какой такой цепочки? кто, кроме CA?

Из последнего: http://www.opennet.ru/opennews/art.shtml?num=41902

такая контора быстро утратит всякое доверие и её корневой сертификат погонят из браузеров ссаными тряпками

Купившим воздух у какого-нибудь CNNIC от этого сразу стало легче.

а годику к 2020 и на роутерах будет HTTPS, тащемта, там он тоже может быть нужен.

Локальные айпишки уже подписывают?

так и вижу, как тысячи хомячков бросают хромог и огнелис и бегут осваивать Dillo и NetSurf.

Зачем хомячкам все эти незнакомые слова? У них есть знакомый IE.

Why so butthurt?

странный подход для оплота свободного по. скорее похоже на натуральный фашизм

Why so butthurt?

Ты всё, что не укладывается в твой уютный шаблон, словом „butthurt” называешь?

Приведи пример сайта который себя не окупает и при этом наполнено домохозяйками и ценной информацией

Википедия?

что «а не для localhost?». в компании где я работаю, фактически все ВНУТРЕННИЕ сервера имеют self-signed сертификаты, все что торчит наружу - правильно подписано.

кстати, в каких «обозревателях» проблема подсунуть salf-signed?

Ты всё, что не укладывается в твой уютный шаблон, словом „butthurt” называешь?

Нет. Я называю баттхертом посты, которые состоят в основном из фраз типа:

огороженный якобы „протокол”

защищает лишь от школьника Васи

анальную привязку к продавцам воздуха

воздухоторговцы могут барыжить

маргинальные пользователи тормозиллы

воздух для убогих

в компании где я работаю, фактически все ВНУТРЕННИЕ сервера имеют self-signed сертификаты

Но зачем? Не доверяете внутренней сети?

Как там у вас в 90-х, белые айпишки всё ещё продают или уже нет?

150 рублей в месяц, столько же, хрен знает, сколько (и недоступный солнечногорцам, но доступный всем остальным), 130 рублей в месяц, 120 рублей в месяц. Дальше продолжать лень.

Я продолжу использовать HTTPS как незащищённый канал, а браузер продолжит считать его защищённым :-)

согласно твоей логике, твой пост — тоже баттхёрт. приложи ледку

ещё на проводном билайне с его l2tp продают. как и на gsm/3g

воздух для убогих

Но ведь правда. Почему я должен платить деньгами, временем и ресурсами за то, что у кого-то убогий провайдер? У них договор есть, пускай сами с провайдером разбираются.

рублей

Проблемы снежной Нигерии. В моём областном центре 3 из 4 самых распространённых проводных провайдеров в городе дают белую статику сразу же и бесплатно, у остальных динамика.

зачем - хрен его знает. я не админ, я девелопер.

Потому что полно фришных хостингов. И некоторые сайты живут заброшенными уже по 15 лет. Не уверен, что в свете новых веяний хостеры захотят тратиться на wildcard сертификаты.

o_O Т.е. у вас сайты на narod.ru и вы хотите сказать, что вам для них придётся сертификаты покупать? С чего вы это взяли?

Я вообще не понимаю этого цветущего луддизма. Допустим, в будущем всем придётся сидеть на https. Но ни у кого не возникает мысли, что для всех уж придумают механизм, как это можно будет организовывать легко и прозрачно. Как сейчас с автопродлением домена. Нет, надо обязательно вообразить, как все в цепях и страдают.

Почему я должен платить деньгами, временем и ресурсами за то, что у кого-то убогий провайдер?

Тебя - платить? За что конкретно?

Вот интересно, как будут фильтровать почту всякие касперские, если будет обязаловка внедрения SMTP, POP3, IMAP over SSL...

Тебя - платить? За что конкретно?

За использование мне ненужных огороженных сертификатов.

Азазаза

Не читал весь топик, но с уверенностью заявляю - идите в йух поборники ssl/tsl и прочего, пока это не будет работать в виде «я доверяю тебе, ты доверяешь мне» без всяких продаванов воздуха аля comodo, без выстраивания цепочек из удостоверяющих центров т.п. Мне тут один буржуин, Брахма Амбдете Сулиманович заявил, что они будут дружить с моим почтовым сервером только в случае, если я получу сертификат у СА, которым они доверяют. На предложение добавить мой СА и не клевать мне моск стал молиться будде и ушел в себя. Я не верю в бредни вида «петя доверят васе, вася доверяет леше, леша доверяет Брахме». Я Брахме не доверяю.

Это первый шаг к тому, что в итернеты вскорости можно будет ходить только по паспорту. Поначалу. Потом каждому выдадут чис^Wсертификат. И будет вживлён он прямо в моск.

Оно и с «массово раздавать бесплатные сертификаты без всяких ограничений» не нужно. Потому как это доведение идеи до абсурда.

Вот интересно, как будут фильтровать почту всякие касперские, если будет обязаловка внедрения SMTP, POP3, IMAP over SSL...

Если всякие гебисты будут настолько явно фильтровать почту - её придётся закопать. То есть она и так типа открыток, но с обязаловкой ябись оно понями.

Да, следующим шагом запретят сапоподписанные сертификаты, а потом введут белый говносписок.

Нет. Потому что полно фришных хостингов.
....
И с моими некоммерческими субпроектами тоже непонятно как поступать. Заказывать десятки простых сертификатов и потом каждый год иметь геморрой по их продлению? Платить приличные бабки (обогащая чужой карман просто из воздуха) за не приносящее доход?

Да что уж там, про хостеров говорить, иногда совсем не особо важный ресурс на своем серваке стареньком поднять можно. И шо к нему тоже сертификат прилагать нужно будет? Бредятина.

кстати, в каких «обозревателях» проблема подсунуть salf-signed?

<сарказм> Если используется чуть больше одного браузера (и еще на разных платформах) и кол-во пользователей более 1к, не лениво «подсовывать сертификат» всем им? При условии, что этого можно было бы и не делать? </сарказм>

Я продолжу использовать HTTPS как незащищённый канал, а браузер продолжит считать его защищённым :-)

Самый лучший комментарий который описывает всю тему! Плюсую!

В моём областном центре 3 из 4 самых распространённых проводных провайдеров в городе дают белую статику сразу же и бесплатно,

Так у них поди по одной С-ки на каждого и админы нат не осилили, вот и раздают :)

зачем - хрен его знает. я не админ, я девелопер.

Зашибись у нас девелоперы пошли… простите но Вы скорее хотели сказать «кодер».

админы нат не осилили

NAT лет 10 назад закопали, но я ещё помню времена когда он был.

NAT лет 10 назад закопали, но я ещё помню времена когда он был.

Ну вот Вы все и объяснили. Хотя причину «закапывания» нат я могу предположить, снятие ответственности с прова.
ЗЫ С праздником Великой Победы!!!

Уже откопали, потому что IP не хватает у ряда провайдеров.

В Европе дофига юзеров с ADSL, в частности, в Германии. Такие дела.

Почему я должен

Интернет - давно уже не сеть для джентельменов. Шифрование - давно назревшая необходимость. Но если тебе плевать на пользователей - можешь игнорировать HTTPS, и через некоторое время пользователи начнут игнорировать тебя.

деньгами

Есть бесплатные центры сертификации, вскоре будет ещё один в рамках проекта Let's Encrypt.

У них договор есть, пускай сами с провайдером разбираются.

MitM делают не только провайдеры. Далеко не только провайдеры. Достаточно обычного спуфинга в публичном хотспоте в кафешке, например.

Уже откопали, потому что IP не хватает у ряда провайдеров.

Речь шла о конкретных провайдерах моего города — у них всё ещё закопан.

Интернет - давно уже не сеть для джентельменов. Шифрование - давно назревшая необходимость

Речь не о шифровании вообще, речь о том что https — лютое говно.

и через некоторое время пользователи начнут игнорировать тебя

Мне кажется более вероятным вариант когда пользователи начнут игнорировать маргинальные браузеры, в которых не работает половина интернетов.

Есть бесплатные центры сертификации

Целых два, один из которых барыжит отзывами, а второй для китайцев. Роскошный выбор.

Достаточно обычного спуфинга в публичном хотспоте в кафешке, например

Это не проблема админа веб-сервера с публичным контентом.

Речь не о шифровании вообще, речь о том что https — лютое говно.

ИЧСХ, оно даже защищает онлайн-банкинг. Как же так?

а второй для китайцев

ORLY?

Роскошный выбор.

Третий центр на подходе. Да, его пока нет, но и форсирование HTTPS тоже ещё нет.

Это не проблема админа веб-сервера с публичным контентом.

Это проблема админа, для этого и придумали HTTPS.

ИЧСХ, оно даже защищает онлайн-банкинг. Как же так?

У банков есть деньги и приватные данные, у меня нет. Почему я должен платить какой-то левой конторе за защиту того, чего у меня нет?

Третий центр на подходе.

С чего я должен доверять этому центру чего-то подписывать от моего имени, платить деньги за каждый фейл и вообще внедрять дополнительное звено между сервером и клиентом если эта система уже не раз показывала свою ущербность?

форсирование HTTPS

Лучше бы придумали что-то получше форсирования устаревшего говна мамонта.

Это проблема админа

Нет, это проблема пользователя который использует ненадёжный канал связи.

У банков есть деньги и приватные данные, у меня нет. Почему я должен платить какой-то левой конторе за защиту того, чего у меня нет?

Не надо платить, два центра дают сертификаты бесплатно, третий центр на подходе. А тратишь усилия на защиту твоих же пользователей от MitM.

С чего я должен доверять этому центру чего-то подписывать от моего имени, платить деньги за каждый фейл и вообще внедрять дополнительное звено между сервером и клиентом если эта система уже не раз показывала свою ущербность?

Платить деньги не надо, в этом цель Let's encrypt.

«Подписывать от твоего имени» - вообще подпись центра не обязательная, но рекомендуется для широкого круга пользователей. Зачем вообще подпись от твоего имени? Потому что без HTTPS любой злоумышленник может сделать что угодно от твоего имени с помощью MitM. А с HTTPS такое сделать незаметно очень сложно и рискованно.

А ещё есть DNSSEC, если ты так боишься непорядочности сертификационных центров.

Лучше бы придумали что-то получше форсирования устаревшего говна мамонта.

Критикуя - предлагай.

Нет, это проблема пользователя который использует ненадёжный канал связи.

Нет, это проблема каждого админа, который не использует стандартные средства для защиты канала связи. Даже целой цепочки админов - от ISP до магистральщиков и админа сайта. Будешь отрицать?

Но зачем? Если трафик к браузеру интересует, то в плагинах для разработчиков всё давно есть.

меня, например, интересует как заснифать что клиент шлет на сервер в SNI запросе, т.е. какой именно хост. естественно не имея доступа к хосту.

yandex://wosign

В Европе дофига юзеров с ADSL, в частности, в Германии. Такие дела.

Еще вполне себе живет и процветает isdn, в том числе целые бизнес центры на нем живут.

Речь шла о конкретных провайдерах моего города — у них всё ещё закопан.

К Вам по повелению «великого и…много слов» все еще ростелеком не доехал? Надо было в послании ему об этом сообщить :)

Речь не о шифровании вообще, речь о том что https — лютое говно.

И чем же оно «лютое говно»? Вроде речь идет о запрете поддержки http, вот это да - «лютое говно» (я про запрет, а не про протокол).
А сам по себе https вполне себе нормальный протокол.

К Вам по повелению «великого и…много слов» все еще ростелеком не доехал?

Если и доедет, то разве что на тот свет.

Надо было в послании ему об этом сообщить :)

Маленькому и одно слово вот этот господин уже давно всё что нужно сообщил в своём послании.

Сорри, я так понял не РФ? А то в профиле нет инфы у Вас.

А сам по себе https вполне себе нормальный протокол.

https в своём текущем виде подразумевает безоговорочное доверие к конторам которые уже давно себя дискредитировали.

Сорри, я так понял не РФ?

Да, Украина.

https в своём текущем виде подразумевает безоговорочное доверие к конторам которые уже давно себя дискредитировали.

Мы про протокол или конторы? Я говорил про протокол, мой самоподписный сертификат вполне меня устраивает, и еб… конем эти конторы. А вот тормозила даже это хочет отменить. В этом и зло.

Мы про протокол или конторы?

Архитектура и реализация этого протокола (точнее расширения http) в браузерах и создаёт экосистему для успешного существования этих нехороших контор.

мой самоподписный сертификат вполне меня устраивает

Этот тот, на который браузеры большими красными буквами ругаются? Для публичных ресурсов оно не годится.