LINUX.ORG.RU
ФорумTalks

Почему https не нужон если владелец сайта не банк и не террорист

 , , ,


1

3

Потому что в случае с https доступность сайта целиком зависит от кривых ручонок чужого дяди, получающего деньги за продажи воздуха и не несущего никакой ответственности, а использование https в свою очередь предполагает доверие к этому левому дяде у владельца сайта.

Ъ: из-за криворукости GlobalSign сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней.

★☆

Последнее исправление: h578b1bde (всего исправлений: 5)

получающего деньги за продажи воздуха

Если ты думаешь, что это очень прибыльное дело, то ты ошибаешься.

Vovka-Korovka ★★★★★
()

Я уже давно пишу, что TLS и прочие HTTPS просто запускают виток гонки «информация против спецслужб» и только.

Просто рабочие руки становятся нужны все меньше и меньше. Там где раньше работало 10 человек, справляется трое, чем занять семерых? А можно посадить их в подобный центр выдачи сертификатов или сделать их охранниками без оружия. Все воимя безопасности.

Прошлый мой подобный комент потерли с -3

Venediktov
()
Ответ на: комментарий от Vovka-Korovka

Если ты думаешь, что это очень прибыльное дело

Мне плевать есть ли у них с этого прибыль или нет, я смотрю на ситуацию лишь с т.з. владельца сайта (см. заголовок). Если я не собираюсь передавать никаких конфиденциальных данных — зачем мне за свои же деньги нужна лишняя точка отказа?

h578b1bde ★☆
() автор топика

получающего деньги за продажи воздуха

на самом деле всё не так просто.

snaf ★★★★★
()

Я не понял кривые руки у GlobalSign или у разработчиков Safari, Chrome и IE11? ФФ же не сломался вроде

sergej ★★★★★
()
Ответ на: комментарий от h578b1bde

Если тебе нужен просто https, то деньги никому платить не надо.

А сертификат с расширенной проверкой, который зеленым цветом пишет название твоей конторы своих денег стоит.

sergej ★★★★★
()
Ответ на: комментарий от snaf

Ъ:

Обновление: The Register в Твиттере сообщает: сотрудники GlobalSign подтвердили в интервью радио BBC, что проблема была целиком на их стороне.

Но что и как с ФФ всё равно не понял.

sergej ★★★★★
()
Ответ на: комментарий от sergej

А сертификат с расширенной проверкой, который зеленым цветом пишет название твоей конторы своих денег стоит.

Только этот золотойзелёный цвет в действительности ничего не значит, т.к. если что-то пойдёт не так —

НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ КОМПАНИЯ «GLOBALSIGN» НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА КАКОЙ-ЛИБО КОСВЕННЫЙ УЩЕРБ, НЕПРЕДНАМЕРЕННЫЙ УЩЕРБ, ФАКТИЧЕСКИЙ УЩЕРБ, ОПРЕДЕЛЯЕМЫЙ ОСОБЫМИ ОБСТОЯТЕЛЬСТВАМИ, ИЛИ ПОСЛЕДУЮЩИЙ УЩЕРБ, ВОЗНИКАЮЩИЙ ИЗ ИЛИ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ, ПРЕДОСТАВЛЕНИЕМ, ПОЛАГАНИЕМ, ЛИЦЕНЗИРОВАНИЕМ, ИСПОЛНЕНИЕМ ИЛИ НЕИСПОЛНЕНИЕМ ТРАНЗАКЦИЙ С ИСПОЛЬЗОВАНИЕМ СЕРТИФИКАТОВ, ЭЛЕКТРОННЫХ ПОДПИСЕЙ, ИЛИ ПРОЧИМИ ТРАНЗАКЦИЯМИ ИЛИ УСЛУГАМИ, ПРЕДЛАГАЕМЫМИ ИЛИ ПОДРАЗУМЕВАЕМЫМИ В ЭТИХ ПОЛОЖЕНИЯМ О ПРАВИЛАХ СЕРТИФИКАЦИИ КОМПАНИИ «GLOBALSIGN».

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Venediktov

В CA в большинстве достаточно 1.5 сотрудников (технический упор и отвечающие за ревокинг сертификатов).

Собственно, любой дурак может поднять CA дома и раздавать сертификаты хоть до посинения.

svr4
()
Ответ на: комментарий от h578b1bde

Такие дисклаймеры во всём софте есть. За ответственностью за ущерб - это к страховым компаниям.

sergej ★★★★★
()
Ответ на: комментарий от h578b1bde

странно, обычно у них должна быть страховка в банке не н-ую сумму.

snaf ★★★★★
()
Ответ на: комментарий от Vovka-Korovka

Если ты думаешь, что это очень прибыльное дело, то ты ошибаешься.

Как ты думаешь, как Шаттлворт стал миллионером?

inchallah
()
Ответ на: комментарий от svr4

аудит CA который необходим для того чтобы сделать сертификат доверенным стоит как минимум 100.000$

snaf ★★★★★
()

если владелец сайта не банк и не террорист

Что же, идея приравнять банки к террористическим организациям не лишена изюминки :D

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 1)

из-за криворукости GlobalSign сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней

Это прекрасно!

mandala ★★★★★
()

если владелец сайта не банк и не террорист

...то может быть он просто заботится, чтобы пароль клиента не отсниффили в макдаке или любопытный админ у провайдера.

goingUp ★★★★★
()

Да, вся эта затея с деревом делегирования сертификатов и протоколом SSL на все случаи жизни - весьма странная. Как карточный домик, как испорченный телефон.

Склоняюсь к тому, что со временем придет понимание, что ответственность нельзя вот так спихивать через несколько контор, слабо связанных одна с другой.

Сложнее, но надежнее будет схема, например, с «трехслойным» (максимум) шифрованием, где доверие идет отдельно к оператору связи (шифрование до некого шлюза), владельцу сервиса (примерно то, что сейчас делает https), и другому пользователю, с которым общаешься (E2E). Придется узаконить и как-то увязать все эти слои, чтобы не класть все яйца в одну корзину, как сейчас. Как-то так...

Deleted
()
Ответ на: комментарий от svr4

Собственно, любой дурак может поднять CA дома и раздавать сертификаты хоть до посинения.

Самоподписанные?

dmxrand
()

Собственно каждый решает сам. Не хочешь на своем ресурсе держать https не держи.

А так это звучит как:

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

Да и с бэкапами таж фигня надежность бэкапа зависит от того на какое устройство ты его делаешь (а его ДЯДЯ произвел).

dmxrand
()
Ответ на: комментарий от h578b1bde

Если я не собираюсь передавать никаких конфиденциальных данных — зачем мне за свои же деньги нужна лишняя точка отказа?

Тебя никто и не заставляет сертификаты покупать.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от dmxrand

Однажды я забыл ключи на работе и не смог попасть в квартиру

Принципиальная разница в том что ключи от твоей квартиры лежат в твоём кармане и контролируешь их лишь ты, а на валидность сертификата и доступность по нему твоего ресурса в текущих реалиях твоё влияние минимальное.

h578b1bde ★☆
() автор топика
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от dmxrand

Да и с бэкапами таж фигня надежность бэкапа зависит от того на какое устройство ты его делаешь (а его ДЯДЯ произвел).

Аналогия будет корректной в случае если устройств для бекапа можно использовать лишь одно и ты после записи бекапа обязан отдать его дяде.

h578b1bde ★☆
() автор топика
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от Vovka-Korovka

https://habrahabr.ru/company/eset/blog/245759/

Ну так хочешь место в выдаче повыше - плати денюжку. Все правильно.

Диктование условий за счёт монопольного положения на рынке не есть правильно.

h578b1bde ★☆
() автор топика

сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней.

Зашёл Safari на википедию. Открывается. Попросил показать сертификат — говорит, valid.

Miguel ★★★★★
()
Ответ на: комментарий от Miguel

Зашёл Safari на википедию. Открывается. Попросил показать сертификат — говорит, valid.

Фактически, пострадавшие сайты будут недоступны только у тех пользователей, которые зашли на них в течение тех нескольких часов, пока Cloudflare выдавал некорректный OCSP-ответ.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

До тех пор пока 1) ты не давал его в копирование 2) ты не почитал всякие форумы любителей вскрывать замки.....

Например истерия с домофонами меня удивляет. ВО ВСЕХ ПОДЪЕЗДАХ стоят домофоны за который каждые 2-3 года ты платишь единовременный взнос и при этом платишь еще за обслуживание и ключи есть «универсальные» и даже без ключа он вскрывается простой отверткой, а если жахнуть шокером, то вообще сразу открывает двери......

dmxrand
()
Ответ на: комментарий от dmxrand

Например истерия с домофонами меня удивляет. ВО ВСЕХ ПОДЪЕЗДАХ стоят домофоны за который каждые 2-3 года ты платишь единовременный взнос и при этом платишь еще за обслуживание и ключи есть «универсальные» и даже без ключа он вскрывается простой отверткой, а если жахнуть шокером, то вообще сразу открывает двери

Не угадал, у меня в подъезде этого говна нет и я за него не плачу.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от dmxrand

Купи два сертификата и с основного с http делай редирект по roundrobin...

А можно просто ничего не делать в случае отсутствия конфиденциальных данных, так зачем платить больше?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от dmxrand

А вообще аналогия с замками неверна в корне, т.к. в случае с вебом нехорошие люди вмешиваются в трафик пользователя, а не владельца ресурса.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Можно, выдача гугла — это 5-10 строчек на первой странице.
Благодаря https-сертификату, среднестатистический сайт может подняться с 78й страницы на 53-ю, т.е. экзобар.jpg.

shahid ★★★★★
()
Ответ на: комментарий от shahid

Благодаря https-сертификату

Они бы ещё выдачу ранжировали в зависимости от веб-сервера (например, сайты с апачем поднимали выше) и погоды на Марсе, а не от контента.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

А можно просто ничего не делать в случае отсутствия конфиденциальных данных, так зачем платить больше?

Помимо конфиденциальности есть ещё необходимость защиты достоверности данных. Заходишь ты на сайт с котиками, а тебе ЦП показывают.

Harald ★★★★★
()
Ответ на: комментарий от h578b1bde

т.к. в случае с вебом нехорошие люди вмешиваются в трафик пользователя, а не владельца ресурса.

В чём принципиальная разница, это их общий трафик. Технически можно и так сделать, постишь ты на сайт без https фоточку с котиком, а злой хакер меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

Harald ★★★★★
()
Ответ на: комментарий от h578b1bde

Наличие https — вполне критерий ранжирования и фильтрации, что сайт реально «живой», не очень палевный, что за сайтом ухаживают и заботятся о юзерах, которым надоел тормозной http. Какие у тебя цифирки выходят тут и тут?

shahid ★★★★★
()

Особенно тупо HTTPS смотрится на всяких там бложиках с 1.5 посетителями в месяц.

EXL ★★★★★
()
Ответ на: комментарий от Harald

Помимо конфиденциальности есть ещё необходимость защиты достоверности данных

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера. Если государство — нужно менять государство (смысл слова „менять” в этом случае каждый подберёт сам). Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Harald

В чём принципиальная разница, это их общий трафик. Технически можно и так сделать, постишь ты на сайт без https фоточку с котиком, а злой хакер меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

https не решает проблемы криворукого провайдера и упоротого законодательства.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от shahid

тормозной http

Попробуй тоньше.

Какие у тебя цифирки выходят тут и тут?

HTTP: 3.702 s; HTTPS: 5.732 s; HTTPS 55% slower than HTTP.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера.

Для начала ты должен узнать о факте того, что кто-то пытается модифицировать твой трафик.

Если государство — нужно менять государство (смысл слова „менять” в этом случае каждый подберёт сам). Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

Государство вынуждено искать пути обхода защиты, которую предоставляет HTTPS. Государство не может влиять на все остальные государства, где серверы отдают контент по HTTPS.

Если завтра государство обяжет провайдера выпускать пользователей в интернеты лишь через самоподписанный сертификат — https тут никак не поможет, поскольку альтернативой установке самоподписанного сертификата будет отсутствие котиков вообще.

В этом случае ты точно будешь знать, что государство смотрит твой трафик. Без HTTPS государство могло бы делать это без палева

Harald ★★★★★
()
Ответ на: комментарий от Harald

Технически можно и так сделать, постишь ты на сайт с https фоточку с котиком, а злой хакер через дыру на сайте меняет её на ЦП, к тебе приезжает пативен, и доказывай потом, что не верблюд

Fixed.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от shahid

Долго цифры придумывал?

Тебе нужен нотариально заверенный скриншот или что?

h578b1bde ★☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.