«А зачем сайт в интернете выставлять через де-факто несвободные протоколы вроде HTTPS» - автор совсем упоролся?

Нужно гуглить как и на сколько выдаются корневые CA но лично мне лень потому что я вообще не вижу во всем этом проблемы.

Нет. Даже старый сертификат имеет срок годности. Т.е. после какой-то там даты он перестанет работать.

В такой постановке - согласен.

Ок. Понятно. Т.е. механизм есть, но кому вы нужны со своими подкроватными серверами и домашними сайтами, чтобы сертификаты у вас отзывать?

+100500 потому в интересах всех других государств иметь не такую централизованную систему как корневой сертификат который технически предоставляет разработчик браузера, на текущий момент гугл.

Как человеку, далёкому от шифрования, подскажите, автор поста совсем фантазёр, или разумные вещи говорит?

И то и то, на самом деле. Протокол HTTPS действительно работает через центры сертификации и сертификат действительно может дядя отозвать, но дядей более одного, а значит можно пойти к другому.

Ок. Понятно. Т.е. механизм есть, но кому вы нужны со своими подкроватными серверами и домашними сайтами, чтобы сертификаты у вас отзывать?

Да, более того, есть гораздо более простые способы обосрать чей нибудь сайт. Ты тут упоминал РКН, вот если разобраться в его механизмах работы то выяснится что в черный список заносят доменные имена, а провайдеры через ДНС запрашивают список IP адресов который и будет по факту блокироваться, не везде именно так но бывает и такое. А теперь представь что у тебя есть доступ к ДНС записям домена из черного списка РКН и ты можешь писать там любые ip… можно весь инет говном поливать.

А еще у интернет провайдеров есть интересные протоколы которые отвечают за правильную работу маршрутизации трафика в интернете, и они могут зарегистрировать несуществующий маршрут отправив весь трафик какого то сайта в /dev/null

Как я уже и сказал не о CA нужно беспокоиться)

случаев отзыва сертификатов за то что мордой не вышел не припомню

Слышал про Parler? Google и Apple выкинули их из магазинов, AWS отказался продолжать предоставлять хостинг, от платёжных систем отключили, вроде бы ещё что-то с доменом было, не помню что.

После такого отзыв сертификатов по желанию левой пятки чем-то особенным уже не выглядит.

Хаха, похоже, что последние 15 лет ты пролежал в криокамере, и про Google Chrome ты никогда не слышал.

А контент, свёрстанный по свежим стандартам, тебе кто отрисовывать будет?

А контент, свёрстанный по свежим стандартам, тебе кто отрисовывать будет?

У html хорошо с обратной совместимостью. Для личного сайта можно по несвежим стандартам рисовать

https://youtu.be/z4cFMpndCDc

посмотри вот это)

Это проблемы не решает. В итоге ты один будешь туда ходить. Мог бы и на локалхосте поднять в таком случае.

Ты же в курсе, что HTTP активно выдавливают, пугая пользователей предупреждениями? Тут конспирологам даже выдумывать ничего не надо, ведь если бы цель была в усилении контроля над интернетом, действовали бы точно так же.

Отзыв сертификата доставляет гораздо меньше проблем отзываемому, и гораздо больше проблем отзывающему, по сравнению с aws, гуглплеем и мастеркардом.

Это каких же проблем?

Тот же AWS по-идее должен был получить огромный урон репутации. Но всем оказалось насрать.

Посмотрел, я не думал, что все настолько плохо, там ~70%, ужас.

Как человеку, далёкому от шифрования, подскажите, автор поста совсем фантазёр, или разумные вещи говорит?

Если сертификат безопасности сайта получен из конторы, заведующей сервером удостоверяющего центра (Certification authority, CA), то очевидно, что работоспособность сайта зависит от механизма проверки подлинности сертификата, от определения не устарел ли сертификат или не отозван — клиенты сайта запрашивают эту информацию у сервера CA и выясняют, можно ли доверять сайту. Если можно доверять, то происходит обмен публичными ключами между клиентом и сайтом и установление безопасного «туннеля» передачи данных с использование протоколов шифрования (TLS или SSL) и одного из методов шифрования.

Удалить сайт с хостинга можно мгновенно и это доставит ощутимый геморрой авторам прямо в тот же момент. А отзывать серт, админ сайта поменяет его на другой ещё до того, как в виндус апдейт загрузят очередную версию списка отозванных сертификатов.

Ограничения-санкции если вводить, то надо вводить их так, чтобы ущерб себе был ниже ущерба тому против которого их вводят.

Ну и да, на немодерируемые мусорки в интернете в целом примерно всем насрать. AWS и до этого не имел репутацию того, что он будет хостить всё без разбора.

Вот ты подсказал, до конца недели оформят

Выдавателей сертификатов не один и не два, и отзыв сертификата это… такое себе для них.

В смысле «такое себе»? Выпуск CRL это штатная функция любого CA, не требующая в общем то почти никаких затрат.

Да, и таких дядь много. Сертификационный центр, хостер, регистратор домена в случае с РФ ещё и РКН.

Я так понял имеются ввиду какие-то нетолерантные или недостаточно толерантные высказывания, которые могут непонравится левопрогрессивному сертификационному центру, по аналогии с банами в твиттере или фб

Это же не отменяет бредовости обсуждения в ключе «дядя, который может прикрыть доступ к твоему сайту».

Ну и да, на немодерируемые мусорки в интернете в целом примерно всем насрать. AWS и до этого не имел репутацию того, что он будет хостить всё без разбора.

Говоря про конкретную мусорку, о её существовании я узнал только из СМИ, когда её заблокировали. Но так как СМИ контролируют те же ребята, что заблокировали мусорку, то мы думаем о мусорке как о мусорке и нам её совсем не жаль.

Это же будет в случае блокировок западным РКН. Людям промоют мозги и все будут говорить, что так и надо. Поэтому блокировки - дело дешёвое для тех, кто контролирует инфополе.

Автор прав. Https навязывают гугло-фашисты пользуясь своим монопольным положением на рынке. По факту на 99% сайтов он не нужен.

Кто дяде запретит это сделать?

Https навязывают гугло-фашисты пользуясь своим монопольным положением на рынке

Кто дяде запретит это сделать?

Вы это на серьёзных щах? Я проснулся в другой реальности…

РКН и не такое может!!! Куда там америкосам до РКН...

Вообще то да. Ты какой браузер используешь? Условно, завтра, чтобы на нем посмотреть http придется ввести форму на полэкрана. Это и есть монопольное фашистское навязывание. Да и сертификационному центру ничто не мешает отозвать сертификат, на который ты потратил сотни бабла, точно также как леваки из твиттеров и фейсбуков банили недавно свободномыслящих.

Никакой гугл не сделал для навязывания https столько, сколько сделало приложение под рутованный андроид вида «нажми на кнопку, и зайди на фейсбук-вконтакт залогиненным от кого угодно соединённого через тот же макдачный вайфай».

Я в сумме не очень понимаю зачем и правда такая агресивная политика в отношении введения и повсемесного перехода на https. Согласен что большинству оно не нужно. Вот только хоть убей не придумать не могу мотив зачем оно нужно «дяде»... Есть идеи?

Вот пусть фейсбук-вконтакт и используют https. Нахера https сайту-визитке дяде-васе? Еще раз, по факту именно гугло-фашисты навязывают говнотехнологию, которая нужна в 1% случаев.

Нахера https сайту-визитке дяде-васе?

Например чтобы антон-телеком не вставлял свой рекламный баннер и майнилку биткоинов.

Например чтобы антон-телеком не вставлял свой рекламный баннер и майнилку биткоинов.

Пусть ставит, рыночек порешает, сколько пользователей будет у антон-телекома, а сколько у мария-телекома.

Нельзя забывать, что повсеместное шифрование увеличивает нагрузку на железо как пользователя, так и сервера, а это ведёт как к проблемам окружающей среды, так и к финансовым потерям (стоимость электричества где-то больше, где-то меньше)

Пусть ставит, рыночек порешает, сколько пользователей будет у антон-телекома, а сколько у мария-телекома.

Вот он и порешал, что на количество абонентов это не влияет. Кабы влияло, провайдеры этим не баловались бы

Я только что вспомнил как у меня мобильный инет от Мегафон подменял 404 на рекламу своих сервисов, это пи*ц, они просто еб*е). Мне нужно было проверить как мой сервер отрабатывает 404, захожу с сотового на свой сайт, а мне там предлагают подключить Мегафон ТВ. Как же у меня бомбило… С ТП только матами и общался…

Тем не менее, на количество абонентов это не повлияло. Я уж молчу про подписки при клике на какую-нибудь ссылочку, заботливо подсунутую мегой…

Да, как и я остался на Мегафоне, мне нужен мобильный инет, а у них он хорошо работает. Отдел маркетинга …. на всю голову, а инет норм.

В результате я раз 7-10 срался с ними на тему отключения рекламы. Последнее о чем я с ними ругался это когда они мне подключили платный сервис предотвращающий нежелательные списания я на опыте не держал на балансе лишнего, в результате этот сервис защиты от нежелательных списаний списал мой баланс в 0 и отключил мне инет и даже тех поддержка 2 дня не могла его отключить, они его сначала отключили но потом он вернулся и продолжил списывать мой баланс, пришлось заявку оставлять на более крутых специалистов. У меня за эти два дня несколько раз гнев и батхерт менялся на дикий ор с того что они сами не могут отключить его.

Волшебная компания этот Мегафон

Но, да, инет шустрый. И всякие emotion’ы, VoLTE…

Как человеку, далёкому от шифрования, подскажите, автор поста совсем фантазёр, или разумные вещи говорит?

Он не очень умён и возможно активный комментатор с opennet. Там прямо секта https-ненавистников.

Он путает протокол, PKI и систему центров сертификации. Из них только последняя находится в управлении частников. Хочешь - поднимай свою. Пользоваться ей будешь правда только ты и твои друзья.

Т.е. таки ж дядя может прикрыть мой конкретный сайт?

Некий условный дядя может прикрыть твой сайт. Правда насильственный отзыв сертификата это последнее, что он будет делать. Есть куча способов проще.

Т.е. если я сейчас захожу на свой https сайт - то, не обновляя браузер, буду заходить всегда?

Нет, в браузере хранятся только корневые и промежуточные сертификаты. Которыми заверяются уже сертификаты сайта. Срок их жизни обычно 10+ лет. Сертификат сайта скачивается с него. Если ты не будешь обновлять сайт, то тебя скорее кто-нибудь взломает через незакрытую уязвимость.

Всегда есть IE, который уже не обновляется, а в https умеет.

Его https устареет быстрее, чем протухнут сертификаты. Сама поддержка протоколов. Там TLS 1.3 по умолчанию выключен. А введут 1.4 и привет.

Если к дядям придёт американский РКН, они радостно променяют репутацию на законопослушность.

Не знаю, как насчёт радостно, но если закон их обяжет сотрудничать, они будут. Вообще ваша беда в том, что вы упорно пытаетесь натянуть сову на глобус, пытаясь насильно подогнать аргументы под ответ. Если полиции нужно содержимое вашего хостинга, они пойдут к хостеру. Если нужно прекратить работу вашего сервера (например это C&C-сервер), то они опять же или пойдут к хостеру или добьются разрегистрации доменного имени, т.к. это более надёжно, ведь не даст вам даже теоретической возможности получить сертификат у другого центра.

Далее. Если авторы некоего браузера захотят, чтобы какой-то сайт у них в браузере не открывался, они не будут играться с сертификатами. Они просто пропишут в коде запрет открывать какой-то сайт и похуй по какому протоколу. Более того, такая система уже есть. Встроенный чёрный список сайтов, атакующих пользователей, распространяющих вирусню и т.д.

Ну и в третьих, вы совершенно по детски пытаетесь решить политически проблемы техническими методами. Если в некой стране власти вообще осуществляют цензуру, блокируют или закрывают сайты, не связанные с совершением преступлений, то у этой страны политически проблемы. И решить их можно только политическими методами. Борьбой там за права и т.д. Любые другие способы могут дать лишь временную отсрочку.

Американцы введут санкции на конкретные сайты - например, minenergo.gov.ru

Санкции против... Сайта? На этом мои полномочия - всё.

это бывший wintrolls, пользователь WindowsXP и известный HTTPS-офоб, не нужно его серьёзно воспринимать в этом вопросе

В этом были замечены Мегафон, Билайн, московский метрошный вайфай. Что там рыночек порешал?

В этом были замечены Мегафон, Билайн, московский метрошный вайфай. Что там рыночек порешал?

Это и порешал. Баловство с рекламой не влияет на количество абонентов.

автор прав, и корневые и сам сертификат сайта и используемые протоколы можно скомпроментировать, отозвать и отключить что приведет к невозможности доступа для обычных пользователей.

Возможность такая есть, такое происходило и происходит не раз.
Но в этом ничего ненормального нет.

В этом были замечены Мегафон, Билайн, московский метрошный вайфай. Что там рыночек порешал?

Если все игроки рынка делают одинакового рода гадости, то от этого не уйти. Видимо конкуренты настолько плохи, вариант переходить к ним не вариант.

Свободным может быть только тот, против кого не принимают никаких мер, потому что боятся. В современном мире для этого нужен не хороший свободный протокол, а хотя бы парочка ядерных бомб, спрятанных под какими-нибудь крупными городами так, чтобы все знали что бомбы есть, но где и в каком городе - не знали.

Конечно, тут смотря что называть свободой. Ядерные бомбы не помогут против партизан. А если эти партизаны еще и ничем не отличаются от простых жителей, то кого бомбить?

На данный момент прекрасно помогут не то что ядерные, а самые обычные бомбы с бомардировщиков. Просто планомерно уничтожать инфраструктуру, включая электростанции и места добычи углеводородов и других полезных ископаемых. Если говорить про развитые страны, в том числе Россию, то после такого от населения останется в живых максимум 5-10 процентов, остальные сдохнут от голода и холода. Чтобы серьёзно партизанить, нужно уметь выживать на том, что есть вокруг. Нужно традиционное сельское хозяйство у семей и тд и тп. Этого уже нет почти нигде.

Всё правильно говорит, но левая пятка вроде пока ни разу желаний не проявляла.

Кроме того добавить в систему/бравзер корневой сертификат не очень большая проблема.

Ну так не делай. Есть свободный TOR, запили сайт в зоне .onion и HTTPS там не нужен.