LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от zink

В ssh люди ходят, доверяя фингерпринту хоста с первого коннекта, и ничего.

PolarFox ★★★★★
()
Ответ на: комментарий от atrus

Нет, сынок, папка - хостер и готовится барыжить сертификатами.

anonymous
()
Ответ на: комментарий от cvs-255

Раньше любой хиппи мог траву курить, а теперь надо рецепт у врача брать.
Раньше любой белый мог застрелить любого негра, а теперь надо полицейский жетон получать.

Куда катится эта цивилизация?

Goury ★★★★★
()

Да кому это нафиг надо?! TLS/HTTPS вообще ни от чего НЕ ЗАЩИЩАЕТ!
Вот буквально вчера настраивал себе в фирме патченый squid с SSL-bump-ом. Могу читать всю переписку в этих ваших вконтактиках по https у всех пользователей. Уже настроены триггеры на автоматическое сохранение сообщений с ключевыми словами.

Ну и что теперь? Нафига все эти усложнения, если они обходятся и имеются на раз-два? Нафига усложнять жизнь админам, если цель не достигнута?

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

anonymoos ★★★★★
()
Ответ на: комментарий от Quasar

С каких это пор домен стал необходимостью?

Goury ★★★★★
()
Ответ на: комментарий от zink

для себя можно самоподписанный сертификат сделать и прописать его в своем браузере, а выкладывать фотки из owncloud сюда, например, можно по http.

cvs-255 ★★★★★
()

Я еще раз убедился, что не зря за нас кто-то думает. Всем спасибо, валю из треда.

mandala ★★★★★
()
Ответ на: комментарий от Goury

Ну в принципе я давно хотел сделать форк хромиума и делать по настоящему свободный от корпораций проект. Но в одиночку это тяжело.

zenden
()
Ответ на: комментарий от Goury

" - Здравствуйте, у меня не работает интернет!

......

- Откройте браузер, введите 192.168.1.1, нажмите ентер. Открылось?

- Нет, браузер говорит, что протокол http устарел.

- поставьте проксирующий nginx. "

так чтоли?

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)

...

Интересно, как будут вести себя консольные браузеры и «паучки»

anonymous
()
Ответ на: комментарий от alozovskoy

Зачем сертификат тому, зачем этому. Вам только швабодку дай - каждый отговорку найдет. Надо форсировать это дело.

xake
()
Ответ на: комментарий от anonymoos

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

Ну, мозилла этому уже объявила войну. Если ещё и гугл подтянется, то придётся лавочку прикрывать.

atrus ★★★★★
()
Ответ на: комментарий от mandala

Это болезнь такая?

Это бесконечный процесс ожидания, что так оно и будет. Обязательно. Ну, правда. Вот сейчас. :)

atrus ★★★★★
()
Последнее исправление: atrus (всего исправлений: 1)
Ответ на: комментарий от zenden

Так и Ричард не в одно рыло GNU запилил.

Goury ★★★★★
()
Ответ на: комментарий от mandala

В топку!

ага, вместе с «юзверями» - это как-раз в стиле ПО XXI-века

anonymous
()
Ответ на: комментарий от atrus

Внутри фирм просто распространяешь свой собственный доверенный сертификат. Это необходимо, например, для корпоративной почты.

А провайдеры тоже что-нибудь придумают. В крайнем случае будет CA Russian Federation, который всем будет ставится на компы и без которого в принципе не будет работать интернет.

anonymoos ★★★★★
()
Ответ на: комментарий от Goury

Это не интернет, а твое желание похвастаться публично, возвыситься над остальными. Ведь ты смог что-то, чего не смог кто-то другой. Интернет тут лишь средство для достижения цели, не более. Ни к чему его упоминать.

Ghostwolf ★★★★★
()
Ответ на: комментарий от anonymoos

Внутри фирм просто распространяешь свой собственный доверенный сертификат.

Внутри компании, где можно прописать свой корневой сертификат и даже свои сборки хромиума, можно всё.

В крайнем случае будет CA Russian Federation, который всем будет ставится на компы и без которого в принципе не будет работать интернет.

Да... Конечно. Проще будет тогда уже отключить чебурашку от интернета, чтобы не мучилась. :)

atrus ★★★★★
()
Ответ на: комментарий от L29Ah

Емнип, firefox кладёт прибор на системное хранилище сертификатов.

Вообще странно, у меня cacert работает, на их же сайте говорят, что он в ФФ не попал, ну а там и в исходниках nss (или где он там должен быть) упоминаний о cacert нету.

risenshnobel ★★★
()
Ответ на: комментарий от anonymoos

ssl-bump работает, если добавить свой корневой сертификат в браузеры. без этого будет ругаться.

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

проверил отпечаток сертификата своего локалхост сайта при заходе с мобильника - совпадает.

cvs-255 ★★★★★
()
Ответ на: комментарий от Ghostwolf

А с интернетом неудобно работать, если ты не траффик.
Но работают же ни ничего.

Не удобно — сделай свой удостоверяющий центр и работай как тебе удобно.

Goury ★★★★★
()
Ответ на: комментарий от Ghostwolf

Нет, это моё к тебе послание: «прекрати винить во всех своих проблемах окружающих и пойми что проблема в данном случае в тебе».
То, что смог я, смогли ещё многие.
А тех, кто не смог — единицы.
Это не констатирует твоей неминуемой неправоты, но аргументирует прекратить ныть и попробовать иначе.

Goury ★★★★★
()
Ответ на: комментарий от cvs-255

проверил отпечаток сертификата своего локалхост сайта при заходе с мобильника - совпадает.

зайди с немецкого прокси,очень удивишься,еще зайди с малазийского или корейского прокси-просто офигеешь-везде будет разный сертефикат(причем может быть разный на каждый прокси,конечно прокси могут подменять,но 1 из 10 всеже даст реальный)

g1966464
()
Ответ на: комментарий от anonymoos

с подменой корневых серверов.

Прикольно

А ничего что браузер заорёт о том что crt не соответствует доменному имени?

Или ты предлагаешь залезть в каждый браузер и засунуть туда свой CA?

invokercd ★★★★
()
Последнее исправление: invokercd (всего исправлений: 1)
Ответ на: комментарий от Goury

Лол. Хорошо ли ты себя сегодня чувствуешь? Где ты во фразе "я так и не смог подружить" нашел обвинение окружающих?

Ghostwolf ★★★★★
()
Ответ на: комментарий от g1966464

У меня сервер стоит на антресоли и доступ к нему у меня напрямую, через локалку. Зашел по ssh и сделал

openssl x509 -noout -in apache.crt -fingerprint -sha1

Так что правильный fingerprint я точно знаю.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 2)
Ответ на: комментарий от dk-

Не забыл. И это у меня уже давно. Когда я выпускался из школы, мне даже особый подарок от учителей был, за дартаньянство, борьбу с двоемыслием и т.п.

cvs-255 ★★★★★
()

теперь заживем!

скажите там кто-нибудь этим гуглам-мозиллам, что 99.99% электронной почты до сих пор передается без какого-либо шифрования. а по емейлу более ценная информация передается, нежели фоточки котиков и тней, которые они так усиленно пытаются защитить. вдруг они не знают еще.

Rost ★★★★★
()
Ответ на: комментарий от atrus

Ну, мозилла этому уже объявила войну.

Удостоверяющие центры должны выполнить данные требования до 27 апреля. Если требования не будут выполнены, Mozilla удалит из списка корневых сертификатов, поставляемого в составе своих продуктов, сертификаты удостоверяющих центров, уличённых в практике продажи вторичных корневых сертификатов. В частности, речь ведётся об удостоверяющем центре Trustwave. После удаления сертификата из списка корневых сертификатов Mozilla, все другие сертификаты, подписанные данным удостоверяющим центром, будут отображаться в Firefox как не заслуживающие доверия.

Ага, вы нам пообещайте, что мы никому не выдадите сертификат для mitm, а мы поверим вам на слово.

При любой ошибке CA у него сразу должны отзывать всё, что можно, а контора должна разоряться, а владельцы получать иски от клиентов, попадать в нищету и подыхать в канаве от голода. Иначе никак.

По факту же у мозиллы не хватило balls на то, чтобы отозвать тогда trustwave, а если поймают за руку comodo, на котором половина интернета сидит, то тем более не хватит. Пошумят и разойдутся.

risenshnobel ★★★
()
Ответ на: комментарий от invokercd

А ничего что браузер заорёт о том что crt не соответствует доменному имени?

не заорёт, если корневой есть в списке доверенных. В мозилке это сотня различных сертификатов. С кем-нибудь из них вполне по зубам договорится и фирмочке среднего пошиба. Про государства я вообще молчу.

anonymoos ★★★★★
()
Ответ на: комментарий от rezedent12

Или об открытом форуме. Одно дело - отправка сообщений, да их надо шифровать, дабы затруднить деаномизацию. Но другие дело что сами сообщения доступны и так всем.

если из всей сессии будет зашифрована только отправка сообщений - определить кто какое сообщение писал - элементарно.
И это, кстати, хороший пример и того, почему нужно шифровать всё, и того, почему вручную тратить время на разделение информации на важную и нет - бессмысленный неэффективный геморрой.

Anonymous ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.