Вот бы он и от нас съехал (ростелеком), может все-таки возьмете, а? :)

Этот тот, на который браузеры большими красными буквами ругаются? Для публичных ресурсов оно не годится.

Смотря что считать публичным? Многие торговые площадки да много еще чего требуют установки своего сертификата, а это вполне себе публичное место.
Если же говорить про всякие быдлокласники и т.д. то «мы же не о них говорим».

А тратишь усилия на защиту твоих же пользователей от MitM.

В том и дело что оно от MitM принципиально не защищает: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

вообще подпись центра не обязательная, но рекомендуется для широкого круга пользователей

Да, потому что без неё браузеры ругаются большими красными буквами, в отличие от обычного http (логика? не, не слышали).

Потому что без HTTPS любой злоумышленник может сделать что угодно от твоего имени с помощью MitM

А с https но без сертификата от CA злоумышленник ничего не сможет сделать по причине ненужности такого сайта для пользователей.

А ещё есть DNSSEC, если ты так боишься непорядочности сертификационных центров.

Это совсем другой уровень, не имеющий отношения к https.

Критикуя - предлагай.

Предлагаю запрещателям из мозиллы запретить http у себя на локалхостах и успокоиться.

Многие торговые площадки да много еще чего требуют установки своего сертификата

Сравнивать массовые торговые площадки и мелкие сайты для полторы домохозяек несерьёзно. Кстати, я пока что таких площадок, предлагающих чего-то там установить не видел.

Есть задачи, в которых шифрование ... даже опасно.

Не могли бы привести пример опасности шифрования?

В том и дело что оно от MitM принципиально не защищает: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

С помощью расширений, которые детектируют смену отпечатка, сертификационного центра и ведут статистику (например, от EFF) - таки защищает. Так что здесь скорее недоработки браузеров.

Да, потому что без неё браузеры ругаются большими красными буквами, в отличие от обычного http (логика? не, не слышали).

Потому что https предполагает защищенное соединение. А какое же оно защищенное, если браузер не может провалидировать?

Логика в том, что обычный http - наследие эпохи, и эволюция состоит в том, чтобы со временем тоже его помечать как небезопасное. В этом и задумка Mozilla, тогда всё станет на свои места.

А с https но без сертификата от CA злоумышленник ничего не сможет сделать по причине ненужности такого сайта для пользователей.

Перефразируй, я не понял, что ты хотел сказать.

Это совсем другой уровень, не имеющий отношения к https.

Информацию о PKI можно публиковать в зонах DNSSEC, а с помощью расширений браузера (а в идеале - интеграция в браузер) можно проверять соответствие цифровых отпечатков.

Предлагаю запрещателям из мозиллы запретить http у себя на локалхостах и успокоиться.

Неее, это так не работает ;)

С помощью расширений

Мне ещё и сторонние костыли домохозяйкам ставить, а потом платить деньги за каждый фейл CA (и как следствие отзыв сертификата) самому CA? Вдвойне ненужно.

которые детектируют смену отпечатка

Сертификат закончился/отозван и был выпущен другой, отпечаток поменялся — ругань красными буквами?

сертификационного центра

CA скомпрометирован, его сертификат исключён из списка доверенных, администратор сайта берёт сертификат у другого CA — ругань красными буквами?

Потому что https предполагает защищенное соединение. А какое же оно защищенное, если браузер не может провалидировать?

Оно и провалидированным не является защищённым, что хорошо показывает случай с CNNIC выше.

Перефразируй, я не понял, что ты хотел сказать.

Домохозяйка заходит на сайт с самоподписанным сертификатом, видит ругань красными буквами на весь экран с маленькими кнопками внизу „продолжить”, „получить сертификат”, „действительно продолжить”. Домохозяйка ранее запускала трояны с левых сайтов и уже знает что если браузер на каком-то сайте пишет слово „небезопасно” — такой сайт лучше закрыть. Действия домохозяйки?

а с помощью расширений браузера (а в идеале - интеграция в браузер) можно проверять соответствие цифровых отпечатков

Т.е. без сторонних костылей сейчас оно защищает лишь мозг хомячков от разрыва шаблонов.

Кстати, для всех, кто говорит «HTTP не нужен» - пример usecase. Есть локалка, в ней есть локальные веб-ресурсы (от всяких кастомных сервисов до банальной админки роутера).

1) HTTPS нафиг не нужен, потому что это локалка и все друг-другу доверяют. А если админ сети захотел бы шпионить, то полез бы сразу на сервер и HTTPS бы не спас.

2) Никто не даст тебе сертификат на локальный ресурс, потому что ты не сможешь подтвердить владение им (на то он и локальный, что его видишь только ты). К тому же в разных локалках разных людей может быть одно и то же доменное имя (какой-нибудь router.local).

3) На самоподписанные сертификаты браузеры очень ругаются. Единственное решение - установить всем пользователям корневой сертификат, но это неудобно, да и не всегда приемлемо. Да и правильно они ругаются - иначе можно было бы подделать сертификат сетевого ресурса, который не настолько популярен, чтобы к нему применили pinning.

Мне ещё и сторонние костыли домохозяйкам ставить

Нет, расширения ставит тот, кому это надо.

а потом платить деньги за каждый фейл CA (и как следствие отзыв сертификата) самому CA?

Нет, ты можешь взять бесплатный CA с возможностью бесплатного отзыва. А ещё можешь бесплатно проксировать через CloudFire, они сами позаботятся (если доверяешь CloudFire, конечно).

Сертификат закончился/отозван и был выпущен другой, отпечаток поменялся — ругань красными буквами?

CA скомпрометирован, его сертификат исключён из списка доверенных, администратор сайта берёт сертификат у другого CA — ругань красными буквами?

Просто ругань. Но ещё собирается статистика отпечатков сертификатов (публичная информация ведь), оно может ругаться только если у тебя другой отпечаток, чем в статистике (также расширение может учитывать факт скорого окончания предыдущего сертификата и факт отзыва).

Оно и провалидированным не является защищённым, что хорошо показывает случай с CNNIC выше.

Эти случаи единичны и довольно быстро обнаруживаются сейчас.

Домохозяйка заходит на сайт с самоподписанным сертификатом, видит ругань красными буквами на весь экран с маленькими кнопками внизу „продолжить”, „получить сертификат”, „действительно продолжить”. Домохозяйка ранее запускала трояны с левых сайтов и уже знает что если браузер на каком-то сайте пишет слово „небезопасно” — такой сайт лучше закрыть. Действия домохозяйки?

Закрыть сайт, и она сделает правильно. Возможно, проконсультируется в более опытных пользователей.

Т.е. без сторонних костылей сейчас оно защищает лишь мозг хомячков от разрыва шаблонов.

Нет, это уже обсуждалось. Попробуй подменить сертификат ЛОРа. Может, это сможет сделать твой провайдер? Или Ростелеком?

Нет, расширения ставит тот, кому это надо.

Пусть и с https и сертификатами заморачивается тот, кому это надо, ничего против не имею.

Нет, ты можешь взять бесплатный CA с возможностью бесплатного отзыва

И много CA дают такую возможность?

А ещё можешь бесплатно проксировать через CloudFire, они сами позаботятся

Защищаемся от возможного MitM, добровольно соглашаясь на перманентный MitM.

Просто ругань

А, ну это в корне всё меняет, потери аудитории можно не бояться.

Но ещё собирается статистика отпечатков сертификатов

И сколько времени будет занимать открытие обычной страницы со всеми этими прибамбасами?

также расширение может учитывать факт скорого окончания предыдущего сертификата и факт отзыва

А может и не учитывать.

Закрыть сайт, и она сделает правильно

Тогда зачем мне весь этот геморрой нужен если у меня уже прямо сейчас работает беспроблемный http?

Попробуй подменить сертификат ЛОРа

При утечке закрытого ключа одного из CA — легко.

Может, это сможет сделать твой провайдер? Или Ростелеком?

Ростелекомы и прочие проблемы жителей снежной Нигерии мне не интересны. Там вполне могут сделать подсовывание своего сертификата для всех сайтов, все несогласные пускай сидят без интернетов. Валидация сертификатов у CA кроме разрыва пуканов тут ничем не поможет.

При утечке закрытого ключа одного из CA — легко.

Из HSM? Ну-ну. Пример с CNNIC не показателен, там сертификат с CA:TRUE был выдал левым атласам, которые не удосужились разместить его в HSM, как все нормальные люди.

Только у тех, кто не осилил настроить ESMTPS.

В том же постфиксе дописать пару строчек:

smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtp_tls_security_level = may

чтобы включить tls на исходящих соединениях и чуть больше на входящих:

smtpd_tls_security_level = encrypt
smtpd_tls_CAfile = /etc/postfix/ca.crt
smtpd_tls_cert_file = /etc/postfix/server.crt
smtpd_tls_key_file = /etc/postfix/server.key

Большинство же популярных почтовиков (gmail, yandex, mailru) давно осилили эти настройки и используют ESMTPS.

Большинство же популярных почтовиков (gmail, yandex, mailru) давно осилили эти настройки и используют ESMTPS.
.... yandex, mailru

О дааа, давно, просто трындец как давно. Последний в прошлом году, а так да, это было очень давно.
ЗЫ И imap они оба просто жутко как давно осилили....

self-signed

в каких «обозревателях» проблема подсунуть

IE и Хром - определённые сочетания.

Тогда зачем мне весь этот геморрой нужен если у меня уже прямо сейчас работает беспроблемный http?

Потому что относительно скоро он перестанет быть беспроблемным. АХАХАХАХАХА!

Потому что относительно скоро он перестанет быть беспроблемным.

Расскажешь это пользователям множества заброшенных сайтов с нужной информацией, они оценят.

АХАХАХАХАХА!

Хорошо смеётся тот, кто смеётся последним.

Пример с CNNIC не показателен

Показателен тем что такие утечки возможны и никаких гарантий от этого в будущем нет.

Кстати, у тебя в профиле URL почему-то с http. Но с https он тоже не работает.

Он давно не работает, полезная инфа перекинулась на профильные вики, остальное просто стало не нужно. Спасибо что напомнил, уберу этот сайт, он уже не возродится.

Расскажешь это пользователям множества заброшенных сайтов с нужной информацией, они оценят.

Кстати, вот хорошая идея - делать зеркала заброшенных сайтов или переносить инфу на новые площадки. Ведь заброшенные сайты - на то и заброшенные, что никто за ними не смотрит, и они могут прекратить свою работу в ближайшее будущее из-за окончания действия домена, хостинга, или сворачивания сервиса хостера в целом. В конце-концов, из-за аварии в ДЦ, и ведь нет у них владельцев, которые будут потом восстанавливать из архивов. Так что проблема с http/https для таких сайтов - не самая главная.

вдвойне не нужно

Мне ещё и сторонние костыли домохозяйкам ставить

шаришь!

wosign ещё

ибо не надо ничего запрещать принудительно, достаточно предупреждать

А ведь работает!

«Кстати, вот хорошая идея - делать зеркала заброшенных сайтов »

Короче, ты предлагаешь скачать интернет, ок.

Пусть сначала Firefox кэш отучится терять. Чтобы в кэширующих http прокси не было нужды (которые как известно к сожалению не умеют https).

Зашиваем жопу, решив учиться срать через рот? В смысле, бесплатный/дешевый SSL-то будет?

Я конечно извиняюсь, но могли бы делать проверку, есть ли у сайта https-версия и перенаправлять, вместо показа ошибки.

Я конечно извиняюсь

https everywhere к вашим услугам.

Это говно какое-то, если не ошибаюсь. Вот раньше был аддон, который у любого сайта искал https и если он был — перенаправлял на него.