to post messages and comments.

Бесплатные ssl-сертификаты для всех, эра бежопашности в интернете, через https принудительно ходят уже даже бабушкины пирожки в корзинке Красношапочки, но только не с нашими любимыми героями увлекательного приключения.

@vt:
12 Mar 2016
я уже писал где-то, да, должно перебрасывать на форме логина. Во всех остальных местах это бессмысленное задротство.
/21 в ответ на /20 · Ответить

@wasd:
22 минуты назад
Не перебрасывает на форме логина. Жму "представьтесь", жму пароль, отправляется POST login через plain http. Бессмысленное задротство это то, чем ты занимаешься, ответственно заявляю. Ты там решил отморозить уши назло бабушке?
/26 в ответ на /21 · Ответить

Далее @vt отмазывается что https можно дописать в адресную строку вручную (и тогда-то точно заебок), и вообще что пароли нинужны, а авторизоваться во времена нынешней сингулярности модно через жаббер и ВКОНТАКТИК или ФЕЙСБУК.
Эдакая помесь 2003 и 2010.
Даже не знаю, с кем интереснее вести дискуссию — с ВиТей или с Угничем. Всюду нас ожидают увлекательные сюжетные повороты новейшей истории!

best viewed with IE7 (keep HTTPS Everywhere enabled) on Windows Phone

Блин. Да они задрали. Опять в Опере https не открывается. На этот раз целиком. Ни через Opera Turbo, ни через VPN. Опять Роскомнадзор химичит? Хотя в Хроме, вроде, всё ок.

Только я задумался об использовании HTML5 Geolocation, как получил облом. С 50-й версии Хрома (и всех производных) определение координат работает только по https-соединению...

Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?

Сервис Let's Encrypt объявил о реализации полной поддержки IPv6 letsencrypt.org

+ для планирующих начать его использование, могу порекомендовать минималистичный клиент github.com — написан на шелле, не ставит ничего в систему, не лезет в конфиги вебсервера, работает целиком в одном каталоге, не требует рут-прав и успешно запускается от пользователя 'nobody' или любого другого.

есть хорошая статья(на русском), где говорится почему http/2 нужно и чем html/1.1 и https плох?

*ссылка фуф, полторы недели мучался с этим енкриптом. но сделал, будь он неладен vk.com

Все ратуют за шифрование, обходы фаерволов с его помощью. Но в то же время кажется что они хотят делать наоборот. Вспоминаем SNI в https и понимаем что с его помощью можно снимать данные что, куда и зачем. Пусть не полностью, но блокировать доступы к сайтам по этой информации уже можно.

ok.ru научился в https. Ну охуеть теперь!

На одном из серверов по историческим причинам в качестве реверс-прокси стоит pound. Так вот, использовать его для HTTPS — не очень хорошая идея, так как у него штатными способами не отключается SSLv3, а если указать !SSLv3 в списке шифров, то отваливается куча всего, включая последнюю версию Firefox. Поэтому для HTTPS придётся протянуть руки к клавиатуре и настроить nginx. С правильным конфигом и включённым HSTS получаем рейтинг A+ на ssllabs и радуемся жизни.

Для голого HTTP же можно оставить всё как есть. Его же будем использовать для проверки контроля доменного имени.

Добавляем в ListenHTTP первым сервисом сразу после опций:

Service
URL "^/.well-known/acme-challenge/.*"
BackEnd
Address 127.0.0.1
Port 8088
End
End

И рестартим pound.

Дальше всё просто:

sudo letsencrypt certonly --standalone --http-01-port 8088 --standalone-supported-challenges http-01 --rsa-key-size 4096 -d my.domain.name

Всё. Прописываем полученный сертификат в nginx и идём пить пиво.

Получил сертификат от Let's Encrypt.

Гугл хитрая ж. У себя на сайтах не отключил ssl3. Хотя в хроме отключил, но пусти назад для старых браузеров для себя оставил. Хотя bing и yahoo уже у себя ssl3 отключили

Думается мне, что Гугль и прочие не просто так озаботились шифрованием веб-трафика везде и всюду. Озвучиваемые цели о повышении безопасности не канают по причине отсутствия от их прямой выгоды. То, что это делается лишь для того, чтобы позволить белоленточникам свободно обмениваться новыми постами Навального, тоже кажется сомнительным.

А вот если вспомнить об истории с блокировкой рекламы прямо у провайдера или о том, что черезчур активные сисадмины любят резать рекламу прямо на прокси-сервере, то картинка складывается. https нужен только для того, чтобы никто не резал и не подменял главный источник заработка интернет-капиталиста — рекламу!

Шифруйся, друг-параноик, помоги гуглу доставить рекламу до тебя.

правильно ли я понимаю, что плата за сертификаты это плата за воздух, т.к. authority не имеет существенных затрат, деньги берут и платят просто по инерции, и Let's Encrypt закончит эту баблоблядскую нелепицу?

Почему нужно использовать https везде? Вот:
Билайн вмешивается в трафик пользователей habrahabr.ruПодозреваю, что не один пчелайн добавляет скрипты и рекламу на страницы.

Как правильно делать https‐сайт? Открывать версию с http и потом перенаправлять на https или делать только https‐версию?

Коллеги, у кого есть пример работающего SNI? Я не про конфиги, а именно про два https URL, торчащих на одном айпи (и не использующих альтернатив в сертификате)?

Настройка SSL в Exim и Dovecot
deathstar.name

Обновление для #2735511
Спросил у техподдержки.
Здравствуйте. При попытке зайти на сайт через защищённое соединение
1gb.ru пишет, что сертификат невалидный.
>Это соединение является недоверенным

Что делать?
Ответили.
Он недоверенный потому, что самописный. Просто нажмите "продолжить".

Захожу сегодня на 1gb, а у них сертификат отвалился.

Двач перешёл на https-only режим

В Дубльгис не завезли HTTPS

Осмелюсь заявить, что наши законы коварны, а подходы неэффективны.
Для примера фильтрация. С подачи "как её там?" нужно запрещать использовать https, что автоматом закрывает большую часть интернета. А это уже полная ерунда.
Сейчас пытаюсь добиться от директора юридического обоснования использования sslstrip на фильтре.
Да, белый список безопаснее для нас, если смотреть с точки зрения прокуратуры, но делает совершенно невозможным использование интернет.

Evernote — первый замеченный сайт, использующий HTTP Strict Transport Security.
А почему вы не используете HSTS?

Онлайм (Ростелеком) тоже вовсю занимается mitm.

SSL и правда на столько медленный или у меня руки кривые? nginx по http обрабатывает по 5к запросов в секунду, и среднее время ответа не больше 200мс, на том же сервере по https обрабатывает около 70-200 запросов в секунду и ответы по секунде и больше, периодически достигая минуты. Процессоры загружены не более чем на 15-20% память почти вся свободная

Ёбаная гейос, как там импортировать p12, чтобы Сафари через него открывал https?

esk.sbrf.ru
The page must be viewed over a secure channel
Type https:// at the beginning of the address you are attempting to reach and press ENTER
А автопересылку сделать, сука, религия не позволяет?

Нужна тулза понюхать содержимое https трафика для домашнего использования. tcpdump содержимое пакетов не показывает. wireshark тоже. Попытка заюзать Charls proxy не увенчалась успехом, приложение наотрез отказывается работать. mitmproxy не собирается, какие-то проблемы с иксами. Может есть какой-то способ научить wireshark разбирать хттпс?

Собственно теперь это можно увидеть во всех новостях, а не только в конспирологических статьях:

Замутить себе валидный SSL сертификат может каждый хуй. И когда вы "ходите на гугл по https, по любому на гугл, подписанный ssl сертификат же", то вы можете ходить туда через сервера Васи Пупкина, у которого есть свои валидные сертификаты для домена google.com

macrodmin.blogspot.ru Pydio. Довольно полезные сервис. Работает на аяксе в браузере. Позволяет получать доступ к файлам вашем сервере по https. Не dropbox конечно, но ничем не ограничен зато. На случай если вы, например, не доверяете BitTirrentSync'у. Или нет необходимости постоянно иметь синхронизированную папку/папки на своих устройствах.

недавно на компах двух разных людей столкнулся с багом в старой опере, вместо открытия страниц с https опера предлагала сохранять их. вылечилось удалением файлов spdysett.dat и vlink4.dat в профиле

panel.reghouse.ru
Сертификат действителен до 20 сентября 2013 года
ARE YOU FUCKING KIDDING ME?!

запилил кругом https://
доволен как слон

в продолжении #2353247
если вдруг приспичит помимо ssh на 443 принимать таки https, openvpn или xxmp, то есть такая штука: rutschle.net

Коллега: «Если я увижу commit, где будет удалён https и поставлен http с комментарием "секурность не нужна", пиздец я поседею.»

Некоторое время назад я поставил Certificat Patrol. Что могу сказать:

* он в целом несколько неправильный. По идее, он должен проходить все подтверждения при соединении, до отправки запроса. Вместо этого он в любом случае скачивает страницу, а параллельно уже извещает о замене сертфиката. То есть если отправлю пароль в прокладку, то он мне сможет только сообщить об этом после. Ну это можно исправить.
* многие сайты занимаются какими-то страннымивещами со свойми сертификатами. Гугль постоянно перевыпускает сертификать, которым до истечения ещё жить да жить. Твиттер и вовсе меняет ЦА каждый день. Подозреваю, он переключает днс с хоста на хост, и на разных хостах не просто разные сертификаты, а ещё и подписанные разными ЦА.
* во многих местах https вообще нахер не нужен. В том же твиттере — я им не пользуюсь, а только смотрю картинки, на которые кто-то сослалася. Да и в гугле он мне нужен только для почты и ввода пароля. Подозреваю, для защиты действительно ценных данных каждому человеку достаточно порядка десятка сайтов, соединение к которым действительно надо защищать. Все остальные просто ебут мозг за просто так, включая ложные сообщения об ошибках как выше.

Люди, а кто-нибудь видел расширение для chromium/chrome, которое бы проверяло наличие у сайта https и, соответственно, редиректило браузер на использование именно https версии? А то моя паранойя паранойя.

Протокол HTTP Strict Transport Security (HSTS) предназначен для установления защищенного соединения между браузером и веб-сайтом — это, фактически, HTTPS по умолчанию. При условии, что и браузер, и сервер поддерживают эту технологию, соединение по HSTS будет устанавливаться автоматически, с использованием префикса https: в URL без дополнительного обращения к пользователю. Протокол HSTS поддерживается в современных браузерах (кроме IE и Safari), а также на ряде сайтов. HSTS наверняка станет частью стандарта HTTP/2.0, над которым уже идет работа.

Рабочая группа Web Security Working Group дорабатывала HSTS с 2010 года, когда его впервые представили в качестве черновика авторы протокола — Джефф Ходжес из Paypal, Колин Джексон из университета Карнеги-Меллона и Адам Барт из Google.

Ценность HSTS для веб-безопасности состоит в том, что этот протокол решает проблему так называемого «смешанного контента», который угрожает цельности и защищенности веб-сайтов. Подобные ситуации возникают, если скрипты или другие ресурсы, встроенные в HTTS-сайты, загружаются со сторонних источников через небезопасное соединение. Это может быть или результатом ошибки разработчика, или злонамеренным действием. При загрузке контента по чистому HTTP злоумышленник может перехватить cookies или другую информацию с помощью пакетного снифера. Техника известна как SSL-стриппинг (SSL stripping), существуют специальные инструменты для реализации подобных методов. Таким образом, HSTS устраняет опасность MiTM-атак. Если сайт и браузер поддерживают HSTS, то браузер откажется инициировать незащищенные соединения.

Соглашение о поддержке HSTS передается между сервером и веб-сайтом через соответствующие HTTP-заголовки (Strict-Transport-Security). Эти заголовки могут использоваться для обновления и продления HSTS-сессии.

По мнению экспертов, HSTS — одна из лучших вещей, которая случилась с SSL, поскольку исправляет некоторые из ошибок, сделанные при разработке этого протокола 18 лет назад. HSTS модернизирует технологию и приводит ее в соответствие с тем, как работают современные браузеры. Например, изначально полагаться на сертификаты SSL было ошибкой, говорит Иван Ристич, директор компании в области информационной безопасности Qualys, потому что разработчики склонны устанавливать правила для игнорирования ошибок проверки сертификатов. В большинстве случаев не происходит ничего страшного, но это де-факто дыра в безопасности.

HSTS не предусматривает обходного маневра при ошибке проверки сертификата: браузер просто отказывается устанавливать незащищенное соединение, как бы не хотел этого разработчик.

Теоретически, HSTS все-таки оставляет лазейку для атаки в том случае, когда браузер впервые посещает сайт и еще не установил для него правил HSTS. В такой ситуации злоумышленник может блокировать все пакеты HSTS и принудительно заставить браузер работать по незащищенному соединению. Для решения этой проблемы, например, разработчики Chrome и Firefox создали «белый список» сайтов, которые по умолчанию поддерживают HSTS, и этот список поставляется вместе с браузером.

По статистике SSL Pulse, на сегодняшний день всего лишь 1,7 тыс. из 180 тыс. самых популярных сайтов с HTTPS поддерживают еще и HSTS. К сожалению, у некоторых наблюдаются проблемы с корректной реализацией, говорит Рисич. Например, они устанавливают слишком короткий период валидности для HSTS, так что браузер вынужден аннулировать сохраненные правила почти после каждой сессии. Это сводит на нет преимущества HSTS, и подобные сайты приходится исключать из белых списков Chrome и Firefox.

Прелесть, поставил kis 2013, получил проблему с получением через коммит моинтор и черепаху обновлений от свн, расположенных на https... Блеск, отключение проверки ssl трафика не помогает, только внесение программы в исключения.