Mozilla объявляет устаревшим незащищенный протокол HTTP

да, уже взлетело. на уровне ipv6, но НЕ выше

В ssh люди ходят, доверяя фингерпринту хоста с первого коннекта, и ничего.

Нет, сынок, папка - хостер и готовится барыжить сертификатами.

Раньше любой хиппи мог траву курить, а теперь надо рецепт у врача брать.
Раньше любой белый мог застрелить любого негра, а теперь надо полицейский жетон получать.

Куда катится эта цивилизация?

Да кому это нафиг надо?! TLS/HTTPS вообще ни от чего НЕ ЗАЩИЩАЕТ!
Вот буквально вчера настраивал себе в фирме патченый squid с SSL-bump-ом. Могу читать всю переписку в этих ваших вконтактиках по https у всех пользователей. Уже настроены триггеры на автоматическое сохранение сообщений с ключевыми словами.

Ну и что теперь? Нафига все эти усложнения, если они обходятся и имеются на раз-два? Нафига усложнять жизнь админам, если цель не достигнута?

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

С каких это пор домен стал необходимостью?

для себя можно самоподписанный сертификат сделать и прописать его в своем браузере, а выкладывать фотки из owncloud сюда, например, можно по http.

Как минимум возможность его отменить и выпустить новый.

Я еще раз убедился, что не зря за нас кто-то думает. Всем спасибо, валю из треда.

А я смог.

Поздравляю. Только я тебя об этом не спрашивал.

Ну в принципе я давно хотел сделать форк хромиума и делать по настоящему свободный от корпораций проект. Но в одиночку это тяжело.

" - Здравствуйте, у меня не работает интернет!

......

- Откройте браузер, введите 192.168.1.1, нажмите ентер. Открылось?

- Нет, браузер говорит, что протокол http устарел.

- поставьте проксирующий nginx. "

так чтоли?

валю из треда

В РУДН, на курсы русского языка, надеюсь?

Или надеется, что разработчики браузеров передумают.

...

Интересно, как будут вести себя консольные браузеры и «паучки»

Сколько стоит час занятий?

В топку!

Зачем сертификат тому, зачем этому. Вам только швабодку дай - каждый отговорку найдет. Надо форсировать это дело.

надеется

Это болезнь такая?

китайцы дают такую возможность, бесплатно

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

Ну, мозилла этому уже объявила войну. Если ещё и гугл подтянется, то придётся лавочку прикрывать.

это интернет, детка

Это болезнь такая?

Это бесконечный процесс ожидания, что так оно и будет. Обязательно. Ну, правда. Вот сейчас. :)

Так и Ричард не в одно рыло GNU запилил.

Ну я же говорю: дилетант

С китайцами неудобно работать, если ты не китаец.

В топку!

ага, вместе с «юзверями» - это как-раз в стиле ПО XXI-века

Внутри фирм просто распространяешь свой собственный доверенный сертификат. Это необходимо, например, для корпоративной почты.

А провайдеры тоже что-нибудь придумают. В крайнем случае будет CA Russian Federation, который всем будет ставится на компы и без которого в принципе не будет работать интернет.

Это не интернет, а твое желание похвастаться публично, возвыситься над остальными. Ведь ты смог что-то, чего не смог кто-то другой. Интернет тут лишь средство для достижения цели, не более. Ни к чему его упоминать.

азаза лалка

это всем очевидно

Внутри фирм просто распространяешь свой собственный доверенный сертификат.

Внутри компании, где можно прописать свой корневой сертификат и даже свои сборки хромиума, можно всё.

В крайнем случае будет CA Russian Federation, который всем будет ставится на компы и без которого в принципе не будет работать интернет.

Да... Конечно. Проще будет тогда уже отключить чебурашку от интернета, чтобы не мучилась. :)

Емнип, firefox кладёт прибор на системное хранилище сертификатов.

Вообще странно, у меня cacert работает, на их же сайте говорят, что он в ФФ не попал, ну а там и в исходниках nss (или где он там должен быть) упоминаний о cacert нету.

ssl-bump работает, если добавить свой корневой сертификат в браузеры. без этого будет ругаться.

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

проверил отпечаток сертификата своего локалхост сайта при заходе с мобильника - совпадает.

А с интернетом неудобно работать, если ты не траффик.
Но работают же ни ничего.

Не удобно — сделай свой удостоверяющий центр и работай как тебе удобно.

Нет, это моё к тебе послание: «прекрати винить во всех своих проблемах окружающих и пойми что проблема в данном случае в тебе».
То, что смог я, смогли ещё многие.
А тех, кто не смог — единицы.
Это не констатирует твоей неминуемой неправоты, но аргументирует прекратить ныть и попробовать иначе.

проверил отпечаток сертификата своего локалхост сайта при заходе с мобильника - совпадает.

зайди с немецкого прокси,очень удивишься,еще зайди с малазийского или корейского прокси-просто офигеешь-везде будет разный сертефикат(причем может быть разный на каждый прокси,конечно прокси могут подменять,но 1 из 10 всеже даст реальный)

Думаю у них хватит ума исключить подсети вида 192,168, 172,20, 10,10 (или как их там)

с подменой корневых серверов.

Прикольно

А ничего что браузер заорёт о том что crt не соответствует доменному имени?

Или ты предлагаешь залезть в каждый браузер и засунуть туда свой CA?

Кстати, ты не забыл, что ты задрот-дартаньян каких еще поискать? И нет, это не оскорбление.

Лол. Хорошо ли ты себя сегодня чувствуешь? Где ты во фразе "я так и не смог подружить" нашел обвинение окружающих?

У меня сервер стоит на антресоли и доступ к нему у меня напрямую, через локалку. Зашел по ssh и сделал

openssl x509 -noout -in apache.crt -fingerprint -sha1

Так что правильный fingerprint я точно знаю.

Не забыл. И это у меня уже давно. Когда я выпускался из школы, мне даже особый подарок от учителей был, за дартаньянство, борьбу с двоемыслием и т.п.

https://addons.mozilla.org/ru/firefox/addon/no-flash/

теперь заживем!

скажите там кто-нибудь этим гуглам-мозиллам, что 99.99% электронной почты до сих пор передается без какого-либо шифрования. а по емейлу более ценная информация передается, нежели фоточки котиков и тней, которые они так усиленно пытаются защитить. вдруг они не знают еще.

Ну, мозилла этому уже объявила войну.

Удостоверяющие центры должны выполнить данные требования до 27 апреля. Если требования не будут выполнены, Mozilla удалит из списка корневых сертификатов, поставляемого в составе своих продуктов, сертификаты удостоверяющих центров, уличённых в практике продажи вторичных корневых сертификатов. В частности, речь ведётся об удостоверяющем центре Trustwave. После удаления сертификата из списка корневых сертификатов Mozilla, все другие сертификаты, подписанные данным удостоверяющим центром, будут отображаться в Firefox как не заслуживающие доверия.

Ага, вы нам пообещайте, что мы никому не выдадите сертификат для mitm, а мы поверим вам на слово.

При любой ошибке CA у него сразу должны отзывать всё, что можно, а контора должна разоряться, а владельцы получать иски от клиентов, попадать в нищету и подыхать в канаве от голода. Иначе никак.

По факту же у мозиллы не хватило balls на то, чтобы отозвать тогда trustwave, а если поймают за руку comodo, на котором половина интернета сидит, то тем более не хватит. Пошумят и разойдутся.

Мне, вот, интересно, когда же Firefox победит тиринг при проигрываниии флэш на страничках?

https://addons.mozilla.org/ru/firefox/addon/no-flash/

Какой же?

К слову, mail.ru в этом плане хорош, от него почта с TLS идет

А ничего что браузер заорёт о том что crt не соответствует доменному имени?

не заорёт, если корневой есть в списке доверенных. В мозилке это сотня различных сертификатов. С кем-нибудь из них вполне по зубам договорится и фирмочке среднего пошиба. Про государства я вообще молчу.

Или об открытом форуме. Одно дело - отправка сообщений, да их надо шифровать, дабы затруднить деаномизацию. Но другие дело что сами сообщения доступны и так всем.

если из всей сессии будет зашифрована только отправка сообщений - определить кто какое сообщение писал - элементарно.
И это, кстати, хороший пример и того, почему нужно шифровать всё, и того, почему вручную тратить время на разделение информации на важную и нет - бессмысленный неэффективный геморрой.