Почему некоторые против HTTPS Everywhere?

Имею в виду что пока есть возможность ходить на сайты по HTTP, можно запретить HTTPS в рамках любой организации или там страны, а HTTP фильтровать и мониторить.

Ох уж эти непуганные идиоты, наивно думающие что HTTPS в рамках любой организации или там страны нельзя фильтровать и мониторить.

Потому что НЕ ВСЕМ НУЖНО.

Продолжу игнорировать объявлятелей.

Тюрьма — весьма неплохое место для игнорирования объявлятелей. Как бонус проблемы с какими-то там сертификатами для тебя станут чуть менее актуальными.

Это, конечно, верно, что проблему нужно решать и в другой плоскости, но даже если, скажем, законодательно запретить подменять трафик и засовывать туда рекламу, всё равно с https будет спокойнее.
Законодательно запрещено воровать и убивать, но двери в свои квартиры все почему-то закрывают на ключ

По сабжу, единственный серьёзный аргумент - это надо держать обновлённый софт, чтобы просто иметь доступ к сайтам (даже допустим, фиг с ними с уязвимостями и безопасностью вообще).

Скажем, Android 4.0 в системе поддерживает максимум TLS 1.0, и многие сайты в принципе не открывались ещё несколько лет назад. А из браузеров у которых своя реализация криптографии, только Firefox, который был тормозной, а сейчас вообще выпилили поддержку Android 4.0. Обновить систему, скажем, до Anroid 5 - не получится, так что для интернетов устройство использовать невозможно.

С другой стороны, современный шеб с жс и хтмл5 так разогнался, что актуальный браузер будет нужен в любом случае, скажем, если взять firefox 5-летней давности, то в интернетах особо не полазишь, независимо от https.
Так что аргумент в итоге так себе

В соседней теме обсуждают, как в штатах просрочилось 100500 сертификатов государственных учреждений, и с этим ничего не поделать, патамушта government shutdown.

Я сам частенько бывал на сайте, у которого админ HSTS настроил, а автопродление не настроил, а сам бывает раз в полгода. А браузер мне говорит, что я тварь дрожащая, и он лучше меня знает, можно ли ходить на сайты с HSTS и просроченным сертификатом, и фиг вам а не add exception.

А уж аргументы, что https спасет вас от товарища майора, - детский сад.

https спасает ровно от двух вещей - кульхацкера васи в публичном вайфае и кульхацкера провайдера. Но последнее это фантастика, потому что публично нарушать закон, причем вторгаясь в вотчину товарища майора, это стрелять себе в ногу. Максимум вам покажут рекламу. Которую вам и так показывают все вокруг.

Вообще не понимаю, как можно быть параноиком, но при этом утверждать, что PKI, у которой эта самая I - портовая шлюха, которую с одной стороны имеют органы, а с другой - корпорации, обеспечивает какую-то там безопасность.

Потому что есть Smart HTTPS и HTTPZ.

Вообще говоря, это особенность протокола tcp.

Только на уровне L3, а мы говорим о L7.

В моём мире живут только пони, они кушают радугу и какают бабочками!

Их того же места что и привычка экстраполировать на весь мир отсутствие проблем в своём маленьком мирке.

Разница в том, что ты из одного инцидента развил у себя паранойю.

Вполне хватает глобального HTTPS.

Слабо чот. Градус надо повышать.

Казахи делали и оно даже работало какое-то время. Подмена SSL в Казахстане, актуальность

Сейчас хз, давай спросим у @alexferman

Эмираты отличились: https://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

А если именно западный мир брать, то: https://www.reddit.com/r/sysadmin/comments/6qvg48/att_rolls_out_ssl_ad_inject...

https://www.schneier.com/blog/archives/2013/09/new_nsa_leak_sh.html

Нельзя, для этого есть pinning.

Туда особенно, потому что это админка и хожу я туда через wifi который дыряв был и будет. Представь себе, даже на локалхост.

Разница в том, что ты из одного инцидента развил у себя паранойю.

Не более чем товарищ выше из того что не видел ни одного инцидента (при этом даже не факт что их не было) развил идею о безопасности.

Я повторюсь, во-первых, проблема повальна. Во-вторых, заявлять о моей паранойе вам бессмысленно, глупо, поскольку на HTTPS по озвученным соображениям перехожу не я, а весь мир, и поздно, потому что это уже свершившийся факт. Сейчас можно только объяснить непуганным дурачкам зачем это было надо.

Нельзя, для этого есть pinning.

Ну будешь сидеть без интернетов, чо.

Туда особенно, потому что это админка и хожу я туда через wifi который дыряв был и будет.

А сертификат тебе кто подписывать будет?

Представь себе, даже на локалхост.

Ну то что у тебя неизлечимая стадия я уже понял, да.

«Я позволяю незнакомым людям удалённо запускать разные программы на моём компьютере. Что может пойти не так?».

Самое смешное, что была бы речь о винде, над любителями качать екзешники бесплатно без регистрации и смс местные борцуны с TLS наверняка бы ржали. А тут неограниченный круг лиц может что угодно запустить на их машине и им ок.

Сейчас можно только объяснить непуганным дурачкам зачем это было надо.

Затем чтобы у гугля не забирали денюжку подменой рекламы. Ну и обосновать нужность покупки нового смартфона проще: выпустили очередное неподдерживаемое говно — через два года оно идёт в помойку и начинается новая итерация.

Казахи делали, Эмираты отличились

Прям просто оплоты демократии,

А если именно западный мир брать, то:

так где же примеры того что работало? AT&T кривая реализация injection, браузеры сразу блочили, никто и ничего не послушал если пользователь самым умным образом не нажал «Дя, отправь все мои данные без шифрования», к сожалению Брюс не описывает откуда был взят сертификат, но а теории да, правительство может прийти к довереному центру и получить.

Я думал, хоть поумнее будешь, и Турцию в пример приведёшь, там был наиболее красочный эпизод с полностью ВАЛИДНЫМ (принимаемым браузером без вопросов) сертификатом для google

На HTTPS весь мир переходит потому что гугл форсит замочки, и только поэтому. Всему миру накласть с прибором.

Турция тоже не демократия, зачем ее приводить в пример, когда два других уже есть?

Алсо, AT&T таки пытались, то, что не получилось - это просто недоработка, твой желаемый PoC.

И не надо на личности переходить плз.

Что-то у вас не вяжется.

Турция тоже не демократия

Казахстан и ОАЭ норм, а Турция 2011 так нет

Алсо, AT&T таки пытались, то, что не получилось - это просто недоработка

Вот когда получится, тогда и поговорим, пытаться могут что угодно.

Казахстан и ОАЭ норм, а Турция 2011 так нет

Я так понимаю, ты специально пропустил слова «если брать западный мир», и теперь просто играешь в демагога.

Вот когда получится, тогда и поговорим, пытаться могут что угодно.

Идеологически они созрели, и это главное.

Что именно? Ты реально считаешь, что это EFF продавили?

Я так понимаю, ты специально пропустил слова «если брать западный мир», и теперь просто играешь в демагога.

Идеологически они созрели, и это главное.

это у вас одна демагогия, они хотели делать то же самое что и с http, представь приходит бос и говорит: «хочу чтоб на гугле тоже показывались наши предупреждения, как это на происходит моём бложике», дальше это спускается до инженера через 10 менеджеров, каждый в цепочке ничего не понимает в https/http, инженер крутит у виска, но кто его будет слушать? он приделывает фальшивый сертификат, бос в шоке, манагеры тоже и шлют идею на хер.

Что у нас нет интернета от обсосов с единой ценой по стране?

После перехода linux.org.ru на https читать форум, используя инет от мегафона на планшете в СПб и перемещаясь от базовой станции к базовой станции в процессе загрузки стало практически невозможно. Постоянно ошибка «Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.» Для себя временно решил это переходом на другого оператора с чуть более стабильным и быстрым инетом (тинькофф мобайл на базе теле2), но не думаю, что тем, кто использует мегафон посещать ЛОР после принудительного внедрения https комфортно.

но не думаю, что тем, кто использует мегафон посещать ЛОР после принудительного внедрения https комфортно.

Ну так может повсеместный переход на https пнёт меговнофон, чтобы тот организовал нормальную связь?

Почти все сервера только под http.

У тебя там поди ещё и бакс по 30 рублей? И биток за сотку?

Что будешь делать, если завтра объявят криптографию для физических лиц вне закона?

Неужели вы начинаете понимать? Смысл в том чтобы без криптографии интернет не работал, и страна которая так сделает мгновенно откатилась бы в каменный век.

Никто никуда не откатится, заставят установить свой государственный корневой сертификат CA и будет MITM, как уже делали в Казахстане.

Так всё идёт к тому чтобы и это не работало. Обязательный CT.

Если на данном сайте провайдер блокирует часть страниц, то по HTTPS обычно оказываются заблокированы все.

Если на данном сайте провайдер блокирует часть страниц, то по HTTPS обычно оказываются заблокированы все.

Больше блокировок хороших и разных! А то вам всё блокируют, а вы языки в задницы позасовывали и сидите терпите.

и страна которая так сделает мгновенно откатилась бы в каменный век.

Уже приняли закон об откате в каменный век https://habr.com/ru/post/436526/

Так всё идёт к тому чтобы и это не работало. Обязательный CT.

Уже пришло. Вы проспали. Просто ещё не включили. Как надо будет - включат. Может завтра, может через неделю, месяц, год...

возможно ли, что использование сертификата некоего стороннего удостоверяющего центра (например VeriSign, Comodo etc) создаёт возможность владельцу этого сертификата получать данные о его использовании? т.е. кто когда и где делал запрос к сайту (на который выпущен сертификат).

допустим мы отключим эту функцию в браузере (пункт certificates в разделе Privacy&Security - FF), но ведь он может нас не послушать.

потом, если мы доверяем шифрование стороннему удостоверяющему центру, где гарантия, что он не будет использовать свой корневой сертификат как-то кроме как шифрования частного соединения? (а например передаст сертификат спецслужбам)?

да, если не использовать шифрования совсем, то вы оставляете возможность следить за вами провайдеру и офицеру.

в противном случае, использование https на своём ресурсе может обернуться тем, что вы добровольно соглашаетесь на сбор о вас сведений тем УЦ, которому доверились.

поэтому, конечно просто шифрование не есть решение всех проблем безопасности. кто проверяет каждый сертификат для используемых ресурсов?

решение проблемы - использование самоподписанных сертификатов, но тогда «всего навсего» надо, чтобы браузеры перестали агрессивно и безапелляционно блочить сертификаты, выпущенные УЦ не из их списка или самоподписанные сертификаты.