SSL на сайт - нужно ли?

А в чем прикол частых обновлений летскрипта?

ничем не отличаются. задача https - шифровать соединение между клиентом и сервером, это не очередной-комитет-по-вшам-при-президенте, который для сбора денег.

Говорили о том, что причин две. Первая — украденные или опубликованные сертификаты действительны всего 90 дней, а не год. Но это какая-то странная причина.

А вот вторая более практичная. Маленький срок вынуждает админа автоматизировать операцию обновления сертификата. Я как-то пользовался самоподписанными сертификатами, выписанными на год. Когда пришло время обновлять, осознал, что всё забыл. Пришлось разбираться заново, я ж не админ.

С Let's Encrypt тоже руками обновлял. Но в третий раз просто задрало, и автоматизировал.

ИМХО, чтобы застоя не происходило со стороны потребителя. типа - централизованный репозиторий, актуальные версии протоколов, закрывание дыр и всякое-такое

Это же сертификат, какие такие актуальные версии протоколов?

As of July 2016, TLS 1.3 is a working draft
SSL 2.0 was deprecated (prohibited) in 2011 by RFC 6176.
SSL 3.0 was deprecated in June 2015 by RFC 7568.

вот такое например. релиза еще нет, firefox уже может использовать.
сертификаты с коротким временем жизни позволяют активнее внедрять всякие новые штуки

Погоди. А сертификат тут причём? SSL2, SSL3, TLS1.2 реализуются веб-сервером. Сертификат в основе своей это подписанное сообщение с парой ключей. Он как-то влияет на возможность использования или не использования SSL3?

мои глаза краснеют :(

Во-первых, с точки зрения этики и морали.

Поясни?

Чтобы шифрование было доступно когда оно действительно понадобится, оно должно быть повсеместным. Например, чтобы шифрование само по себе не выглядело подозрительным, и человек сливающий данные на какой-нибудь wikileaks, не был бы априори под подозрением только потому что использует криптографию. Потом, если криптография будет нормой, ей будет ставиться меньше помех. Например, какая-нибудь контора уже не сделает выход в интернет сотрудникам через http-only proxy открыв их данные всему миру. Придётся либо пропускать https, либо делать явный MITM что нельзя пропустить и можно трактовать вполне однозначно. Я имел в виду прежде всего это.

А то что пользователи должны быть защищены от внедрения вредоносного кода в трафик я думал настолько самоочевидно, что даже не требует упоминания. Напомню что «убогие провайдеры-беспредельщики» это как минимум все поголовно мобильные операторы.

Ну чем-то же они от коммерческих должны отличаться?

Не требуют денег за воздух, этим и отличаются. Ну и не дают wildcard сертификатов.

я всегда считал, что влияет. разве нет?

Я когда рассматривал поля, ничего такого не нашёл. Разве что алгоритм подписи декларируется.

чтобы шифрование само по себе не выглядело подозрительным, и человек сливающий данные на какой-нибудь wikileaks, не был бы априори под подозрением только потому что использует криптографию

Иллюзия безопасности хуже отсутствия безопасности. Никто не мешает условной АНБ попросить у CA выписать им свой сертификат для домена wikileaks в целях проведения неких следственных мероприятий и сделать MitM, при этом в браузере ничего не подозревающего человека будет весёлая зелёная надпись капсом БЕЗОПАСНО возле URL от имбецилов-дизайнеров. Где-то через пару лет, возможно, браузерописатели найдут какие-либо нарушения у подписавшего сертификат CA, ещё через годик выбросят его сертификаты, да и то не факт. Вышепредложенный вариант с MitM через Cloudflare ради SEO я даже рассматривать не хочу, там и так всё ясно.

Например, какая-нибудь контора уже не сделает выход в интернет сотрудникам через http-only proxy открыв их данные всему миру. Придётся либо пропускать https, либо делать явный MITM что нельзя пропустить

Можно, для этого у конторы есть штатный сисадмин, который автоматизирует добавление самоподписанного сертификата в хранилище ОС/браузера на каждой рабочей станции.

А то что пользователи должны быть защищены от внедрения вредоносного кода в трафик я думал настолько самоочевидно, что даже не требует упоминания. Напомню что «убогие провайдеры-беспредельщики» это как минимум все поголовно мобильные операторы.

Спасение утопающих — дело рук самих утопающих.

Т.е. ты предлагаешь ничего не шифровать?

Говорили о том, что причин две. Первая — украденные или опубликованные сертификаты действительны всего 90 дней, а не год. Но это какая-то странная причина.

А по-моему это роспись в том что вся эта большая инфраструктура https просто не может эффективно решать возложенные на неё задачи.

Маленький срок вынуждает админа автоматизировать операцию обновления сертификата.

Правильно, чтобы жизнь мёдом не казалась.

Т.е. ты предлагаешь ничего не шифровать?

Я предлагаю не применять https для решения тех проблем которые он решить не в состоянии.

Почему ты решил, что веб твой?

Почему ты решил, что веб твой?

Веб, конечно же, не мой, но я плачу деньги провайдеру не за то чтобы смотреть говносайты, которые по умолчанию считают меня умственно неполноценным дебилом. Твой вариант с MitM с использованием SSL от Cloudflare ради SEO по сути значит что тебе срать на пользователя, главное зелёненькая надпись для даунов. Это и есть говноделие в худшем его проявлении.

Ну смотри. Та единственная проблема о которой ты слышал звон решается pinning'ом. Уж для wikileaks-то фингерпринт можно наизусть выучить. И даже при наличии этой проблемы HTTPS решает кучу других задач, где атакующему сертификат у CA просто так не выпросить, которые ты весьма удобно забыл. А по такому отношению

Спасение утопающих — дело рук самих утопающих.

можно сделать вывод что ты или дурак (в коем случае желаю тебе как-нибудь поутопать), или засланный казачок (в коем случае твой план провалился, хозяева тебе в этот раз не заплатят, лол).

Уж для wikileaks-то фингерпринт можно наизусть выучить

Ты кому предлагаешь его учить-то? Я при желании смогу, конечно, его выучить, но условная тётя Маша даже слова такого „фингерпринт” не знает. Опять опираемся на иллюзию массовой безопасности, распознать которую могут лишь те кто в теме, да и то не всегда.

И даже при наличии этой проблемы HTTPS решает кучу других задач, где атакующему сертификат у CA просто так не выпросить, которые ты весьма удобно забыл

Это ты забыл. Ты привёл конкретные примеры — я на них ответил. По поводу „других проблем” — я вполне доходчиво ответил двумя сообщениями выше, попробуй его вдумчиво ещё раз перечитать и все вопросы сами отпадут.

можно сделать вывод что ты или дурак (в коем случае желаю тебе как-нибудь поутопать)

В отличие от ситуации с утопленниками смена провайдера при необходимости не смертельна.

или засланный казачок (в коем случае твой план провалился, хозяева тебе в этот раз не заплатят, лол).

А за это ещё и деньги платят? Вот я дурак, пойду просить зарплату у своего куратора.

Некоторые хомячки с трудом меню пуск находят

По моему опыту общения с хомяками - скорее, некоторые знают, где она находится.

Если твой сайт заблокировали, то ты там разве что вещества продаёшь

Не обязательно. Казино, финансовые пирамиды, левые бумажки под видом документов, смотреть игра престолов онлайн бесплатно без смс и прочая дичь. Список не полный, есличо.

А при том, что у нас любят блокировать по IP - даже это не обязательно.

общее качество услуг у них порой хуже чем даже у ростелекома.

У меня дома ростелеком по оптике. Работает просто шикарно на скорости 120 мегабит/сек. И скорость в часы пик не проседает.

Если стоит, то какой и где брать?

Использую как платные сертификаты от Комоды, так и бесплатные от Let's Encrypt. Разницы никакой: ни с тем, ни с этим проблем никаких нет. Думаю всё на Let's Encrypt перевести (зачем платить больше).

Работает просто шикарно на скорости 120 мегабит/сек.

У вас сразу оптика, что-ли в квартиру идёт ? Или гигабитная витуха ?

Вообще, в некоторых регионах\районах РТК действительно неплох. Поговаривают, что кое где даже IPv6 завезли.

Между тем всего в моём конкретном случае в типичном усть-зажопинске всё было плохо.

Хз, с чем связана такая неоднородность качества услуг одной и той-же компании по регионам. Возможно, они просто покупают местных провайдеров.

нет.

У вас сразу оптика, что-ли в квартиру идёт ?

Да, в квартире стоит оптический GPON-терминал.

кое-где даже IPv6 завезли.

Увы, не у нас.

А при том, что у нас любят блокировать по IP - даже это не обязательно.
2017
shared hosting

Вот про ранжирование думаю, да
. Даже «написать нам» не будет.

Как раз онлайн-чатики поисковики любят, а вот от https пока никому лучше не стало. Только хуже.

Я предлгаю не городить костыли там, где они не нужны. Не работаешь с личными данными пользователей - маняшифрование не нужно.

Возможно, они просто покупают местных провайдеров

Именно так и есть.

Ну чем-то же они от коммерческих должны отличаться?

А они и отличаются. Срок действия - 3 месяца, видимо только на этих условиях корпорасты разрешили. Каждые 3 месяца обновлять руками - стрёмно, скриптовать... ну, да, единственный вариант. Не буду говорить, почему лично меня он не устраивает.

Лучше назовите хоть одну причину не использовать

доп. нагрузка на проц при дешифровке? Особенно актуально при использовании мобил.

Ты кому предлагаешь его учить-то?

Внезапно, тому кто будет сливать инфу на викиликс. Такие люди сведущи в ИБ поболе тебя, тёти Маши и остальных домохозяек, так что проблем запомнить фингерпринт у них не будет. И вот твой единственный аргумент про АНБ идёт леском.

я вполне доходчиво ответил двумя сообщениями выше

Да вот нет пока ты только показал свою некомпетентность и позорно слился. Резюмируя твой ответ: «HTTPS не помогает ни от чего потому что АНБ может получить сертификат, юзеры которым могут подменить трафик сами виноваты». Про pinning не знаем, не-АНБ случаи не учитываем, а последнее - вообще феерия.

В отличие от ситуации с утопленниками смена провайдера при необходимости не смертельна

И получим подмену трафика от другого провайдера.

И что, прям вот сейчас представишь доказательства что она хоть сколько либо заметна, особенно учитывая копеечный трафик и аппаратную поддержку шифрования?

скриптовать... ну, да, единственный вариант

Там ничего не надо скриптовать. Под FreeBSD, например, автообновление прописано в periodic и про него можно даже не вспоминать (к тому что под Linux это устроено точно не хуже). А где-то довольно правильно писали что скриптовать нужно и так и так, хоть у тебя на 3 месяца сертификат выдан хоть на 5 лет. В последнем случае даже важнее, потому что про обновление проще забыть.

А, и, кстати, советую ознакомиться: https://geektimes.ru/post/289625/. Просвещайся.

Такие люди сведущи в ИБ

В условном АНБ тоже не дураки сидят, ага.

И вот твой единственный аргумент про АНБ идёт леском.

Нет, твой.

Да вот нет пока ты только показал свою некомпетентность и позорно слился. Резюмируя твой ответ: «HTTPS не помогает ни от чего потому что АНБ может получить сертификат, юзеры которым могут подменить трафик сами виноваты»

Забыл дописать что перед чтением таки надо включать остатки мозга. Попробуй включить и перечитать ещё, пока не дойдёт.

Про pinning не знаем

Знаем. Твой pinning против твоего же примера с АНБ не поможет.

не-АНБ случаи не учитываем

Дядя, ты дурак? Ткни мне пальцем где я писал про не-АНБ случаи.

И получим подмену трафика от другого провайдера.

Никто тебя не заставляет менять одно говно на другое, подключись наконец к нормальному провайдеру и не ной.

А, и, кстати, советую ознакомиться: https://geektimes.ru/post/289625/. Просвещайся.

Слышал про эти чебурашкопроблемы, что сказать хотел? Если ты не настолько известен как педивикия то блокировка одной страницы по HTTP для тебя как владельца ресурса очевидно лучше блокировки полностью всего сайта с HTTPS.

И что, прям вот сейчас представишь доказательства что она хоть сколько либо заметна

slovazap ★★★★★ (30.05.2017 19:43:52) «Писать прикладное ПО на plain C - сразу кол.»: /forum/development/12349169?cid=12349751

Именно тебе - нет, не предоставлю.

аппаратную поддержку шифрования?

Аппаратную поддержку шифрования чем? Телефоном? А с чего ты взял что все бразуеры на всех телефонах будут её нормально подхватывать?

особенно учитывая копеечный трафик

И особенно учитывая копеечные батареи на ширпотребных лопатах?
Мне-то с 10000 мАч насрать, а вот другим?

Там ничего не надо скриптовать. Под FreeBSD, например, автообновление прописано в periodic и про него можно даже не вспоминать (к тому что под Linux это устроено точно не хуже).

про него можно даже не вспоминать

До того момента пока ВНЕЗАПНО не окажется что обновление сертификата не сработало и браузер при переходе на сайт ругается большими красными буквами.

А оно будет прямо каждый файлик же? В т.ч. 100500 тайлов панорам?
А если сам контент грузить со своего поддомена без хттпс?

Для описанного не особо нужно конечно. Но скоро все браузеры начнут говорить пользователям, что у тебя лоховской сайт без хттпс. Так что имеет смысл озаботиться.

До того момента пока ВНЕЗАПНО не окажется что обновление сертификата не сработало

Бугага: У сайта проекта TrueOS протух SSL-сертификат

Какие могут быть косяки с бесплатными?

Например если речь идет о Lets Encrypt, то они не выдают сертификаты на все субдомены сразу, как *.example.com, но их автоматика выдает по сертификату на каждый субдомен по требованию. Плюс срок дейсвия очень низкий так как все рассчитано что ты обновляешь сертификаты не вручную, а с помощью их демона.

Короче если используешь их штатный софт, то все это не проблема

Ну софт же не с зондом? Спо и все такое? Под серверную бубунту же есть?

Да, просто демон на го, хочешь собери сам с гитхаба

https://www.google.co.uk/?gws_rd=ssl#q=short term money loans

На две страницы результатов один сайт без https. Делай выводы. Кац или кто-то другой из гугла говорил, что https дает небольшой плюс к позициям.

Под яндекс не важно.

Попробуй включить и перечитать ещё, пока не дойдёт

Звиняй, ты позорно слил.

Знаем. Твой pinning против твоего же примера с АНБ не поможет.

Доказывай. Или дай угадаю, ты конечно же тоже не сможешь, небось ещё и я сам должен?

Никто тебя не заставляет менять одно говно на другое, подключись наконец к нормальному провайдеру и не ной.

Ну вот как всех посадишь на «нормальных» провайдеров и свою пятую точку поставишь что никто и никогда никому не подменит трафик, так и получишь право рот открывать.

Вот как раз если у тебя панорамы из большого количества тайлов, то хттп2 очень в тему будет, а ему ссл обязательно нужен.

Разве до реально популярного и массового хттп2 не как до марса раком?