LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от h578b1bde

Вот бы он и от нас съехал (ростелеком), может все-таки возьмете, а? :)

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

Этот тот, на который браузеры большими красными буквами ругаются? Для публичных ресурсов оно не годится.

Смотря что считать публичным? Многие торговые площадки да много еще чего требуют установки своего сертификата, а это вполне себе публичное место.
Если же говорить про всякие быдлокласники и т.д. то «мы же не о них говорим».

anc ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

А тратишь усилия на защиту твоих же пользователей от MitM.

В том и дело что оно от MitM принципиально не защищает: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

вообще подпись центра не обязательная, но рекомендуется для широкого круга пользователей

Да, потому что без неё браузеры ругаются большими красными буквами, в отличие от обычного http (логика? не, не слышали).

Потому что без HTTPS любой злоумышленник может сделать что угодно от твоего имени с помощью MitM

А с https но без сертификата от CA злоумышленник ничего не сможет сделать по причине ненужности такого сайта для пользователей.

А ещё есть DNSSEC, если ты так боишься непорядочности сертификационных центров.

Это совсем другой уровень, не имеющий отношения к https.

Критикуя - предлагай.

Предлагаю запрещателям из мозиллы запретить http у себя на локалхостах и успокоиться.

h578b1bde ★☆
()
Ответ на: комментарий от anc

Многие торговые площадки да много еще чего требуют установки своего сертификата

Сравнивать массовые торговые площадки и мелкие сайты для полторы домохозяек несерьёзно. Кстати, я пока что таких площадок, предлагающих чего-то там установить не видел.

h578b1bde ★☆
()
Ответ на: комментарий от zenden

Есть задачи, в которых шифрование ... даже опасно.

Не могли бы привести пример опасности шифрования?

Deleted
()
Ответ на: комментарий от h578b1bde

В том и дело что оно от MitM принципиально не защищает: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

С помощью расширений, которые детектируют смену отпечатка, сертификационного центра и ведут статистику (например, от EFF) - таки защищает. Так что здесь скорее недоработки браузеров.

Да, потому что без неё браузеры ругаются большими красными буквами, в отличие от обычного http (логика? не, не слышали).

Потому что https предполагает защищенное соединение. А какое же оно защищенное, если браузер не может провалидировать?

Логика в том, что обычный http - наследие эпохи, и эволюция состоит в том, чтобы со временем тоже его помечать как небезопасное. В этом и задумка Mozilla, тогда всё станет на свои места.

А с https но без сертификата от CA злоумышленник ничего не сможет сделать по причине ненужности такого сайта для пользователей.

Перефразируй, я не понял, что ты хотел сказать.

Это совсем другой уровень, не имеющий отношения к https.

Информацию о PKI можно публиковать в зонах DNSSEC, а с помощью расширений браузера (а в идеале - интеграция в браузер) можно проверять соответствие цифровых отпечатков.

Предлагаю запрещателям из мозиллы запретить http у себя на локалхостах и успокоиться.

Неее, это так не работает ;)

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

С помощью расширений

Мне ещё и сторонние костыли домохозяйкам ставить, а потом платить деньги за каждый фейл CA (и как следствие отзыв сертификата) самому CA? Вдвойне ненужно.

которые детектируют смену отпечатка

Сертификат закончился/отозван и был выпущен другой, отпечаток поменялся — ругань красными буквами?

сертификационного центра

CA скомпрометирован, его сертификат исключён из списка доверенных, администратор сайта берёт сертификат у другого CA — ругань красными буквами?

Потому что https предполагает защищенное соединение. А какое же оно защищенное, если браузер не может провалидировать?

Оно и провалидированным не является защищённым, что хорошо показывает случай с CNNIC выше.

Перефразируй, я не понял, что ты хотел сказать.

Домохозяйка заходит на сайт с самоподписанным сертификатом, видит ругань красными буквами на весь экран с маленькими кнопками внизу „продолжить”, „получить сертификат”, „действительно продолжить”. Домохозяйка ранее запускала трояны с левых сайтов и уже знает что если браузер на каком-то сайте пишет слово „небезопасно” — такой сайт лучше закрыть. Действия домохозяйки?

а с помощью расширений браузера (а в идеале - интеграция в браузер) можно проверять соответствие цифровых отпечатков

Т.е. без сторонних костылей сейчас оно защищает лишь мозг хомячков от разрыва шаблонов.

h578b1bde ★☆
()

Кстати, для всех, кто говорит «HTTP не нужен» - пример usecase. Есть локалка, в ней есть локальные веб-ресурсы (от всяких кастомных сервисов до банальной админки роутера).

1) HTTPS нафиг не нужен, потому что это локалка и все друг-другу доверяют. А если админ сети захотел бы шпионить, то полез бы сразу на сервер и HTTPS бы не спас.

2) Никто не даст тебе сертификат на локальный ресурс, потому что ты не сможешь подтвердить владение им (на то он и локальный, что его видишь только ты). К тому же в разных локалках разных людей может быть одно и то же доменное имя (какой-нибудь router.local).

3) На самоподписанные сертификаты браузеры очень ругаются. Единственное решение - установить всем пользователям корневой сертификат, но это неудобно, да и не всегда приемлемо. Да и правильно они ругаются - иначе можно было бы подделать сертификат сетевого ресурса, который не настолько популярен, чтобы к нему применили pinning.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Мне ещё и сторонние костыли домохозяйкам ставить

Нет, расширения ставит тот, кому это надо.

а потом платить деньги за каждый фейл CA (и как следствие отзыв сертификата) самому CA?

Нет, ты можешь взять бесплатный CA с возможностью бесплатного отзыва. А ещё можешь бесплатно проксировать через CloudFire, они сами позаботятся (если доверяешь CloudFire, конечно).

Сертификат закончился/отозван и был выпущен другой, отпечаток поменялся — ругань красными буквами?

CA скомпрометирован, его сертификат исключён из списка доверенных, администратор сайта берёт сертификат у другого CA — ругань красными буквами?

Просто ругань. Но ещё собирается статистика отпечатков сертификатов (публичная информация ведь), оно может ругаться только если у тебя другой отпечаток, чем в статистике (также расширение может учитывать факт скорого окончания предыдущего сертификата и факт отзыва).

Оно и провалидированным не является защищённым, что хорошо показывает случай с CNNIC выше.

Эти случаи единичны и довольно быстро обнаруживаются сейчас.

Домохозяйка заходит на сайт с самоподписанным сертификатом, видит ругань красными буквами на весь экран с маленькими кнопками внизу „продолжить”, „получить сертификат”, „действительно продолжить”. Домохозяйка ранее запускала трояны с левых сайтов и уже знает что если браузер на каком-то сайте пишет слово „небезопасно” — такой сайт лучше закрыть. Действия домохозяйки?

Закрыть сайт, и она сделает правильно. Возможно, проконсультируется в более опытных пользователей.

Т.е. без сторонних костылей сейчас оно защищает лишь мозг хомячков от разрыва шаблонов.

Нет, это уже обсуждалось. Попробуй подменить сертификат ЛОРа. Может, это сможет сделать твой провайдер? Или Ростелеком?

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Нет, расширения ставит тот, кому это надо.

Пусть и с https и сертификатами заморачивается тот, кому это надо, ничего против не имею.

Нет, ты можешь взять бесплатный CA с возможностью бесплатного отзыва

И много CA дают такую возможность?

А ещё можешь бесплатно проксировать через CloudFire, они сами позаботятся

Защищаемся от возможного MitM, добровольно соглашаясь на перманентный MitM.

Просто ругань

А, ну это в корне всё меняет, потери аудитории можно не бояться.

Но ещё собирается статистика отпечатков сертификатов

И сколько времени будет занимать открытие обычной страницы со всеми этими прибамбасами?

также расширение может учитывать факт скорого окончания предыдущего сертификата и факт отзыва

А может и не учитывать.

Закрыть сайт, и она сделает правильно

Тогда зачем мне весь этот геморрой нужен если у меня уже прямо сейчас работает беспроблемный http?

Попробуй подменить сертификат ЛОРа

При утечке закрытого ключа одного из CA — легко.

Может, это сможет сделать твой провайдер? Или Ростелеком?

Ростелекомы и прочие проблемы жителей снежной Нигерии мне не интересны. Там вполне могут сделать подсовывание своего сертификата для всех сайтов, все несогласные пускай сидят без интернетов. Валидация сертификатов у CA кроме разрыва пуканов тут ничем не поможет.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

При утечке закрытого ключа одного из CA — легко.

Из HSM? Ну-ну. Пример с CNNIC не показателен, там сертификат с CA:TRUE был выдал левым атласам, которые не удосужились разместить его в HSM, как все нормальные люди.

grossws
()
Ответ на: комментарий от Rost

Только у тех, кто не осилил настроить ESMTPS.

В том же постфиксе дописать пару строчек:

smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtp_tls_security_level = may

чтобы включить tls на исходящих соединениях и чуть больше на входящих:

smtpd_tls_security_level = encrypt
smtpd_tls_CAfile = /etc/postfix/ca.crt
smtpd_tls_cert_file = /etc/postfix/server.crt
smtpd_tls_key_file = /etc/postfix/server.key

Большинство же популярных почтовиков (gmail, yandex, mailru) давно осилили эти настройки и используют ESMTPS.

grossws
()
Ответ на: комментарий от grossws

Большинство же популярных почтовиков (gmail, yandex, mailru) давно осилили эти настройки и используют ESMTPS.
.... yandex, mailru

О дааа, давно, просто трындец как давно. Последний в прошлом году, а так да, это было очень давно.
ЗЫ И imap они оба просто жутко как давно осилили....

anc ★★★★★
()
Ответ на: комментарий от mcFactor

self-signed

в каких «обозревателях» проблема подсунуть

IE и Хром - определённые сочетания.

mumpster ★★★★★
()
Ответ на: комментарий от h578b1bde

Тогда зачем мне весь этот геморрой нужен если у меня уже прямо сейчас работает беспроблемный http?

Потому что относительно скоро он перестанет быть беспроблемным. АХАХАХАХАХА!

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Потому что относительно скоро он перестанет быть беспроблемным.

Расскажешь это пользователям множества заброшенных сайтов с нужной информацией, они оценят.

АХАХАХАХАХА!

Хорошо смеётся тот, кто смеётся последним.

h578b1bde ★☆
()
Ответ на: комментарий от grossws

Пример с CNNIC не показателен

Показателен тем что такие утечки возможны и никаких гарантий от этого в будущем нет.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Он давно не работает, полезная инфа перекинулась на профильные вики, остальное просто стало не нужно. Спасибо что напомнил, уберу этот сайт, он уже не возродится.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от h578b1bde

Расскажешь это пользователям множества заброшенных сайтов с нужной информацией, они оценят.

Кстати, вот хорошая идея - делать зеркала заброшенных сайтов или переносить инфу на новые площадки. Ведь заброшенные сайты - на то и заброшенные, что никто за ними не смотрит, и они могут прекратить свою работу в ближайшее будущее из-за окончания действия домена, хостинга, или сворачивания сервиса хостера в целом. В конце-концов, из-за аварии в ДЦ, и ведь нет у них владельцев, которые будут потом восстанавливать из архивов. Так что проблема с http/https для таких сайтов - не самая главная.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от h578b1bde

вдвойне не нужно

Мне ещё и сторонние костыли домохозяйкам ставить

шаришь!

mumpster ★★★★★
()
Ответ на: комментарий от KRoN73

ибо не надо ничего запрещать принудительно, достаточно предупреждать

Hokum_new
()
Ответ на: комментарий от Chaser_Andrey

«Кстати, вот хорошая идея - делать зеркала заброшенных сайтов »

Короче, ты предлагаешь скачать интернет, ок.

anonymous
()
4 августа 2015 г.

Пусть сначала Firefox кэш отучится терять. Чтобы в кэширующих http прокси не было нужды (которые как известно к сожалению не умеют https).

anonymous
()

Зашиваем жопу, решив учиться срать через рот? В смысле, бесплатный/дешевый SSL-то будет?

anonymous
()

Я конечно извиняюсь, но могли бы делать проверку, есть ли у сайта https-версия и перенаправлять, вместо показа ошибки.

Deleted
()
Ответ на: комментарий от anonymous

Это говно какое-то, если не ошибаюсь. Вот раньше был аддон, который у любого сайта искал https и если он был — перенаправлял на него.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.