to post messages and comments.

объясните мне про https, SSL, сертификаты и вот это вот всё... а то чёт не пойму.
последнее время, у меня перестали открываться некоторные https-сайты. тут стоит добавить, что я пользуюсь WinXP и Firefox 47 :)
и вроде бы как это нормально, потому что в новых сертификатах методы шифрования не поддерживается уже в ОС. я даже на Win7 ставил обновление, чтоб в FileZilla шифрование заработало. ладно, насколько понял, ничего с этим не поделать.
но. есть у меня виртуалка с неменее старым Debian 6 и там Firefox 3.6 (пользуюсь в основном консолью, поэтому не обновлял давно его), открываю pogovorim-sberbank.ru (это для примера, на самом деле куча их, неработающих) — открылся, но верстка косячная. качаю Firefox 47, он не запускается (gtk не той версии, а нужной нет, т.к. Дебиан старый), 45 запустился, но при этом сайт НЕ открывается опять! на 22 все заработало норм.
и вопрос вот в чем: вся эта хрень все-таки не из-за ОС, получается, а именно в FF что-то поломали, или что? c другой стороны, дело не в лисе, т.к. Chrome на XP аналогично НЕ открывает одни и те же сайты.
нихрена не пойму.

Бесплатные ssl-сертификаты для всех, эра бежопашности в интернете, через https принудительно ходят уже даже бабушкины пирожки в корзинке Красношапочки, но только не с нашими любимыми героями увлекательного приключения.

@vt:
12 Mar 2016
я уже писал где-то, да, должно перебрасывать на форме логина. Во всех остальных местах это бессмысленное задротство.
/21 в ответ на /20 · Ответить

@wasd:
22 минуты назад
Не перебрасывает на форме логина. Жму "представьтесь", жму пароль, отправляется POST login через plain http. Бессмысленное задротство это то, чем ты занимаешься, ответственно заявляю. Ты там решил отморозить уши назло бабушке?
/26 в ответ на /21 · Ответить

Далее @vt отмазывается что https можно дописать в адресную строку вручную (и тогда-то точно заебок), и вообще что пароли нинужны, а авторизоваться во времена нынешней сингулярности модно через жаббер и ВКОНТАКТИК или ФЕЙСБУК.
Эдакая помесь 2003 и 2010.
Даже не знаю, с кем интереснее вести дискуссию — с ВиТей или с Угничем. Всюду нас ожидают увлекательные сюжетные повороты новейшей истории!

best viewed with IE7 (keep HTTPS Everywhere enabled) on Windows Phone

Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?

Сервис Let's Encrypt объявил о реализации полной поддержки IPv6 letsencrypt.org

+ для планирующих начать его использование, могу порекомендовать минималистичный клиент github.com — написан на шелле, не ставит ничего в систему, не лезет в конфиги вебсервера, работает целиком в одном каталоге, не требует рут-прав и успешно запускается от пользователя 'nobody' или любого другого.

Все ратуют за шифрование, обходы фаерволов с его помощью. Но в то же время кажется что они хотят делать наоборот. Вспоминаем SNI в https и понимаем что с его помощью можно снимать данные что, куда и зачем. Пусть не полностью, но блокировать доступы к сайтам по этой информации уже можно.

На одном из серверов по историческим причинам в качестве реверс-прокси стоит pound. Так вот, использовать его для HTTPS — не очень хорошая идея, так как у него штатными способами не отключается SSLv3, а если указать !SSLv3 в списке шифров, то отваливается куча всего, включая последнюю версию Firefox. Поэтому для HTTPS придётся протянуть руки к клавиатуре и настроить nginx. С правильным конфигом и включённым HSTS получаем рейтинг A+ на ssllabs и радуемся жизни.

Для голого HTTP же можно оставить всё как есть. Его же будем использовать для проверки контроля доменного имени.

Добавляем в ListenHTTP первым сервисом сразу после опций:

Service
URL "^/.well-known/acme-challenge/.*"
BackEnd
Address 127.0.0.1
Port 8088
End
End

И рестартим pound.

Дальше всё просто:

sudo letsencrypt certonly --standalone --http-01-port 8088 --standalone-supported-challenges http-01 --rsa-key-size 4096 -d my.domain.name

Всё. Прописываем полученный сертификат в nginx и идём пить пиво.

Гугл хитрая ж. У себя на сайтах не отключил ssl3. Хотя в хроме отключил, но пусти назад для старых браузеров для себя оставил. Хотя bing и yahoo уже у себя ssl3 отключили

Думается мне, что Гугль и прочие не просто так озаботились шифрованием веб-трафика везде и всюду. Озвучиваемые цели о повышении безопасности не канают по причине отсутствия от их прямой выгоды. То, что это делается лишь для того, чтобы позволить белоленточникам свободно обмениваться новыми постами Навального, тоже кажется сомнительным.

А вот если вспомнить об истории с блокировкой рекламы прямо у провайдера или о том, что черезчур активные сисадмины любят резать рекламу прямо на прокси-сервере, то картинка складывается. https нужен только для того, чтобы никто не резал и не подменял главный источник заработка интернет-капиталиста — рекламу!

Шифруйся, друг-параноик, помоги гуглу доставить рекламу до тебя.

Коллеги, у кого есть пример работающего SNI? Я не про конфиги, а именно про два https URL, торчащих на одном айпи (и не использующих альтернатив в сертификате)?

Обновление для #2735511
Спросил у техподдержки.
Здравствуйте. При попытке зайти на сайт через защищённое соединение
1gb.ru пишет, что сертификат невалидный.
>Это соединение является недоверенным

Что делать?
Ответили.
Он недоверенный потому, что самописный. Просто нажмите "продолжить".

Осмелюсь заявить, что наши законы коварны, а подходы неэффективны.
Для примера фильтрация. С подачи "как её там?" нужно запрещать использовать https, что автоматом закрывает большую часть интернета. А это уже полная ерунда.
Сейчас пытаюсь добиться от директора юридического обоснования использования sslstrip на фильтре.
Да, белый список безопаснее для нас, если смотреть с точки зрения прокуратуры, но делает совершенно невозможным использование интернет.

SSL и правда на столько медленный или у меня руки кривые? nginx по http обрабатывает по 5к запросов в секунду, и среднее время ответа не больше 200мс, на том же сервере по https обрабатывает около 70-200 запросов в секунду и ответы по секунде и больше, периодически достигая минуты. Процессоры загружены не более чем на 15-20% память почти вся свободная

Нужна тулза понюхать содержимое https трафика для домашнего использования. tcpdump содержимое пакетов не показывает. wireshark тоже. Попытка заюзать Charls proxy не увенчалась успехом, приложение наотрез отказывается работать. mitmproxy не собирается, какие-то проблемы с иксами. Может есть какой-то способ научить wireshark разбирать хттпс?

Собственно теперь это можно увидеть во всех новостях, а не только в конспирологических статьях:

Замутить себе валидный SSL сертификат может каждый хуй. И когда вы "ходите на гугл по https, по любому на гугл, подписанный ssl сертификат же", то вы можете ходить туда через сервера Васи Пупкина, у которого есть свои валидные сертификаты для домена google.com

macrodmin.blogspot.ru Pydio. Довольно полезные сервис. Работает на аяксе в браузере. Позволяет получать доступ к файлам вашем сервере по https. Не dropbox конечно, но ничем не ограничен зато. На случай если вы, например, не доверяете BitTirrentSync'у. Или нет необходимости постоянно иметь синхронизированную папку/папки на своих устройствах.

недавно на компах двух разных людей столкнулся с багом в старой опере, вместо открытия страниц с https опера предлагала сохранять их. вылечилось удалением файлов spdysett.dat и vlink4.dat в профиле

Некоторое время назад я поставил Certificat Patrol. Что могу сказать:

* он в целом несколько неправильный. По идее, он должен проходить все подтверждения при соединении, до отправки запроса. Вместо этого он в любом случае скачивает страницу, а параллельно уже извещает о замене сертфиката. То есть если отправлю пароль в прокладку, то он мне сможет только сообщить об этом после. Ну это можно исправить.
* многие сайты занимаются какими-то страннымивещами со свойми сертификатами. Гугль постоянно перевыпускает сертификать, которым до истечения ещё жить да жить. Твиттер и вовсе меняет ЦА каждый день. Подозреваю, он переключает днс с хоста на хост, и на разных хостах не просто разные сертификаты, а ещё и подписанные разными ЦА.
* во многих местах https вообще нахер не нужен. В том же твиттере — я им не пользуюсь, а только смотрю картинки, на которые кто-то сослалася. Да и в гугле он мне нужен только для почты и ввода пароля. Подозреваю, для защиты действительно ценных данных каждому человеку достаточно порядка десятка сайтов, соединение к которым действительно надо защищать. Все остальные просто ебут мозг за просто так, включая ложные сообщения об ошибках как выше.

Люди, а кто-нибудь видел расширение для chromium/chrome, которое бы проверяло наличие у сайта https и, соответственно, редиректило браузер на использование именно https версии? А то моя паранойя паранойя.