Чтобы добавлять сообщения и комментарии, .

@Balancer:
Balancer

Блин. Да они задрали. Опять в Опере https не открывается. На этот раз целиком. Ни через Opera Turbo, ни через VPN. Опять Роскомнадзор химичит? Хотя в Хроме, вроде, всё ок.

@Balancer:
Balancer

Только я задумался об использовании HTML5 Geolocation, как получил облом. С 50-й версии Хрома (и всех производных) определение координат работает только по https-соединению...

@Balancer:
Balancer

Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?

@rm:
rm

Сервис Let's Encrypt объявил о реализации полной поддержки IPv6 letsencrypt.org

+ для планирующих начать его использование, могу порекомендовать минималистичный клиент github.com — написан на шелле, не ставит ничего в систему, не лезет в конфиги вебсервера, работает целиком в одном каталоге, не требует рут-прав и успешно запускается от пользователя 'nobody' или любого другого.

@Hawat:
Hawat

есть хорошая статья(на русском), где говорится почему http/2 нужно и чем html/1.1 и https плох?

@schors:
schors

*ссылка фуф, полторы недели мучался с этим енкриптом. но сделал, будь он неладен vk.com

@Melhior:
Melhior

Все ратуют за шифрование, обходы фаерволов с его помощью. Но в то же время кажется что они хотят делать наоборот. Вспоминаем SNI в https и понимаем что с его помощью можно снимать данные что, куда и зачем. Пусть не полностью, но блокировать доступы к сайтам по этой информации уже можно.

@alkov:
alkov

ok.ru научился в https. Ну охуеть теперь!

@INFOMAN:
INFOMAN

На одном из серверов по историческим причинам в качестве реверс-прокси стоит pound. Так вот, использовать его для HTTPS — не очень хорошая идея, так как у него штатными способами не отключается SSLv3, а если указать !SSLv3 в списке шифров, то отваливается куча всего, включая последнюю версию Firefox. Поэтому для HTTPS придётся протянуть руки к клавиатуре и настроить nginx. С правильным конфигом и включённым HSTS получаем рейтинг A+ на ssllabs и радуемся жизни.

Для голого HTTP же можно оставить всё как есть. Его же будем использовать для проверки контроля доменного имени.

Добавляем в ListenHTTP первым сервисом сразу после опций:

Service
URL "^/.well-known/acme-challenge/.*"
BackEnd
Address 127.0.0.1
Port 8088
End
End

И рестартим pound.

Дальше всё просто:

sudo letsencrypt certonly --standalone --http-01-port 8088 --standalone-supported-challenges http-01 --rsa-key-size 4096 -d my.domain.name

Всё. Прописываем полученный сертификат в nginx и идём пить пиво.

@unregistered:
unregistered

Получил сертификат от Let's Encrypt.

@Melhior:
Melhior

Гугл хитрая ж. У себя на сайтах не отключил ssl3. Хотя в хроме отключил, но пусти назад для старых браузеров для себя оставил. Хотя bing и yahoo уже у себя ssl3 отключили

@glupovat:
glupovat

Думается мне, что Гугль и прочие не просто так озаботились шифрованием веб-трафика везде и всюду. Озвучиваемые цели о повышении безопасности не канают по причине отсутствия от их прямой выгоды. То, что это делается лишь для того, чтобы позволить белоленточникам свободно обмениваться новыми постами Навального, тоже кажется сомнительным.

А вот если вспомнить об истории с блокировкой рекламы прямо у провайдера или о том, что черезчур активные сисадмины любят резать рекламу прямо на прокси-сервере, то картинка складывается. https нужен только для того, чтобы никто не резал и не подменял главный источник заработка интернет-капиталиста — рекламу!

Шифруйся, друг-параноик, помоги гуглу доставить рекламу до тебя.

@fillest:
fillest

правильно ли я понимаю, что плата за сертификаты это плата за воздух, т.к. authority не имеет существенных затрат, деньги берут и платят просто по инерции, и Let's Encrypt закончит эту баблоблядскую нелепицу?

@mabu:
mabu

Почему нужно использовать https везде? Вот:
Билайн вмешивается в трафик пользователей habrahabr.ruПодозреваю, что не один пчелайн добавляет скрипты и рекламу на страницы.

@mabu:
mabu

Как правильно делать https‐сайт? Открывать версию с http и потом перенаправлять на https или делать только https‐версию?

@EvilKitten:
EvilKitten

Коллеги, у кого есть пример работающего SNI? Я не про конфиги, а именно про два https URL, торчащих на одном айпи (и не использующих альтернатив в сертификате)?

@DeathStar:
DeathStar

Настройка SSL в Exim и Dovecot
deathstar.name

@mabu:
mabu

Обновление для #2735511
Спросил у техподдержки.
Здравствуйте. При попытке зайти на сайт через защищённое соединение
1gb.ru пишет, что сертификат невалидный.
>Это соединение является недоверенным

Что делать?
Ответили.
Он недоверенный потому, что самописный. Просто нажмите "продолжить".

@mabu:
mabu

Захожу сегодня на 1gb, а у них сертификат отвалился.

@NokitaKaze:
NokitaKaze

Двач перешёл на https-only режим

@NokitaKaze:
NokitaKaze

В Дубльгис не завезли HTTPS

@DespicableMe:
DespicableMe

Осмелюсь заявить, что наши законы коварны, а подходы неэффективны.
Для примера фильтрация. С подачи "как её там?" нужно запрещать использовать https, что автоматом закрывает большую часть интернета. А это уже полная ерунда.
Сейчас пытаюсь добиться от директора юридического обоснования использования sslstrip на фильтре.
Да, белый список безопаснее для нас, если смотреть с точки зрения прокуратуры, но делает совершенно невозможным использование интернет.

@alexus:
alexus

Evernote — первый замеченный сайт, использующий HTTP Strict Transport Security.
А почему вы не используете HSTS?

@Dimez:
Dimez

Онлайм (Ростелеком) тоже вовсю занимается mitm.

@Hamper:
Hamper

SSL и правда на столько медленный или у меня руки кривые? nginx по http обрабатывает по 5к запросов в секунду, и среднее время ответа не больше 200мс, на том же сервере по https обрабатывает около 70-200 запросов в секунду и ответы по секунде и больше, периодически достигая минуты. Процессоры загружены не более чем на 15-20% память почти вся свободная

@NokitaKaze:
NokitaKaze

Ёбаная гейос, как там импортировать p12, чтобы Сафари через него открывал https?

@NokitaKaze:
NokitaKaze

esk.sbrf.ru
The page must be viewed over a secure channel
Type https:// at the beginning of the address you are attempting to reach and press ENTER
А автопересылку сделать, сука, религия не позволяет?

@zoonman:
zoonman

Нужна тулза понюхать содержимое https трафика для домашнего использования. tcpdump содержимое пакетов не показывает. wireshark тоже. Попытка заюзать Charls proxy не увенчалась успехом, приложение наотрез отказывается работать. mitmproxy не собирается, какие-то проблемы с иксами. Может есть какой-то способ научить wireshark разбирать хттпс?

@Kim:
Kim

Собственно теперь это можно увидеть во всех новостях, а не только в конспирологических статьях:

Замутить себе валидный SSL сертификат может каждый хуй. И когда вы "ходите на гугл по https, по любому на гугл, подписанный ssl сертификат же", то вы можете ходить туда через сервера Васи Пупкина, у которого есть свои валидные сертификаты для домена google.com

@nixon89:
nixon89

macrodmin.blogspot.ru Pydio. Довольно полезные сервис. Работает на аяксе в браузере. Позволяет получать доступ к файлам вашем сервере по https. Не dropbox конечно, но ничем не ограничен зато. На случай если вы, например, не доверяете BitTirrentSync'у. Или нет необходимости постоянно иметь синхронизированную папку/папки на своих устройствах.

@den-po:
den-po

недавно на компах двух разных людей столкнулся с багом в старой опере, вместо открытия страниц с https опера предлагала сохранять их. вылечилось удалением файлов spdysett.dat и vlink4.dat в профиле

@NokitaKaze:
NokitaKaze

panel.reghouse.ru
Сертификат действителен до 20 сентября 2013 года
ARE YOU FUCKING KIDDING ME?!

@SunChaser:
SunChaser

запилил кругом https://
доволен как слон

@Turbid:
Turbid

в продолжении #2353247
если вдруг приспичит помимо ssh на 443 принимать таки https, openvpn или xxmp, то есть такая штука: rutschle.net

@NokitaKaze:
NokitaKaze

Коллега: «Если я увижу commit, где будет удалён https и поставлен http с комментарием "секурность не нужна", пиздец я поседею.»

@max630:
max630

Некоторое время назад я поставил Certificat Patrol. Что могу сказать:

* он в целом несколько неправильный. По идее, он должен проходить все подтверждения при соединении, до отправки запроса. Вместо этого он в любом случае скачивает страницу, а параллельно уже извещает о замене сертфиката. То есть если отправлю пароль в прокладку, то он мне сможет только сообщить об этом после. Ну это можно исправить.
* многие сайты занимаются какими-то страннымивещами со свойми сертификатами. Гугль постоянно перевыпускает сертификать, которым до истечения ещё жить да жить. Твиттер и вовсе меняет ЦА каждый день. Подозреваю, он переключает днс с хоста на хост, и на разных хостах не просто разные сертификаты, а ещё и подписанные разными ЦА.
* во многих местах https вообще нахер не нужен. В том же твиттере — я им не пользуюсь, а только смотрю картинки, на которые кто-то сослалася. Да и в гугле он мне нужен только для почты и ввода пароля. Подозреваю, для защиты действительно ценных данных каждому человеку достаточно порядка десятка сайтов, соединение к которым действительно надо защищать. Все остальные просто ебут мозг за просто так, включая ложные сообщения об ошибках как выше.

@freefd:
freefd

Люди, а кто-нибудь видел расширение для chromium/chrome, которое бы проверяло наличие у сайта https и, соответственно, редиректило браузер на использование именно https версии? А то моя паранойя паранойя.

@alicegoth:
alicegoth

Протокол HTTP Strict Transport Security (HSTS) предназначен для установления защищенного соединения между браузером и веб-сайтом — это, фактически, HTTPS по умолчанию. При условии, что и браузер, и сервер поддерживают эту технологию, соединение по HSTS будет устанавливаться автоматически, с использованием префикса https: в URL без дополнительного обращения к пользователю. Протокол HSTS поддерживается в современных браузерах (кроме IE и Safari), а также на ряде сайтов. HSTS наверняка станет частью стандарта HTTP/2.0, над которым уже идет работа.

Рабочая группа Web Security Working Group дорабатывала HSTS с 2010 года, когда его впервые представили в качестве черновика авторы протокола — Джефф Ходжес из Paypal, Колин Джексон из университета Карнеги-Меллона и Адам Барт из Google.

Ценность HSTS для веб-безопасности состоит в том, что этот протокол решает проблему так называемого «смешанного контента», который угрожает цельности и защищенности веб-сайтов. Подобные ситуации возникают, если скрипты или другие ресурсы, встроенные в HTTS-сайты, загружаются со сторонних источников через небезопасное соединение. Это может быть или результатом ошибки разработчика, или злонамеренным действием. При загрузке контента по чистому HTTP злоумышленник может перехватить cookies или другую информацию с помощью пакетного снифера. Техника известна как SSL-стриппинг (SSL stripping), существуют специальные инструменты для реализации подобных методов. Таким образом, HSTS устраняет опасность MiTM-атак. Если сайт и браузер поддерживают HSTS, то браузер откажется инициировать незащищенные соединения.

Соглашение о поддержке HSTS передается между сервером и веб-сайтом через соответствующие HTTP-заголовки (Strict-Transport-Security). Эти заголовки могут использоваться для обновления и продления HSTS-сессии.

По мнению экспертов, HSTS — одна из лучших вещей, которая случилась с SSL, поскольку исправляет некоторые из ошибок, сделанные при разработке этого протокола 18 лет назад. HSTS модернизирует технологию и приводит ее в соответствие с тем, как работают современные браузеры. Например, изначально полагаться на сертификаты SSL было ошибкой, говорит Иван Ристич, директор компании в области информационной безопасности Qualys, потому что разработчики склонны устанавливать правила для игнорирования ошибок проверки сертификатов. В большинстве случаев не происходит ничего страшного, но это де-факто дыра в безопасности.

HSTS не предусматривает обходного маневра при ошибке проверки сертификата: браузер просто отказывается устанавливать незащищенное соединение, как бы не хотел этого разработчик.

Теоретически, HSTS все-таки оставляет лазейку для атаки в том случае, когда браузер впервые посещает сайт и еще не установил для него правил HSTS. В такой ситуации злоумышленник может блокировать все пакеты HSTS и принудительно заставить браузер работать по незащищенному соединению. Для решения этой проблемы, например, разработчики Chrome и Firefox создали «белый список» сайтов, которые по умолчанию поддерживают HSTS, и этот список поставляется вместе с браузером.

По статистике SSL Pulse, на сегодняшний день всего лишь 1,7 тыс. из 180 тыс. самых популярных сайтов с HTTPS поддерживают еще и HSTS. К сожалению, у некоторых наблюдаются проблемы с корректной реализацией, говорит Рисич. Например, они устанавливают слишком короткий период валидности для HSTS, так что браузер вынужден аннулировать сохраненные правила почти после каждой сессии. Это сводит на нет преимущества HSTS, и подобные сайты приходится исключать из белых списков Chrome и Firefox.

@Kreol:
Kreol

Прелесть, поставил kis 2013, получил проблему с получением через коммит моинтор и черепаху обновлений от свн, расположенных на https... Блеск, отключение проверки ssl трафика не помогает, только внесение программы в исключения.

@sl1:
sl1

nexdork.com