лишняя точка отказа?

Тебя никто и не заставляет сертификаты покупать.

Однажды я забыл ключи на работе и не смог попасть в квартиру

Принципиальная разница в том что ключи от твоей квартиры лежат в твоём кармане и контролируешь их лишь ты, а на валидность сертификата и доступность по нему твоего ресурса в текущих реалиях твоё влияние минимальное.

Да и с бэкапами таж фигня надежность бэкапа зависит от того на какое устройство ты его делаешь (а его ДЯДЯ произвел).

Аналогия будет корректной в случае если устройств для бекапа можно использовать лишь одно и ты после записи бекапа обязан отдать его дяде.

Тебя никто и не заставляет сертификаты покупать.

https://habrahabr.ru/post/232629/

Ну так хочешь место в выдаче повыше - плати денюжку. Все правильно.

https://habrahabr.ru/company/eset/blog/245759/

Ну так хочешь место в выдаче повыше - плати денюжку. Все правильно.

Диктование условий за счёт монопольного положения на рынке не есть правильно.

сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней.

Зашёл Safari на википедию. Открывается. Попросил показать сертификат — говорит, valid.

Зашёл Safari на википедию. Открывается. Попросил показать сертификат — говорит, valid.

Фактически, пострадавшие сайты будут недоступны только у тех пользователей, которые зашли на них в течение тех нескольких часов, пока Cloudflare выдавал некорректный OCSP-ответ.

плати денюжку

Let's Encrypt.

До тех пор пока 1) ты не давал его в копирование 2) ты не почитал всякие форумы любителей вскрывать замки.....

Например истерия с домофонами меня удивляет. ВО ВСЕХ ПОДЪЕЗДАХ стоят домофоны за который каждые 2-3 года ты платишь единовременный взнос и при этом платишь еще за обслуживание и ключи есть «универсальные» и даже без ключа он вскрывается простой отверткой, а если жахнуть шокером, то вообще сразу открывает двери......

Купи два сертификата и с основного с http делай редирект по roundrobin...

Например истерия с домофонами меня удивляет. ВО ВСЕХ ПОДЪЕЗДАХ стоят домофоны за который каждые 2-3 года ты платишь единовременный взнос и при этом платишь еще за обслуживание и ключи есть «универсальные» и даже без ключа он вскрывается простой отверткой, а если жахнуть шокером, то вообще сразу открывает двери

Не угадал, у меня в подъезде этого говна нет и я за него не плачу.

Купи два сертификата и с основного с http делай редирект по roundrobin...

А можно просто ничего не делать в случае отсутствия конфиденциальных данных, так зачем платить больше?

А вообще аналогия с замками неверна в корне, т.к. в случае с вебом нехорошие люди вмешиваются в трафик пользователя, а не владельца ресурса.

Можно, выдача гугла — это 5-10 строчек на первой странице.
Благодаря https-сертификату, среднестатистический сайт может подняться с 78й страницы на 53-ю, т.е. экзобар.jpg.

Благодаря https-сертификату

Они бы ещё выдачу ранжировали в зависимости от веб-сервера (например, сайты с апачем поднимали выше) и погоды на Марсе, а не от контента.

А можно просто ничего не делать в случае отсутствия конфиденциальных данных, так зачем платить больше?

Помимо конфиденциальности есть ещё необходимость защиты достоверности данных. Заходишь ты на сайт с котиками, а тебе ЦП показывают.

т.к. в случае с вебом нехорошие люди вмешиваются в трафик пользователя, а не владельца ресурса.

В чём принципиальная разница, это их общий трафик. Технически можно и так сделать, постишь ты на сайт без https фоточку с котиком, а злой хакер меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

Наличие https — вполне критерий ранжирования и фильтрации, что сайт реально «живой», не очень палевный, что за сайтом ухаживают и заботятся о юзерах, которым надоел тормозной http. Какие у тебя цифирки выходят тут и тут?

Особенно тупо HTTPS смотрится на всяких там бложиках с 1.5 посетителями в месяц.

Помимо конфиденциальности есть ещё необходимость защиты достоверности данных

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера. Если государство — нужно менять государство (смысл слова „менять” в этом случае каждый подберёт сам). Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

В чём принципиальная разница, это их общий трафик. Технически можно и так сделать, постишь ты на сайт без https фоточку с котиком, а злой хакер меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

https не решает проблемы криворукого провайдера и упоротого законодательства.

тормозной http

Попробуй тоньше.

Какие у тебя цифирки выходят тут и тут?

HTTP: 3.702 s; HTTPS: 5.732 s; HTTPS 55% slower than HTTP.

HTTP: 3.702 s; HTTPS: 5.732 s;

Долго цифры придумывал?

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера.

Для начала ты должен узнать о факте того, что кто-то пытается модифицировать твой трафик.

Если государство — нужно менять государство (смысл слова „менять” в этом случае каждый подберёт сам). Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

Государство вынуждено искать пути обхода защиты, которую предоставляет HTTPS. Государство не может влиять на все остальные государства, где серверы отдают контент по HTTPS.

Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

В этом случае ты точно будешь знать, что государство смотрит твой трафик. Без HTTPS государство могло бы делать это без палева

Технически можно и так сделать, постишь ты на сайт с https фоточку с котиком, а злой хакер через дыру на сайте меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

Fixed.

это уже другой случай, к проблеме топика не относится

Можно поподробнее про криворукого провайдера?

Долго цифры придумывал?

Тебе нужен нотариально заверенный скриншот или что?