Ваше отношение к бесплатным SSL-сертификатам

от них хуже не будет

Котиков покажи.

И вообще, почему их продолжают называть SSL-сертификатами, когда протокол SSL давно устарел и закопан? TLS-сертификаты!

Или X.509v3 сертификаты, если максимально точным быть

Есть еще https://www.startssl.com

Положительно.
Надо.

Только положительно, пользуюсь ими для своих нужд, куда удобнее всего остального.

У них ужасно убого всё. Мне проще как-то в cron написать letsencrypt renew, чем по ихнему сайту тормозящему шляться и мышевозить.

любители хардкора изучают китайский по гуглотранслейту, чтобы получить халявный сертификат от WoSign :)

Это очень хорошо, шифровать надо весь трафик.

С бэкдором? :)

ну и куда ты бэкдор в сертификат засунешь?

Это тот восайн, который из доверенных собираются выгнать? :-)

на самом делен нет

Да? Давай подробности и пруфы. А то я уже начал прикручивать к своим котикам сертификаты.

А как вы относитесь к сервису https://letsencrypt.org/ ?

Потребительски.

Положительно. Надо.

положительно, хоть ни разу и не пользовался.

Есть еще https://www.startssl.com

оно принадлежит startcom, который теперь принадлежит wosign.

надеюсь, все в курсе кто такие wosign.

Уде утро. А котиков все нет!

Уже нет, ему отзывают СА из-за многочисленных нарушений.

Китайцы решили из разделить.

Кошка, умная, хитрая, воспитанная:

https://pp.vk.me/c630717/v630717923/40339/j_xeCYT8ats.jpg

https обычно шевелится быстрее, чем голый http.
А если ещё и quic прикрутить, то совсем замечательно становится.

https обычно шевелится быстрее, чем голый http.

WAT? Если ты о спиди и хттп2, то там выигрыш можно получить в каких-то 5..10% процентах случаев.

1. Отрицательно

2. Нет. Совсем.

люто плюсую

Учитывая последние новости о WoSign/StartSSL, альтернатив letsencrypt не вижу. Единственный их недостаток это короткий TTL сертификатов.

Приватный ключ у китайского товарища майора...

Я бы сказал - это скорее плюс.

Как будто у оффисеров из NSA и MI5 нету приватных ключей от всяких VeriSign-ов )

Нету. Это гарантируют банки и индустрия, пользующиеся этими сертификатами. Потому что если такая информация когда-нибудь всплывет, то экономика обвалится так, что никакие NSA и MI5 будут прост о не нужны.

Если ты о спиди и хттп2
2016

Ну как бэ да.

выигрыш можно получить в каких-то 5..10% процентах случаев

Я невероятно удачлив. Традиционный вброс:
http://www.httpvshttps.com/ 8.681 s
https://www.httpvshttps.com/ 0.649 s

360 некэшируемых картинок - не самый частый юзкейс. И потом, можно где-то найти их конфиги, чтобы развернуть и проверить на своем стенде?

Положительно.

Надо.

Очень интересно услышать причину отрицательного отношения к letsencrypt.

94% faster than HTTP

HTTPS победил? =)

Надо ли сайту с котиками https?

Нет. Впрочем, сайты с котиками не нужны ни с шифрованием трафика, ни без.

Конфиги одолжить у своих сисадминов по докам с сайта nginx. Этот тест — чистая синтетика, но демонстрирует суть тормознутости голого хттп в сегодняшнем/завтрашнем интернете, состоящем из куч картинок, стилей, пачек xhr из react.js и т.д.

Для ухода от не самых частых юзкейсов и большего погружения в суровую реальность, вбрасываю ещё вот эту картинку, взятую со страницы goquic. Доля мобильных устройств и беспроводных интернетов нынче высока...

Там синтетика, не имитируются потери пакетов и прочее. Так что победа там — только на хорошем проводном интернете. ssl+http2+tcp может очень мощно затупить при потерях на фоне мультиплексирования запросов. Поэтому про quic сразу упомянул, т.к. от уже рабочего https на сайте до quic по сути один шаг. Гугл правильно давит на сайты, современный замусоренный тормознутый интернет надо чистить и улучшать.

как вы относитесь к сервису

отрицательно: они создают себе ботнет, распространяя свой клиент для выполнения «обновлений» сертификата, а пользователи и рады его ставить

Надо ли сайту с котиками

если пользователи не покупают там фотографии котиков, вводя номер кредитки, и не хранят важные данные, то нет, не надо, т.к. излишне защищать/шифровать то, что в этом не нуждается

клиент открыт:

https://github.com/certbot/certbot

если пользователи не покупают там фотографии котиков, вводя номер кредитки, и не хранят важные данные, то нет, не надо, т.к. излишне защищать/шифровать то, что в этом не нуждается

вдруг ты зайдёшь на сайт с котиками, а тебе вместо котиков злую жабаскриптную вирусню внедрят через браузер

в теории было бы неплохо для сайтов с котиками иметь аутентифицированное соединение с защитой целостности контента, но без шифрования. Вполне возможно, что TLS умеет в такой режим, надо читать спецификацию

таки да, есть такой режим

http://stackoverflow.com/questions/1930108/unencrypted-ssl-protocol

ну и куда ты бэкдор в сертификат засунешь?

в чем проблема оставить у себя копию закрытого ключа? тем более мы имеем дело с китайцами, которые в этом отношении нифига не честнее ни рф, ни штатов

Если ты о спиди и хттп2, то там выигрыш можно получить в каких-то 5..10% процентах случаев.

вроде как раз на сайтах с котиками, особенно на географически далеких сайтах, выигрыш должен быть максимальным. типа много котофоток без дополнительного handshake

int13h

клиент открыт

Отлично, значит продвинутые пользователи смогут написать свою реализацию или сделать форк при необходимости (если в очередном обновлении официального появятся не связанные с обновлением сертификата функции). Многие будут этим заниматься?

Harald

вдруг ты зайдёшь на сайт с котиками, а тебе вместо котиков злую жабаскриптную вирусню внедрят через браузер

Вдруг этот же самый скрипт внедрят непосредственно в уже загруженную страницу на машине пользователя? Вдруг ещё что-то случится на устройстве пользователя или у его ISP. Это в общем случае не должно заботить владельца «сайта с котиками». Как только на сайте появляются не только котики, но и информация, которую надо защищать от вмешательства и владелец сайта будет в этом заинтересован, вот тогда владелец сайта и может и должен предпринять для этого усилия. До этого момента его не должно волновать, что происходит в процессе доставки контента к пользователю по неподконтрольным ему каналам связи - это не его зона ответственности.

было бы неплохо для сайтов с котиками иметь аутентифицированное соединение с защитой целостности контента

Да, в виде расширения для протокола http, которое бы поддерживалось веб-серверами и браузерами и не предусматривало бы вовлечение третьей стороны, такого как центр сертификации. Самоподписанные сертификаты здесь кстати подходят очень хорошо.

Нормально, я сам себе делаю бесплатные сертификаты.

в чем проблема оставить у себя копию закрытого ключа?

закрытый ключ от твоего выданного сертификата должен быть только у тебя, а то, что закрытый ключ от корневого сертификата может у дядей в погонах быть, так это про всех можно так подумать

На больших по объемах котофотках выигрыш будет нивелироваться размерами этих фоток. Максимум профита на ресурсах, где сотни мелких файликов.

Вдруг этот же самый скрипт внедрят непосредственно в уже загруженную страницу на машине пользователя? Вдруг ещё что-то случится на устройстве пользователя или у его ISP.

На машине пользователя - это надо иметь доступ к машине пользователя. А вот чтоб не случалось у ISP, для того все эти TLS и существуют

На больших по объемах котофотках выигрыш будет нивелироваться размерами этих фоток. Максимум профита на ресурсах, где сотни мелких файликов.

речь про thumbs этих самых котофоток, разумеется. Никто ж не будет 100500 фоток в высоком разрешении на одну страницу грузить. А если они весят по 10-20 кб, но при этом сервер в австралии и рядом нет никаких его кэш-прокси, то в целом хттп2 должен быть быстрее

Конфиги одолжить у своих сисадминов по докам с сайта nginx.

Ваганыч, перелогиньтесь. Я прошу конфиги этого конкретного ресурса.

пачек xhr

а каким местом оно до хттп2? Коннект уже вполне может быть закрыт к моменту, когда твоему скрипту припрет сходить до сервера. Разве что пуш.

Про quic я бы предпочел поговорить в другом треде, эта штука выглядит действительно полезной и интересной.