SSL на сайт - нужно ли?

Зачем использовать, если можно не использовать? Ну и le плохо дружит с хитросделанными конфигами nginx, например

Нет, он уже во всех браузерах https://caniuse.com/#search=http2

Не, ВНЕЗАПНО это когда ты не настроил автообновление, поскольку «раз в 2 года» можно и руками, и через 2 года получил неработающий сайт потому что провафлил. А ещё ты в отпуске и в упор не помнишь как там что обновляется. А вот когда раз в 3 месяца всё само обновляется, никаких ВНЕЗАПНО быть не может.

то блокировка одной страницы по HTTP для тебя как владельца ресурса очевидно лучше блокировки полностью всего сайта с HTTPS

Во-первых, если есть HTTPS версия заблокируют всё равно по IP, так что вопрос стоит о том чтобы не использовать HTTPS вообще, со всеми вытекающими. А потом никто тебе не обещает заблокировать только одну страницу. Коллаборационисты будут страдать в любом случае.

Хм. А сайты на нем встречаются?)

Я давно сижу на физички железном сервере. Один. Как раз чтоб не попал общий ип под баню какую.

Зачем использовать, если можно не использовать? Ну и le плохо дружит с хитросделанными конфигами nginx, например

Это в каком же месте? Всё что ему нужно это один location для верификации.

Я вообще не про shared хостинг, если что.

У меня там связка апача и нджинска. Как именно работает - хз. Статику второму, динамику первому.

https://w3techs.com/technologies/details/ce-http2/all/all

HTTP/2 is used by 14.4% of all the websites.

Как именно работает - хз

Подумай все-таки про CloudFlare :)

SSL/TLS имеет смысл, если соблюдено хотя бы одно из условий: 1. Есть передача чувствительных данных от клиента к серверу (логины, пароли, почта et cetera. Не ваш случай, очевидно) 2. Есть передача чувствительных данных от сервера к клиенту (контент, не одобряемый карательными органами, либо интересный мамкиным хакерам).

Если это так, то проще всего использовать letsencrypt - для проектов, не заинтересованных в накоплении понтов для привлечения инвестиций, этого достаточно.

В противном случае можно забить.

Думаю, нереально. Миллионы мелких файлов. Я на селектеле споткнулся о то, что в контейнере не более 10к файлов.

Что нереально? Я не предлагаю туда заливать что-то, он как обратный прокси работает. Переносишь туда свои nameserver-ы, одной кнопкой включаешь прокси, второй кнопкой включаешь SSL - профит.

Два года как у нас в продакшене :)

http://ru.wargaming.net/globalmap/

Да ясен пень, в моей кривости дело :)

Вот по ссылке как раз пример с хреновой кучей тайлов.

Все равно не вижу смысла. CDN по миру мне неактуально, а в РФ у них нет сети (сейчас может уже есть, раньше гуглил - точек раздачи нема).

Свой уютный сервер во Франции, работает.

В смысле, влияет? Нет об этом ни слова, одни мифы. Нужно быть внимательней к первоисточникам. Просто красный значок в говнобраузерах.

Я вот так и не понял из документации, как использовать этот локейшен в неинтерактивном режиме.

У кого у них? Я ж тебе не cdn предлагаю, а включить хттп2 для своих картинок. Клиенты оценят.

Надо озадачить сайтостроителей моих.

Доказывай

Не стоит недооценивать спецслужбы уровня АНБ. У них помимо возможности давления на CA наверняка есть не один десяток бэкдоров для добавления своих сертификатов в хранилище доверенных сертификатов ОС либо браузера пользователя, после которых твой pinning превращается в тыкву. Сноуден подтвердит.

Ну вот как всех посадишь на «нормальных» провайдеров

Зачем? Это нужно в первую очередь самим пользователям, которые платят за это свои деньги, а не мне.

так и получишь право рот открывать

ПНХ.

получил неработающий сайт потому что провафлил

Так и запишем — ССЗБ являются целевой аудиторией LE.

никаких ВНЕЗАПНО быть не может.

Выше я уже дал ссылку на пример твоего „не может”.

так что вопрос стоит о том чтобы не использовать HTTPS вообще

SSL на сайт - нужно ли? (комментарий)

А потом никто тебе не обещает заблокировать только одну страницу

Меня проблемы чебурнета в силу географического расположения вообще мало волнуют.

Коллаборационисты будут страдать в любом случае
Коллаборационисты

Это кто?

А что не так-то? Кому VPS нужны - те их и юзают. И вообще 99% юзеров что-то сложнее шареда не осилят.

Ну я так и понял, что

SSL на сайт - нужно ли? (комментарий)

...ты либо действительно либо засланный казачок, которому выгодно что все голые будут ходить, чтобы им рекламку впаривать да зловредов подсаживать, либо для барина небалгонадёжных выявлять.

Меня проблемы чебурнета в силу географического расположения вообще мало волнуют

...либо дурачок который дальше своего носа не видит, думает что понимает в ИБ и ему скрывать нечего, поэтому может спать спокойно. Не боись, не сам погоришь, так у мамки через открытое соединение пароль от какой-нибудь онлайн игрушки уведут, такое же точно-точно не надо шифровать, да и не жадко. Но только вот в банке пароль такой же, ай-ай. Она ж не ты, в ИБ не шарит, про возможности АНБ не рассуждает. И что у неё говнопровайдер она понятия не имеет. Или дочке тот же говнопровайдер рекламу с х*ями воткнёт, ладно бы только трафик потратил. Она ж не ты, за ней провайдеры не бегают, да и на даче/на отдыхе/в дороге/лагере/в отеде провайдера особо не поменяешь. Или брат за высказывание о том что гомосексуализм это неправильно (или правильно) загремит. Но тебя они же вообще мало волнуют? Спасение утопающих...

Только не будет этого потому что такие как ты ничего не решают, а те кто поумнее HTTPS делают везде.

ЧСХ, в илитных домах, где и консьерж, и платная охрана, шлагбаум, свои двери в квартиру таки закрывают

...ты либо действительно либо засланный казачок, которому выгодно что все голые будут ходить, чтобы им рекламку впаривать да зловредов подсаживать, либо для барина небалгонадёжных выявлять.

Конечно.

Не боись, не сам погоришь, так у мамки через открытое соединение пароль от какой-нибудь онлайн игрушки уведут

Это вряд ли, учитывая что она не играет в онлайн-игрушки. А ставящие себе один пароль на всё ССЗБ, им никакой https не поможет когда через какую-либо дырку сделают слив БД этой игрушки с паролями в плейнтексте.

пароль
такое же точно-точно не надо шифровать

Молодец: сам придумал, сам ответил, сам себя выставил дурачком. Я же лишь напомню вопрос ТСа:

А оно вообще нужно сайту, не содержащему даже формы логина?

Или дочке тот же говнопровайдер рекламу с х*ями воткнёт, ладно бы только трафик потратил. Она ж не ты, за ней провайдеры не бегают, да и на даче/на отдыхе/в дороге/лагере/в отеде провайдера особо не поменяешь.

Поменяешь. А вообще я очень сильно сомневаюсь что провайдер рекламу с МПХ рискнёт пихать, ибо за такое вполне себе можно присесть. Детей же воспитывать надо, ибо МПХ они могут увидеть и без помощи провайдеров, это тоже не проблема шифрования.

Или брат за высказывание о том что гомосексуализм это неправильно (или правильно) загремит.

Здесь https тоже не поможет ибо никто анализировать трафик ради такого не будет. Просто отправят запрос владельцу сайта/форума и вычислят по IP (хотя на самом деле не сделают даже этого если речь не про РФ ибо на это никто не возбуждается).

Только не будет этого потому что такие как ты ничего не решают, а те кто поумнее HTTPS делают везде.

Нет, не будет этого просто потому что твои наркоманские примеры высосаны из пальца.

как использовать этот локейшен в неинтерактивном режиме

certbot certonly --webroot -w /var/www/html/ -d your.domain.name --keep-until-expiring --non-interactive
/etc/init.d/nginx reload

включить хттп2 для своих картинок. Клиенты оценят.

Это если картинки маленькие. Если они там по 100-200 килобайт, толку вряд ли будет.

Но ведь вебрут это костыль. Например, у меня балансировщик и терминатор ссл, нафига мне к нему прикручивать статику? А если я делаю в конфиге локейшен, который делает return 200 «le_key» - неинтерактив перестает работать.

У тебя паранойя

Например, у меня балансировщик и терминатор ссл, нафига мне к нему прикручивать статику?

Видится мне, что в мире полно простых инсталляций вроде WordPress и прочего подобного. На них webroot будет работать отлично. У тебя более сложная конфигурация, с ней придётся вникать, как именно этот протокол получения ключей работает.

До того момента пока ВНЕЗАПНО не окажется что обновление сертификата не сработало

Угу. Или до варианта хуже, когда сервис незаметно для тебя (потому что всё заскриптовано, можно забыть же) умер/скурвился/продан, и скрипту отдаются подложные сертификаты или вообще какая-нибудь дрянь. Именно поэтому все эти прыжки с трёхмесячностью сертификатов в PKI идут в ближайшую урну. Меньше года - только при экстренном отзыве.

О том и речь, что авторы сертбота сделали простое решение (хотя внутри там, конечно, адское ололо), которое внезапно подходит далеко не всем.

Разве до реально популярного и массового хттп2 не как до марса раком?

Ты не поверишь...

Есть ещё одно простенькое ускорение при наличии SSL: вместо nginx наружу вывесить caddy или другую подобную хипсторню. Оно умеет quic, а сертификаты lets encrypt само автоматом получает и обслуживает.

А оно будет прямо каждый файлик же? В т.ч. 100500 тайлов панорам?

Лучше не слушай этих школотеоретиков. Сейчас очень много пользователей с мобил заходят. А там есть потери пакетов. Даже на wifi. И нагрузка на проц при дешифрации — это вообще ничто по сравнению с этим адом. Теперь внимательно оцени эту картинку — в ней суровая реальность.

Суйте голову в песок сколько угодно, а все проблемы из практики и HTTPS их решает. Лайте дальше, а корован идёт - например даже сайтики большинства свободных приложений состоящие обычно из index.html и тарболла уже в массе своей HTTPS-only:

https://repology.org/repository/ubuntu_17_10/problems

Чего и ТС советую.

А оно будет прямо каждый файлик же? В т.ч. 100500 тайлов панорам?

А ты что думал!

А если сам контент грузить со своего поддомена без хттпс?

Если всё - хттпс, а контент - хттп, то в современных браузерах зелёная надпись «хттпс» в строке адреса будет перечёркнута. Можешь поблагодарить браузеростроителей.

Наоборот, https не нужен, потому что не позволяет подобные вещи. Как проинформировать абонента о повышении тарифов, если он просто анонимно купил симку, сунул в свисток и даже не читает приходящие на неё SMS?

Такие браузеры не нужны. Ждите мой.

На поисковую выдачу это влиять не будет (вроде пока), а вот в хромом в будущих релизах гугель все обещает запилить предупреждение на адцком красном фоне, что сайт не безопасен.

Такие браузеры не нужны

современный хромиум, который чуть более юзабелен чем остальные

Ждите мой

дай ссылку на разработку

современный хромиум

Хромог — не браузер, а запускалка веб-приложений, разрабатываемая под интересы и идеологическое видение Гугеля. Некоторые востребованные тикеты висят уже лет восемь, а воз и ныне там, потому что тупой пользователь важнее. Юзабельным его можно с натяжкой назвать разве что из-за шустрого движка, но в этом плане голый хромиум ничем не предпочтителен поделок на его основе, причём это касается не только относительно свежих поделий типа Opera и Яндекс.Браузер, но и мастодонтов типа CoolNovo и Comodo Dragon. Последний, правда, на Gecko давно переехал вроде.

дай ссылку на разработку

Не публиковал ещё. Сначала надо каркас очертить, а потом охочих попилить допускать. А то получится совершенно неподдерживаемая дискорднутая гора, которая через год-два рухнет под весом лапши. И уж тем более нельзя юзверьков допускать; я хорошо помню, как тут пре-альфу Servo обсмеяли, хотя тыщу раз им было сказано, что оно и не должно ещё полноценно работать.

Хромог — не браузер

удваиваю. Однако, к сожалению, в связи с скатыванием firefox в адское небытиё, вот уже 2 года как, приходится выбирать из 2-х зол меньшее.

Не публиковал ещё.

Достаточно хотя-бы на проектную документацию.

Сначала надо каркас очертить

т.е. у тебя еще даже доков нет... пичалька :(

а потом охочих попилить допускать

ознакомься с тем как современный открытый софт пилят в 2017 году

если влом, могу в двух словах объяснить

из 2-х зол

Будто браузеров больше нету.

пичалька

Да.

де-факто, нету.
ты еще скажи, что линкс значителен как браузер.

А чего сразу в крайности бросаться?

Будто браузеров больше нету.

а что, есть?

есть 2 вида браузеров:

1) Те, что на движке хромиума (отличаются жором памяти и быстродействием)
2) Те, что на движке firefox (отличаются умеренным жором памяти но тормозами)

Да.

Жаль что прогресс разработки у тебя не идет. Кастани если будут какие-то новости или захочешь привлечь.

ты еще скажи, что линкс значителен как браузер.

Ну, если кто-то решится в 2017 году писать сайт без поддержки javascript и принудительной проверки совместимости с браузером, то да, линкс имеет смысл использовать.