Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней. Чем эта тенденция, интересно, закончится? Будут выдавать сертификат каждый час? Докатятся до того, что уважаемый центр сертификации будет каждый сессионный ключ выдавать?
стоит ли такую отдельную хрень на go использовать?
github.com
github.com
Ещё один шаг к убийству HTTP: в интерфейс Firefox добавили галочку, которая принудительно включает HTTPS. С очень противным побочным эффектом:
Пока что галка отключена. Следующий шаг — включить её по умолчанию.
В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои игнорируются…Т.е. если пользователь включил эту галку, а хозяин сайта не озаботился завести TLS-сертификат, то сайт будет непонятным образом глючить.
Пока что галка отключена. Следующий шаг — включить её по умолчанию.
Гугл продолжает урезать HTTP:
Блокировка будет внедряться постепенно, начиная с выпуска Chrome 82, в котором при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS начнёт выдаваться предупреждение. В Chrome 83 для исполняемых файлов будет включена блокировка, а предупреждение начнёт выдаваться для архивов. В Chrome 84 будет активирована блокировка архивов и вывод предупреждения для документов. В Chrome 85 документы будут блокироваться, а предупреждение начнёт выводиться при небезопасной загрузке изображений, видео, звука и текста, которые начнут блокироваться в Chrome 86.
Спасибо Белявскому за доклад, я увидел ещё одну причину (начало в #2804088), по которой Гуглу выгодно шифрование веб-трафика. С повсеместным введением TLS 1.3 и прочих актуальных вещей станет невозможно определить, к какому именно ресурсу обращается пользователь.
Да, РКН при этом не сможет заблокировать какой-то конкретный сайт. Но это не всё: ни РКН, ни даже товарищ майор с С0PМ-ом не смогут даже увидеть, на какой именно сайт ты пошёл. И тут важно не остановиться на товарище майоре, а продолжить думать дальше!
Так как никто на уровне провайдера не сможет увидеть список посещаемых страниц, то никто и не сможет составить статистику по посещениям. Потому маркетологи, желающие эту статистику получить, пойдут не к провайдеру, а к тому, у кого она есть. А у кого она есть? У тех, кому эту статистику присылает сам клиентский браузер. То есть опять же к Гуглу, которому Chrome присылает "телеметрию" и ходит за проверкой благонадёжности сайта!
Да, РКН при этом не сможет заблокировать какой-то конкретный сайт. Но это не всё: ни РКН, ни даже товарищ майор с С0PМ-ом не смогут даже увидеть, на какой именно сайт ты пошёл. И тут важно не остановиться на товарище майоре, а продолжить думать дальше!
Так как никто на уровне провайдера не сможет увидеть список посещаемых страниц, то никто и не сможет составить статистику по посещениям. Потому маркетологи, желающие эту статистику получить, пойдут не к провайдеру, а к тому, у кого она есть. А у кого она есть? У тех, кому эту статистику присылает сам клиентский браузер. То есть опять же к Гуглу, которому Chrome присылает "телеметрию" и ходит за проверкой благонадёжности сайта!
К запланированному на сегодня отключению HTTP. Готовьтесь к тому, что скоро LetsEncrypt отключат и придётся за каждый сертификатик каждого сраного сайта занести денежек.
А хули хотели? Пришли к Гуглу — вот он и будет вас стричь.
А хули хотели? Пришли к Гуглу — вот он и будет вас стричь.
объясните мне про https, SSL, сертификаты и вот это вот всё... а то чёт не пойму.
последнее время, у меня перестали открываться некоторные https-сайты. тут стоит добавить, что я пользуюсь WinXP и Firefox 47 :)
и вроде бы как это нормально, потому что в новых сертификатах методы шифрования не поддерживается уже в ОС. я даже на Win7 ставил обновление, чтоб в FileZilla шифрование заработало. ладно, насколько понял, ничего с этим не поделать.
но. есть у меня виртуалка с неменее старым Debian 6 и там Firefox 3.6 (пользуюсь в основном консолью, поэтому не обновлял давно его), открываю pogovorim-sberbank.ru (это для примера, на самом деле куча их, неработающих) — открылся, но верстка косячная. качаю Firefox 47, он не запускается (gtk не той версии, а нужной нет, т.к. Дебиан старый), 45 запустился, но при этом сайт НЕ открывается опять! на 22 все заработало норм.
и вопрос вот в чем: вся эта хрень все-таки не из-за ОС, получается, а именно в FF что-то поломали, или что? c другой стороны, дело не в лисе, т.к. Chrome на XP аналогично НЕ открывает одни и те же сайты.
нихрена не пойму.
последнее время, у меня перестали открываться некоторные https-сайты. тут стоит добавить, что я пользуюсь WinXP и Firefox 47 :)
и вроде бы как это нормально, потому что в новых сертификатах методы шифрования не поддерживается уже в ОС. я даже на Win7 ставил обновление, чтоб в FileZilla шифрование заработало. ладно, насколько понял, ничего с этим не поделать.
но. есть у меня виртуалка с неменее старым Debian 6 и там Firefox 3.6 (пользуюсь в основном консолью, поэтому не обновлял давно его), открываю pogovorim-sberbank.ru (это для примера, на самом деле куча их, неработающих) — открылся, но верстка косячная. качаю Firefox 47, он не запускается (gtk не той версии, а нужной нет, т.к. Дебиан старый), 45 запустился, но при этом сайт НЕ открывается опять! на 22 все заработало норм.
и вопрос вот в чем: вся эта хрень все-таки не из-за ОС, получается, а именно в FF что-то поломали, или что? c другой стороны, дело не в лисе, т.к. Chrome на XP аналогично НЕ открывает одни и те же сайты.
нихрена не пойму.
Бесплатные ssl-сертификаты для всех, эра бежопашности в интернете, через https принудительно ходят уже даже бабушкины пирожки в корзинке Красношапочки, но только не с нашими любимыми героями увлекательного приключения.
@vt:
12 Mar 2016
я уже писал где-то, да, должно перебрасывать на форме логина. Во всех остальных местах это бессмысленное задротство.
/21 в ответ на /20 · Ответить
@wasd:
22 минуты назад
Не перебрасывает на форме логина. Жму "представьтесь", жму пароль, отправляется POST login через plain http. Бессмысленное задротство это то, чем ты занимаешься, ответственно заявляю. Ты там решил отморозить уши назло бабушке?
/26 в ответ на /21 · Ответить
Далее @vt отмазывается что https можно дописать в адресную строку вручную (и тогда-то точно заебок), и вообще что пароли нинужны, а авторизоваться во времена нынешней сингулярности модно через жаббер и ВКОНТАКТИК или ФЕЙСБУК.
Эдакая помесь 2003 и 2010.
Даже не знаю, с кем интереснее вести дискуссию — с ВиТей или с Угничем. Всюду нас ожидают увлекательные сюжетные повороты новейшей истории!
best viewed with IE7 (keep HTTPS Everywhere enabled) on Windows Phone
@vt:
12 Mar 2016
я уже писал где-то, да, должно перебрасывать на форме логина. Во всех остальных местах это бессмысленное задротство.
/21 в ответ на /20 · Ответить
@wasd:
22 минуты назад
Не перебрасывает на форме логина. Жму "представьтесь", жму пароль, отправляется POST login через plain http. Бессмысленное задротство это то, чем ты занимаешься, ответственно заявляю. Ты там решил отморозить уши назло бабушке?
/26 в ответ на /21 · Ответить
Далее @vt отмазывается что https можно дописать в адресную строку вручную (и тогда-то точно заебок), и вообще что пароли нинужны, а авторизоваться во времена нынешней сингулярности модно через жаббер и ВКОНТАКТИК или ФЕЙСБУК.
Эдакая помесь 2003 и 2010.
Даже не знаю, с кем интереснее вести дискуссию — с ВиТей или с Угничем. Всюду нас ожидают увлекательные сюжетные повороты новейшей истории!
best viewed with IE7 (keep HTTPS Everywhere enabled) on Windows Phone
Блин. Да они задрали. Опять в Опере https не открывается. На этот раз целиком. Ни через Opera Turbo, ни через VPN. Опять Роскомнадзор химичит? Хотя в Хроме, вроде, всё ок.
Только я задумался об использовании HTML5 Geolocation, как получил облом. С 50-й версии Хрома (и всех производных) определение координат работает только по https-соединению...
Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?
Сервис Let's Encrypt объявил о реализации полной поддержки IPv6 letsencrypt.org
+ для планирующих начать его использование, могу порекомендовать минималистичный клиент github.com — написан на шелле, не ставит ничего в систему, не лезет в конфиги вебсервера, работает целиком в одном каталоге, не требует рут-прав и успешно запускается от пользователя 'nobody' или любого другого.
+ для планирующих начать его использование, могу порекомендовать минималистичный клиент github.com — написан на шелле, не ставит ничего в систему, не лезет в конфиги вебсервера, работает целиком в одном каталоге, не требует рут-прав и успешно запускается от пользователя 'nobody' или любого другого.
есть хорошая статья(на русском), где говорится почему http/2 нужно и чем html/1.1 и https плох?
*ссылка фуф, полторы недели мучался с этим енкриптом. но сделал, будь он неладен vk.com
Все ратуют за шифрование, обходы фаерволов с его помощью. Но в то же время кажется что они хотят делать наоборот. Вспоминаем SNI в https и понимаем что с его помощью можно снимать данные что, куда и зачем. Пусть не полностью, но блокировать доступы к сайтам по этой информации уже можно.
ok.ru научился в https. Ну охуеть теперь!
Господа, это я чего-то не понимаю в этой жизни, или теперь для безопасности достаточно повесить значок на сайте "безопасно"?
Например, заходим на cloudpayments.ru (не HTTPS а HTTP), листаем вниз и жмём "Открыть виджет". Открывается (всё так же на HTTP) форма оплаты, куда предлагается ввести свои данные. Внизу значок "безопасное соединение", который, разумеется, на любом фишинговом сайте делается точно так же.
Значок безопасности браузера — серый, ничего безопасного.
На эту форму автозаполнялка никак не реагирует, но видел аналогичную, где браузер при попытке писал "Автозаполнение отключено, так как вы на небезопасной странице".
ВОПРОС! Это действительно сейчас популярный тренд — наплевать на безопасность, главное чтоб юзверь не ушел со страницы?
Или я чего-то не понимаю, и фишинг более не является проблемой вообще, главное чтобы костюмчик сидел?
Например, заходим на cloudpayments.ru (не HTTPS а HTTP), листаем вниз и жмём "Открыть виджет". Открывается (всё так же на HTTP) форма оплаты, куда предлагается ввести свои данные. Внизу значок "безопасное соединение", который, разумеется, на любом фишинговом сайте делается точно так же.
Значок безопасности браузера — серый, ничего безопасного.
На эту форму автозаполнялка никак не реагирует, но видел аналогичную, где браузер при попытке писал "Автозаполнение отключено, так как вы на небезопасной странице".
ВОПРОС! Это действительно сейчас популярный тренд — наплевать на безопасность, главное чтоб юзверь не ушел со страницы?
Или я чего-то не понимаю, и фишинг более не является проблемой вообще, главное чтобы костюмчик сидел?
На одном из серверов по историческим причинам в качестве реверс-прокси стоит pound. Так вот, использовать его для HTTPS — не очень хорошая идея, так как у него штатными способами не отключается SSLv3, а если указать !SSLv3 в списке шифров, то отваливается куча всего, включая последнюю версию Firefox. Поэтому для HTTPS придётся протянуть руки к клавиатуре и настроить nginx. С правильным конфигом и включённым HSTS получаем рейтинг A+ на ssllabs и радуемся жизни.
Для голого HTTP же можно оставить всё как есть. Его же будем использовать для проверки контроля доменного имени.
Добавляем в ListenHTTP первым сервисом сразу после опций:
Service
URL "^/.well-known/acme-challenge/.*"
BackEnd
Address 127.0.0.1
Port 8088
End
End
И рестартим pound.
Дальше всё просто:
sudo letsencrypt certonly --standalone --http-01-port 8088 --standalone-supported-challenges http-01 --rsa-key-size 4096 -d my.domain.name
Всё. Прописываем полученный сертификат в nginx и идём пить пиво.
Для голого HTTP же можно оставить всё как есть. Его же будем использовать для проверки контроля доменного имени.
Добавляем в ListenHTTP первым сервисом сразу после опций:
Service
URL "^/.well-known/acme-challenge/.*"
BackEnd
Address 127.0.0.1
Port 8088
End
End
И рестартим pound.
Дальше всё просто:
sudo letsencrypt certonly --standalone --http-01-port 8088 --standalone-supported-challenges http-01 --rsa-key-size 4096 -d my.domain.name
Всё. Прописываем полученный сертификат в nginx и идём пить пиво.
Получил сертификат от Let's Encrypt.
Гугл хитрая ж. У себя на сайтах не отключил ssl3. Хотя в хроме отключил, но пусти назад для старых браузеров для себя оставил. Хотя bing и yahoo уже у себя ssl3 отключили
Думается мне, что Гугль и прочие не просто так озаботились шифрованием веб-трафика везде и всюду. Озвучиваемые цели о повышении безопасности не канают по причине отсутствия от их прямой выгоды. То, что это делается лишь для того, чтобы позволить белоленточникам свободно обмениваться новыми постами Навального, тоже кажется сомнительным.
А вот если вспомнить об истории с блокировкой рекламы прямо у провайдера или о том, что черезчур активные сисадмины любят резать рекламу прямо на прокси-сервере, то картинка складывается. https нужен только для того, чтобы никто не резал и не подменял главный источник заработка интернет-капиталиста — рекламу!
Шифруйся, друг-параноик, помоги гуглу доставить рекламу до тебя.
А вот если вспомнить об истории с блокировкой рекламы прямо у провайдера или о том, что черезчур активные сисадмины любят резать рекламу прямо на прокси-сервере, то картинка складывается. https нужен только для того, чтобы никто не резал и не подменял главный источник заработка интернет-капиталиста — рекламу!
Шифруйся, друг-параноик, помоги гуглу доставить рекламу до тебя.
правильно ли я понимаю, что плата за сертификаты это плата за воздух, т.к. authority не имеет существенных затрат, деньги берут и платят просто по инерции, и Let's Encrypt закончит эту баблоблядскую нелепицу?
Коллеги, у кого есть пример работающего SNI? Я не про конфиги, а именно про два https URL, торчащих на одном айпи (и не использующих альтернатив в сертификате)?
Настройка SSL в Exim и Dovecot
deathstar.name
deathstar.name
Двач перешёл на https-only режим
В Дубльгис не завезли HTTPS
Осмелюсь заявить, что наши законы коварны, а подходы неэффективны.
Для примера фильтрация. С подачи "как её там?" нужно запрещать использовать https, что автоматом закрывает большую часть интернета. А это уже полная ерунда.
Сейчас пытаюсь добиться от директора юридического обоснования использования sslstrip на фильтре.
Да, белый список безопаснее для нас, если смотреть с точки зрения прокуратуры, но делает совершенно невозможным использование интернет.
Для примера фильтрация. С подачи "как её там?" нужно запрещать использовать https, что автоматом закрывает большую часть интернета. А это уже полная ерунда.
Сейчас пытаюсь добиться от директора юридического обоснования использования sslstrip на фильтре.
Да, белый список безопаснее для нас, если смотреть с точки зрения прокуратуры, но делает совершенно невозможным использование интернет.
Evernote — первый замеченный сайт, использующий HTTP Strict Transport Security.
А почему вы не используете HSTS?
А почему вы не используете HSTS?
Онлайм (Ростелеком) тоже вовсю занимается mitm.
SSL и правда на столько медленный или у меня руки кривые? nginx по http обрабатывает по 5к запросов в секунду, и среднее время ответа не больше 200мс, на том же сервере по https обрабатывает около 70-200 запросов в секунду и ответы по секунде и больше, периодически достигая минуты. Процессоры загружены не более чем на 15-20% память почти вся свободная
Ёбаная гейос, как там импортировать p12, чтобы Сафари через него открывал https?
esk.sbrf.ru
The page must be viewed over a secure channelА автопересылку сделать, сука, религия не позволяет?
Type https:// at the beginning of the address you are attempting to reach and press ENTER
Нужна тулза понюхать содержимое https трафика для домашнего использования. tcpdump содержимое пакетов не показывает. wireshark тоже. Попытка заюзать Charls proxy не увенчалась успехом, приложение наотрез отказывается работать. mitmproxy не собирается, какие-то проблемы с иксами. Может есть какой-то способ научить wireshark разбирать хттпс?
Собственно теперь это можно увидеть во всех новостях, а не только в конспирологических статьях:
Замутить себе валидный SSL сертификат может каждый хуй. И когда вы "ходите на гугл по https, по любому на гугл, подписанный ssl сертификат же", то вы можете ходить туда через сервера Васи Пупкина, у которого есть свои валидные сертификаты для домена google.com
Замутить себе валидный SSL сертификат может каждый хуй. И когда вы "ходите на гугл по https, по любому на гугл, подписанный ssl сертификат же", то вы можете ходить туда через сервера Васи Пупкина, у которого есть свои валидные сертификаты для домена google.com
macrodmin.blogspot.ru Pydio. Довольно полезные сервис. Работает на аяксе в браузере. Позволяет получать доступ к файлам вашем сервере по https. Не dropbox конечно, но ничем не ограничен зато. На случай если вы, например, не доверяете BitTirrentSync'у. Или нет необходимости постоянно иметь синхронизированную папку/папки на своих устройствах.
недавно на компах двух разных людей столкнулся с багом в старой опере, вместо открытия страниц с https опера предлагала сохранять их. вылечилось удалением файлов spdysett.dat и vlink4.dat в профиле
запилил кругом https://
доволен как слон
доволен как слон
в продолжении #2353247
если вдруг приспичит помимо ssh на 443 принимать таки https, openvpn или xxmp, то есть такая штука: rutschle.net
если вдруг приспичит помимо ssh на 443 принимать таки https, openvpn или xxmp, то есть такая штука: rutschle.net