[FAQ] Переход на https

[istepan]

скомпрометирован

А конкретней.
TLS 1.0 уже почти полностью вывели из использования. Стандарты шифрования открыты и постоянно проходят публичные аудиты, финансируемые фондами.

Отправлено спустя 2 минуты 5 секунд:
Во вторых были бы под угрозой все ssh доступы к серверам, и не только. А это финансовый сектор и промышленный, как минимум. Не говоря уже про gov.

[Mr. Anderson]

А конкретней

А, то есть вы не знаете, что минимум три конторы, выдававшие сертификаты, "закрыли"? И почему, понятное дело, тоже не знаете.
И чего выступаете?

[LBeaver]

Mr. Anderson, зачем мешать в одну кучу удостоверяющий центр и протокол? Для таких случаев и придумали HPKP.

По теме: перешёл в апреле 2011 года, когда это ещё не было модным. Просто потому, что мог и потому, что безопасность лишней не бывает.

Полезные ссылки для администраторов:

• Рекомендации Mozilla
• Генератор конфига под различные серверы
• Как готовить HTTP Public Key Pinning (HPKP)
• Проверка сервера на корректность настройки HTTPS

[istepan]

И почему, понятное дело, тоже не знаете.

Китайцев то? Где можно было себе сертификаты на любой домен сгенерировать?

К тому же речь о протоколе, а не о УЦ.

[Mr. Anderson]

зачем мешать в одну кучу удостоверяющий центр и протокол?

Сущий пустяк - одно без другого не существует. Если ВОЗМОЖЕН вариант выдачи "ущербного" ключа, то протокол не поможет.

Для таких случаев и придумали HPKP

Постфактум, ага. Давно, после первых случаев компрометации.

Китайцев то?

Это кто?

К тому же речь о протоколе, а не о УЦ

Если ключ не очень уникален, то замок - дерьмо. Безотносительно.

[LBeaver]

Если ВОЗМОЖЕН вариант выдачи "ущербного" ключа

Закрытый ключ генерирует владелец сервера и он никуда не должен передаваться. Защитой от подмены ключа служит заголовок public-key-pins. Это конечно не защитит от подмены сертификата в случае первого входа на сайт, но в будущем обезопасит пользователя от MITM.

[Mr. Anderson]

LBeaver, ох уж эти теоретики... УЦ закрывали просто так, да?
Ведь какие с ними проблемы-то, а?

[LBeaver]

Mr. Anderson, если вы про WoSign (китайцы) и StartCom (aka StartSSL), то производители браузеров забанили их за вполне конкретные нарушения правил УЦ. Уже хорошо, что эти правила вообще существуют. Само по себе обнаружение уязвимости не смертельно, главное, что ошибку публично признали, закрыли и предложили инструменты превентивной защиты от подобного. Пока ещё несовершенные, но вполне надёжные, тем более применительно к форумам. Это равносильно закрытию уязвимостей в ПО: нашли баг — выпустили новую версию. Тут нашли баг — обновили стек технологий.

[Mr. Anderson]

если вы про

Нет.

то производители браузеров

Это кто вообще? Насколько от них зависит протокол?

Само по себе обнаружение уязвимости не смертельно

Ой, простите. Даже говорить не хочу. Еще раз ПРО ТО КОЛ. Исполнение = теория.
Для дебилов.

[владимир1983]

и StartCom (aka StartSSL), то производители браузеров забанили их

А я использую от них сертификат и нормально вроде всё.

[Siava]

владимир1983, после марта 2017 может всё измениться.

[LBeaver]

Mr. Anderson, вот сейчас я вас вообще не понял.

А я использую от них сертификат и нормально вроде всё.

Если получали до 19 сентября, то проблем не будет.

[Webliberty]

А вот и свеженькие новости от Mozilla:

Код: Выделить всё

Для того, чтобы четко выделить риск для пользователя, начиная с этого месяца в Firefox 51 для веб-страниц, которые собирают пароли, но не используют HTTPS будет отображаться серый значок замка с красной зачеркивающей линией в адресной строке.

Ну и конечно же источник - Mozilla Security Blog

[COB16]

Webliberty, кстаи они еще при вводе логина и пароля без хтпсс сразу пишут типа что трафик не шифрован)

[klow]

Обратите внимание, что в основном все аргументы, что кто-то требует наличие https иначе будет ... . И не увидел, возможно это связанно с моей невнимательностью, ни одного реального аргумента в необходимости повышения безопасности при переходе на https.