Про тн «trusted certs» все ясно — не могут они быть секурными по определению. Но что на счет частных сертов? Как гугл их расшифровывает?

да и без того понятно, что это полное дерьмо, которое ставят жадным клиентам на хроме чтобы не нервничали

Нет, с частными (т е когда у тебя есть свой собственный УЦ с блекджеком и шлюхами) — всё норм.

Просто не все осознают разницу (Let’s Encrypt — и в путь).

lol, добавим плюсик MTPROTO

Скоро все не HTTPS-сайты отключат на радость хипстеркам. Хромог уже помечает любой сайт (да, даже без любых полей ввода), как ололо НИБИЗАПАСНЫЙ, покиньте его скорее.

Следующий шаг Google под гикикание веб-макак и хипостоты прилепить такую вот табличку к каждому не HTTPS-сайту. Ну а потом и вовсе отключить возможность посещения подобных страниц.

Скоро все не HTTPS-сайты отключат на радость хипстеркам.

За последние несколько месяцев я столкнулся с несколькими случаями брутального блокирования порта 80 некими местечковыми ИСП. Типичная жалоба - Интернет работает, но некоторые сайты не можем посмотреть. Вскрытие показало недоступность всего, что идет через порт 80.

А я давно это говорил. Но мне никто не верил.

А можно без истерики кратко описать в чём собственно суть. По ссылке за «АЗАЗАЗАЗАЗА», «ОЛОЛОЛОЛОЛО» и прочей пеной изо рта суть не разглядел. Гугл выписывает себе валидные сертификаты для чужих доменов без содействия со стороны владельцев этих доменов?

http://neverssl.com

Для тестирования подобного поведения.

Белки-истерички

Так а о чем речь? CDN могут расшифровывать трафик через них проходящий - вот так открытие! Ну не подключайся к этому CDN и не подписывай им сертификат
К чему-то google cache, который по ссылке оттуда же

предназначенный для оптимизации нагрузки на мощности Интернет-провайдера при работе с сервисами Google
при работе с сервисами Google

Гугол может расшифровывать трафик идущий к сервисам Google!

Он делает какие-то глупые выводы, а учитывая что он из Казахстана, скорей всего целенаправленно, из-за чего в тексте такие противоречия:

HTTPS должен сохраняться лишь на логин-страницах (и, может быть, на страницах с формами персональных данных),

А зачем тут https, если по его словам он небезопасен? А если https всё таки защищает трафик (передачу пароля-то он рекомендует делать по https), так может и контент от вмешательства тоже стоит защищать?

Все его выводы строятся на основании того что владельцы CDN кешируемый контент могут видеть. ОК. А причём тут https? Может просто надо не пользоваться услугами сторонних CDN, если тебя как сайтовладельца это волнует?

Так чё там, вся драма из за того что CDNы, и прочие прослойки, не просто так хранят, а ещё и используют переданные им приватные ключи?

Можно и так. Чего не хватает в этих предепреждениях - нормального описания.
Дом.ru только и ждёт перехода на корневую страницу сайта без http, чтобы перенаправить с него на свою страницу с рекламой скидок, мобильного приложения. ОпСоС'ов тоже ловили на встраивании рекламы прямо в страницы.

CDN могут собирать информацию о клиентах, а еще их владельцы выдают/могут выдавать сами знаете кому информацию по первому же запросу. А учитывая растущую популярность таких сервисов, возникает ситуация, что данными, передающимися https теоретически владет любой, кто сотрудничает с CDN. Смысл шифрования теряется - существует совершенно официально mitm. Некоторым категориям людей это не нравится, ведь для определенных государственных служб это более изящный способ получать информацию, чем подменять сертификаты.

Ну т.е. человек сам отдаёт свой домен и сертификат сторонней конторе чтобы они пропускала через себя его трафик, а потом удивляется что эта контора пропускает через себя его трафик.
Где тут проблема HTTPS? С такой логикой SSH это вообще лютое решето, ведь можно разрешить логиниться рутом по паролю и сообщить IP и пароль всему интернету, и тогда будет считай что бе аутентификации. Надо срочно переходить на telnet под рутом без аутентификации

То что CDNы это зонд было понятно уже давно, а кому непонятно тому никакие https не помогут, только Антивирус Каперского самоустанавливающийся на сервер после предоставление рутового

А например, если у тебя просто сервер у амазона, то амазон сможет собирать информацию о клиентах, а ещё его владельцы выдают/могут выдавать сами знаете кому информацию по первому же запросу.

Алсо, ещё совсем наглое 4.2, на которое нет пруфа

Всеобщий HTTPS выгоден только Корпорации Бобра - так как позволяет знать и то, что вы желали бы скрыть, а еще позволяет уделать кэширующих HTTPS конкурентов - потому что расшифровывает и кэширует все, а не только те сайты, на которые выписаны подписанные рутами серты.

Гугол и так может анализировать всё, что ему надо, в том числе весь трафик - пользователей андроидов и гуглохрома. Зачем ему подставляться и выпускать липовые сертификаты?
Хотя теоретически, конечно, может, как и любой доверенный CA. В принципе есть правда, что https без пиннинга сертификата немножко решето, но вывод, что поэтому теперь https не нужен - просто пушка!
Замки на дверях не нужны, всё равно любой домушник сможет вскрыть, поэтому оставляйте двери открытыми!

Там у кого-то от истерики мозги отказали. «По слухам на автомобиле можно и с ремнем безопасности убиться! Так что ремни - опасны! Создают иллюзию безопасности! Оставить ремни только гонщикам!»

HTTPS с сертификатами от Let's Encrypt - сесурно, а кэширующие CDN от гугла и компании - нет, в этом суть статьи? И в чём тогда проблема с безопасностью HTTPS без кэширующей спайвари от гугла и ко?

школота атакует? по ссылке че-то слабо читабельное. понятно только, что автор ничего про google cache точно не знает и что там на айпишнике гугла тоже не знает. почему whatsup не может размещать свой CDN у google. поднял свои виртуалки или еще какой-нибудь штатный CDN-сервис использует там и дело в шляпе.

По слухам на автомобиле можно и с ремнем безопасности убиться! Так что ремни - опасны! Создают иллюзию безопасности!

удачный пример. я как-то разговаривал с водителем (по профессии), который принципиально не пристегивается, потому что считает так опаснее.

а 8080?

который принципиально не пристегивается, потому что считает так опаснее.

так все считают

Кто-то доверяет вацапу и не доверяет гуглу? Лол.

Статья ни о чем.

Белки-истерички

+1. У товарища нет никаких пруфов подмены сертификата. Только брызжущие по всей комнате умозаключения о том, какой гугл плохой и что вообще CDN - это плохо.

Тред полон технически безграмотных наркоманов

Просвети их

Зачем? Они просто должны догадываться что они бюргеры, но воду от этого святить они не перестанут. Фольга на голове лечится сложно

Следующий шаг Google под гикикание веб-макак и хипостоты прилепить такую вот табличку к каждому не HTTPS-сайту. Ну а потом и вовсе отключить возможность посещения подобных страниц.

Ты забыл продолжить: потом перестанут выдавать сертификаты всякому быдлу и превратятся хипстеры в пролей, которые будут кодить на заводе за бутылку вотки.

Вот этот «пассаж» немного удивил - «Как, интересно знать, LE станет поддерживать CRL для миллионов протухших или отозванных сертов?»

Зачем им поддерживать CRL для «протухших» сертификатов, если они просто валидацию по времени не пройдут. И отозванные достаточно держать в CRL до момента истечения срока действия, так что никакого мега-SAN под это дело не нужно

А я еще 10 лет назад говорил что Хромой это новый Ишак. Хипстеры и прочие альтернативно-одаренные не поверили.

А зачем честному человеку свой сервер. Вдруг он террорист или пират? Все в фейсбук и твиттер!

Нет, с частными (т е когда у тебя есть свой собственный УЦ с блекджеком и шлюхами) — всё норм.

Не поможет собственный УЦ, любая комода или китайский восигень могут выписпть сертификат на твой васяпупкин.рф, не смортя на то, что ты выписывал туда сертификат от своего личного УЦ. Так работают всякие интырпрайз корпоративные проски, пропуская через себя шифрованный трафик от юзеров, у которых стоит доверенный корневой центр через корпоративную политику. Собственно, даже ынтырпрайза не надо, можешь сам полюбоваться на это счастье с помощью сквида (нужно собирать со специальными ключиками, когда я несколько лет назад пробовал, в стандартных поставках оно было отключено, и тогда вроде был отдельный костыль для генерации сертификатов на ходу, а щас он встроен в сквид) и такой то матери.

Там параноики вещают про опасность HTTPS с точки зрения всевидящего ока большого брата, а это данность до тех пор, пока у тебя в доверенных корневых центрах есть личности, которых ты не можешь завтра расстрелять лично. Не нужно быть даже CDNом. Нет, HTTPS не спасает от спецслужб. HTTPS это защита от васяна со сниффером, который хочет твой пароль от втентаклика.

HTTPS поможет только какой-либо вариант пиннинга, когда истошные крики раздаются на любое изменение сертификата с прошлого раза.

Почему автор видит проблему именно в https я судить не берусь. Я просто кратко изложил первую половину статьи.

Certificate Transparency тоже частично спасёт от сертификатов выписанных левыми (но доверенными) УЦ. Но только в том светлом будущем в котором его будут поддерживать все кого жалко выкинуть из доверенных

Некоторые и сейчас не верят. Мол ишак ведь был плохой, а хромоног хороший

Некоторые и сейчас не верят. Мол ишак ведь был плохой, а хромоног хороший

А я предпочитал ишак и до последнего даже не думал пользоваться альтернативами, т.к. на нём большинство сайтов работало лучше всего (они под него затачивались). На Firefox ушёл только уже когда он стал более менее популярен. Да и то стал им пользоваться чисто из-за того что все «нормальные» люди им стали пользоваться, а мне было норм и на ишаке в принципе. Ну разве что вкладки были удобной вещью.

Новое поколение веб-дев не помнит те времена когда ишак был не обузой, которую за каким-то лядом взволил на них заказчик, а «ах да, есть какие-то другие браузеры, что-то такое слышал»

Табы появились в IE7. А ещё был Maxthon на движке ишака, для своего времени ничего

Чел обычный псих с потоком сознания, которое выдаёт за гениальное откровение.

При беглом осмотре он заметил, что один из доменов Whatsapp ведёт на казахстанский ip, который по базе зарезервирован за Google Global Cache.

Тот факт, что Whatsapp принадлежит Facebook его видимо не смущает. Вероятно этот зонд не трёт. Тот факт, что информация может быть неадекватной, устаревшей и там сейчас амазоновский CloudFront сервер он в рассчёт не принимает. Тот факт, что в жопе мира амазон мог не договориться и зашёл через гугл тоже не принимает в рассчёт.

А топя за некий иной механизм он напрочь игнорирует тот факт, что всё ещё рассматривает Whatsapp, т.е. доверяет компании, а не механизму защиты.

меня это может волновать как сайтопользователя

Да-да, помню Maxthon, первый браузер на который я тракторнул с ишака. Это было круто

Шпионаж со стороны CDN не главная спинья которую сайтостроитель может подсунуть сайтопользователю. Если говорить о приватности: счётчики посещаемости, аналитика, виджеты социальных сетей (лайки), элементы вставленные со сторонних сайтов (iframe, да и просто изображения)…

который хочет твой пароль от втентаклика.

Так в ВК пароли в открытом текстовом виде хранятся, это же Mail.Ru, HTTPS там как собаке пятая нога.

Нет, HTTPS не спасает от спецслужб. HTTPS это защита от васяна со сниффером, который хочет твой пароль от втентаклика.

Так в этом и суть всего шифрования. Достаточно думать своей головой.

объясните убогому, что такое CDN, за которое тут все трут? по сцылке не ходил

Если грубо - сеть кэширующих прокси