В ночных сборках (http://nightly.mozilla.org/) Firefox, которые лягут в основу выпуска Firefox 44, предприняты (https://twitter.com/rlbarnes/status/656554266744586240) первые шаги о переводу работе с сайтами по протоколу HTTP в разряд небезопасных операций. В частности, начиная с Firefox 44 страницы, содержащие формы ввода паролей ("input type=password"), будут помечаться как небезопасные, в случае обращения к ним по протоколу HTTP.
<center><img src="https://www.opennet.me/opennews/pics_base/0_1445587635.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>URL: https://twitter.com/rlbarnes/status/656554266744586240
Новость: http://www.opennet.me/opennews/art.shtml?num=43189
Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt.org.
Они уже у китайцев затарились.
Давно пора.
> Давно пора.Смысл? Как совершенно справедливо отметили, те, для кого мошенничество -- "ничего личного, только бизнес", озадачатся гораздо оперативней хозяев тучи ещё полезных страничек, порой даже с гостевушками для обратной связи (изредка даже незаспамленными).
Ну так иначе эти хозяева гостевушек вообще никогда не почешутся.
Не почешутся они что так что эдак.
Увеличится только скорость, с которой полезный контент (а не clickbait) переезжает в wayback machine.
Если они вообще туда не заходят - полезный контент останется всё там же, где и был. Если заходят - скорее вырубят гостевухи или что там. Чтобы прибили сайт из-за этого - маловероятно.Впрочем, я вообще не сильно уверен, что хрень, которую погасили из-за халобна гостевую, может быть полезным контентом.
Им и не надо чесаться, т к они не собирают персональных данных, не требуют оставлять откровения о своей интимной жизни и т д. Посмотрите на этот сайт.
> Им и не надо чесаться, т к они не собирают персональных данных,
> не требуют оставлять откровения о своей интимной жизни и т д.
> Посмотрите на этот сайт.Для большинства ресурсов авторизация - способ проверить, что ты не робот и только. Все доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые). Надо понимать, что ты в тырнете, и все, что ты тут оставил уже не твое, неважно где и кому.
> доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые)Давай, большинство само решит, что из него кому надо, а ты от имени этого большинства перестанешь говорить?
> озадачатся гораздо оперативнейпо крайней мере им будет сильно сложнее.
Это все из серии DNT, CORS и .т.д. Пытаются сделать видимость улучшения защиты, подпирая бесполезными костылями.
Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий посредником - этот бред. Хотя последнее время посредники совсем распоясались, производители имеют крохи, покупатели переплачивают в разы, а эти гребут за обе щеки еще и цу раздают.
Тут все отлично. Владелец сайта может ничего не делать, пользователь - пользоваться любой альтернативой.
новый этап засовывания всея интернета в https
Как будто что то плохое.
хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не спроста
вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного геморнее происходит
Скорее уж наоборот, никакие ушлые "провайдеры", типа точек доступа в московском метро, не будет вклинивать в трафик свою рекламу. Поэтому вопрос в силе, https выглядит как благо.
ну, т.е. гуглу нас кормить рекламой будет можно, а билайну нет
А рекламу гугла порежут uBlock/uMatrix, совершенно спокойно.
угу, если их не купят добрые корпорации или если мозилла не решит друг от подобных приложений избавиться (во имя добра, конечно же)
если резать на уровне прокси -- да, геморнее. на уровне браузера -- никакой разницы.
> Как будто что то плохое.да в общем, ничего особо хорошего.
Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить, когда в очередной раз ломается скриптовый даунлоад с rutube)Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера с сервером, а не ручная ее имитация через openssl client
И, надо заметить, нормального готового решения для этой задачи как-то и нет.
При том что 99% моих паролей нахрен никому не нужны - перехватив его, можешь купить что-нибудь от моего имени на свой адрес, но...опачки, со своей кредитной карты. А бонуспоинты зачислят мне. Удобно?
Пароли от всяких админок-квмов-прочей муры нужны только для того, чтобы самому себе не отстрелить яйца и вообще оставить логи кто именно последним заходил и с кого спросить, зачем он это поменял, доступ все равно ограничен по ip или вообще возможен только из безопасного места.
Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?Шифровать хочется совсем другие вещи (например, да, я рад что траффик с гуглем - шифрованный). И хорошо бы выбор этот был - у меня, а не у шибкоумных из мазиллопроекта, обожающих решать за пользователя, что ему нужно, а что нет.
Через пару версий, уверен, добьются что и ввести пароль в открытую форму будет нельзя.
Быдло кодерам всегда плохо. Они часто даже просто ПО не обновляют.
"нколеночный сорм" в виде расширения к брузеру спасёт, по идее.А так - пока это всего лишь предупреждение, которое ещё и развернуть надо, чтобы увидеть. Мозилловцы, конечно, странные, но, надеюсь, дальше галки в настройках отказ от HTTP не уйдёт. И это, в общем-то, будет неплохим вариантом - "простой юзер" её редко когда снимет.
> Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?Надейтесь. Как показывает практика, именно так большинство пользователей и поступает: у них есть 1-2 пароля, которые они используют для всех сервисов, которыми пользуются.
Я как-то брал базу с почтовыми адресами и паролями из 10'000 записей, вытянутую с сайта, где программисты решили почему-то хранить их в чистом виде. Где-то 3 года она у меня без дела лежала, а потом я решил всё-таки посмотреть, сколько паролей подходит к ящикам.
И знаете что? 331 аккаунт. Вы понимаете? То есть даже в устаревшей на 3 года базе с тестом, составленным на скорую руку, hit составил более 3%. А какой будет hit в актуальных базах -- даже представить страшно.
Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде.
Конечно, я к этому личному кабинету придумал, да еще и запомнил, пароль, который ни один хакер не подберет! Эльдорадо, правда, считал его слабым, но мне привычнее вспомнить "123456", когда мне этот личный кабинет вновь понадобится через полгода.А вот к админке сайта можно и что-то оригинальное придумать. Впрочем, необязательно к каждой админке - разное, если это твой сайт и ты знаешь, что пароли на нем нормально шифруются. Главное, чтобы перебором не подбиралось в этом веке...
>вспомнить через полгодаВ таком случае лучше придумать маску: myOwNm@sk, и все пароли к малонужным сайтам делать навроде:
eldoradomyOwNm@ask
aliexpressmyOwnm@sk
> Главное, чтобы перебором не подбиралось в этом векеГлавное не забывать, что нынешний век длится лет 5-10 от силы.
Уменя вообще один пароль от 1password и больше знать не знаю.
>> Как будто что то плохое.
> да в общем, ничего особо хорошего.
> Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить,
> когда в очередной раз ломается скриптовый даунлоад с rutube)
> Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать
> расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера
> с сервером, а не ручная ее имитация через openssl client
> И, надо заметить, нормального готового решения для этой задачи как-то и нет.В chromium есть поддержка для этого:
https://www.imperialviolet.org/2012/06/25/wireshark.html
Fidler подойдёт для перехвата трафика?
> Fidler подойдёт для перехвата трафика?ну, в качестве аварийного решения - да, а в качестве удобной ручки для "так, что-то поломалось, дай-ка я посмотрю, что у зайчика внутри" - это ж чудовище на .net, то бишь в случае опенсорса - на mono, как обычно, в режиме тут играем, тут рыбу заворачивали, эту версию не поддерживаем, в той ошибка... Угол с mono на их сайте выглядит, кстати, изрядно подзаброшенным.
>Как будто что то плохое.Шифрованный трафик плохо жмётся.
>>Как будто что то плохое.
> Шифрованный трафик плохо жмётся.я тебя удивлю, сначала сжимают, потом шифруют.
Плохо, что большинство считает https защищённым каналом.
Все зависит от допущений. HTTP(без S), при надлежащем контроле за физической средой, тоже можно считать защищенным.
> Плохо, что большинство считает https защищённым каналом.Все познается в сравнении.
По сравнению с http, это защищенный канал.
> Как будто что то плохое.Ага, и те же люди будут впаривать про "зелёную энергетику" и прочую "прозрачность", что характерно.
И где противоречие?
СОРМ-2 плачет кровавыми слезами.
> СОРМ-2 плачет кровавыми слезами.Не совсем. Там же главная фишка это сравнение времени соединений и размера пакетов.
Так что узнать кто именно соединялся в тот момент когда на форуме появилось сообщение - можно. Естественно только, если есть доступ к инфе о времени (на многих форумах и чатах) или сайт расположен на русском хостинге (тогда на него установлен COMP).
Узнать можно, а вот доказать будет проблематично.Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.
> Узнать можно, а вот доказать будет проблематично.
> Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от юрисдикции, — требуется лишь найти того, кто готов поделиться информацией (не важно на каких условиях, но обычно «пальцы в дверь» — достаточное).
> СОРМ-2 плачет кровавыми слезами.К тому же, есть тип атаки по паттернам трафика - отпечаток сайта. В базе хранится примерный размер пакетов и времени между ними, который может быть уникален для каждого сайта.
На сегодня рандомизирует запросы только TorBrowser, предотвращая составления отпечатка.
Это вообще уже из области паранойи. Паттерны есть только у сайтов с предсказуемым движком, а вот на шаред хостинге, где пара тысяч сайтов с непредсказуемым порядком обращений, посчитайте-ка мне паттерн :)
Это хорошо, нелегитимные органы должны страдать.
> Это хорошо, нелегитимные органы должны страдать.Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, чем-то потяжелей... так что они-то как раз страдать не собираются; наоборот, не удивлюсь, если к инициативе запихивания всего подряд под ssl также каким-то боком причастны.
Уже давно пора. Очень долго тянули.
этот раз вполне может закончиться успехом
Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование обоих протоколов HTTP и HTTPS в рамках одной страницы. Общедоступный контент по HTTP, приватная информация по HTTPS.
И утечка оного через Javascript. Спасибо, не надо.
> И утечка оного через Javascript. Спасибо, не надо.Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.
При всей нелюбви ко всему, что содержит в названии "java", таки поинтересуюсь: а что использовать взамен?
Перестать путать документы и приложения. Для документов не нужна интерактивность, а для приложений не нужен браузер.
можно ссылочку на парочку ваших приложений? кто-то ими пользуется?вы, наверное, знаете, есть такая компания гугол. так вот: в части ненужности веб-приложений они с вами несогласны. но как-то получилось, что большинство людей пользуют веб-приложения этой компании, а про ваши и не слышали.
в общем, у меня серьёзное впечатление, что вы других учите тому, в чём сами полный ноль.
миллионы мух не могут ошибаться
да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.
>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я не считаю достижением. Скорее, это удачная диверсия.
>>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.
> Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я
> не считаю достижением. Скорее, это удачная диверсия.Не «сперва», а вообще — «добейся» ;-)
Гугл сотоварищи - добились и пользуются, а на мнение остальных - ложили с прибором.
Миром управляют не те, кто знает как лучше, а те, кто добился ;-)
То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается пользователя отслеживать, и не пичкает его рекламой?
Так он же молодец! )
Какой толк от интерактивности? Плавно выезжающая реклама, превращающая не слаый процессор в сковородку?
Чувак ... ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, а тут планета Земля ... нет, нет - твой переводчик глючит, это не переводится как грязь" (С) :)
В терии - да. На практике все сложнее.Вот же ж глупая практика, на ней всегда все сложнее.
на практике в голове у людей мусор, поэтому они не могут отличить, где нужно приложение,а где - документ. Чем и пользуются пройдохи вроде гугла.
вот вы щас в приложение или в документ писали?
В приложение, разумеется. Документ - штука по определению статическая, писать в него нельзя.
ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-приложения? пишу и плачу?
Тем, что из концептуального бардака вырос бардак технологический. В результате - и пишу и плачу, и читаю и плачу. А вот в специфических клиентах и писать, и читать, и хранить хорошо и удобно. И не обновится ничего на новомодную хрень без моей просьбы, и поведение контролируемо мной, и интерфейс, и ресурсов жрёт меньше. Вот только все эти плюсы (кроме ресурсов) для гугла и подобых - минусы.
> А вот в специфических
> клиентах и писать, и читать, и хранить хорошо и удобно. И
> не обновится ничего на новомодную хрень без моей просьбы, и поведение
> контролируемо мной, и интерфейс, и ресурсов жрёт меньше.вы это про скайп написали?
бонусный вопрос: а вот ещё бывают приложения для редактирования документов. любой текстовый редактор, вы же хоть каким-то пользуетесь? они тоже не имеют права существовать?
Документ в данном контексте получается на выходе приложения-редактора. Когда там Save жмёшь и оно на диск ложится. А в приложении - просто внутреннее состояние приложения.Говорю же - тривиальные вещи, в общем-то, но некоторые путаются, не будучи в состоянии их в голове разложить. В результате имеем документы, прикидывающиеся приложениями (PDF-формы, допустим - они даже в базу лезть умеют!), приложения, кажущиеся документами - весь веб и часть офисных "документов", состоящая практически исключительно из скриптов, и все проблемы с безопасностью, этому сопутствующие.
корень зла, кстати, очень простой - традиционно приложение устанавливалось на компьютер каким-то явным образом, с ведома того, кто этот компьютер (или его часть) администрирует. Так же традиционно документы прилетали разными способами без особого контроля. И так же традиционно разные персонажи, начиная от вирусописателей и заканчивая гуглом хотели добраться до ресурсов пользователя - хоть вычислительных, хоть его данных - в обход администратора. И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.
Два чая этому господину. Добавлю только, что мощность современных вычислительных устройств такова, что позволяет выполнять большинство задач локально без подключения к внешнему серверу. Но вот в конторах типа гугля совершенно не рады этому, поэтому все их усилия направлены на создание искусственной привязке к их сервисам. Поэтому, я считаю, гуголь является врагом прогресса. Вместо создания быстрых нативных приложений мы видим, как основные денежные и людские ресурсы устремились в сторону самых неэффективных и ресурсоёмких технологий, завязанных по сути на считанное число вендоров.
> И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.да не вопрос, пересылайте дальше документы по uucp. так нет же -- открывают ненавистное веб-приложение и пишут в него, что веб-приложение -- тупиковая ветвь.
пример. любой программист в команде пользуется чем-то для трекинга и планирования задач. к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебе. вывод один -- профессиональная импотенция всех, кричащих о том, что веб-приложения -- страшно неправильно и скоро умрут. кричать могут, а написать хоть одно правильное приложение -- уже нет.
> к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебеЧто обычно только затрудняет работу с ней через вменяемые интерфейсы типа Emacs с org-mode. Хотя и не фатально, спасибо Лиспу - тот же org-jira.el довольно небольшой и простенький.
Что там хорошо для корпоратива - песня совершенно отдельная. Я пишу о нормальном пользователе-человеке. А на работе - мне платят достаточно, чтобы с крапом вроде джиры (вот уж тормоз!) можно было смириться. тем более, что нормальные люди используют для этого интерфейс IDE, а не веб-морду.А, да - я не говорил. что веб-приложения скоро умрут. То, что они всё сожрали - реальность, данная в ощущениях. Более правильными их это вообще никак не делает.
P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?* оффлайн-режим
* push notifications
* больше контроля за тем, кто и как использует
* больше рекламы приложенияи?
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения
> на iOS/Android?Приложение - устанвоил на хорошем канале и пользуйся на плохом (мегабайты веб-морд в пролёте), причём мобильные процессоры, прямо скажем, не готовы обмолачивать столько, сколько требует типичный браузер с типичным сайтом.
В плане безопасности, не знаю как там выкручиваются в яблОС, а в ведроиде все приложения на всякий случай просят все доступные права и без альтернативы ))
> Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.откройте для себя наконец-то lynx и не учите, как остальным жить.
>откройте для себя наконец-то lynx и не учите, как остальным жить.Судя по количеству адблоков и ноускриптов они не живут, а страдают. Вэб в текущем виде скоро похоронит сам себя. И так бровзер сталь настолько жирным, что позволить его разработку может только гуголь. Даже аппл со своим выбкитом того и гляди отвалится.
Погоди хоронить. Не все ещё WebGL насладились. =)
Это для 3D-баннеров?
> Это для 3D-баннеров?Наверное. Или чтоб картошку на Ферме сажать объёмную.
т.е. если пароль солится или криптуется по http это конечно не в счет ...
> т.е. если пароль солится или криптуется по http это конечно не в
> счет ...А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTTPS не нужен или не интересен.
Всмысле по http подключается JS с реализацией хэш-функции (sha256, …)?
1. Тогда паролем по сути становится уже сам хэш, и его точно так же можно использовать и перехватывать.
2. Этот JS можно подменить.
Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в любом случае криптовать на клиенте пароль или соль - все что угодно, что не компрометирует.В том то и дело, что соль динамическая, а в случае статической соли да: хэш это пароль. Атакующий просто не успеет компрометировать систему при динамической соли.
JS можно подменить- да. Но можно и проверить факт подмены - способы есть.
В конце концов можно открыть файл JS у себя локально на компьютере или вообще использовать стороннее приложение для расчетов.
Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
Избавляемся от перехвата, создаем дыру на случай слива.
Незачет.
использование статической соли бессмысленно ибо зная соль несложно сгенерить таблицы, прятать соль сводится к роли пароля, что еще более бессмысленнохрани в зашифрованном виде - что мешает?
Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у каждой записи своя.
А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным с другой солью?
пересолю
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.Это рентабельнее на много и доступнее, чем тупой перебор.
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.
> А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным
> с другой солью?А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже разовый хеш?
> Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
> Избавляемся от перехвата, создаем дыру на случай слива.
> Незачет.И снова мимо: можно посчитать хеш от челенджа+хеша исходного пароля.
Нет, не становится. Читать про CRAM - оно будет каждый раз разным....Ну, на самом деле надо предусмотреть тайминги из-за отсутствия постоянного соединения в HTTP, скажем он будет постоянным в течение получаса... но тот же LiveJournal применял этот метод уже более 10 лет назад.
Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить можно, а вот использовать не получится. С другой стороны, от перехвата session id всё равно не спасёт. А вот для безсессионных форм вполне себе катит.
> Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить
> можно, а вот использовать не получится. С другой стороны, от перехвата
> session id всё равно не спасёт. А вот для безсессионных форм
> вполне себе катит.Речь идет об SCRAM?
Отличный велосипед! значит либо у вас нас на сайте в базе данных реальные пароли, а не их хэши с солью, либо перехватив тот хэш что вы передаёт по http можно авторизоваться на сайте
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайтеОтличный способ узнать, как на самом деле ;)
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайтеНе можно. Учите матчасть.
Можно. Учите матчасть.
Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиенте взаимозаменяемы.
Если авторизация основана на сравнении готовых хэшей, то, имея данные с сервера, можно повторить расчет на клиенте и получить тот же результат.Поскольку единственное достоинство хэша в плане безопасности - это сложность восстановления из него исходных данных. А все эти повторные пересаливания и перешифрования известных данных - это пустая профанация, они только человека запутать могут...
то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать?
Лучше бы - да. А так, это же просто предупреждение.
Не должны. Просто будет помечаться, что не безопасно.
> то есть все форумы и всякие админки вордпресса будут должны по HTTPS
> работать?Всё, что использует session id, должно работать по HTTPS. Потому что все хеши-пароли бессмысленны, если можно просто перехватить session id и прочие cookie. Прибивка к IP не спасёт - IP спуфится, ну и никто не гарантирует, что злоумышленник не сидит за NAT'ом с того же IP.
>IP спуфитсяНу давай, расскажи нам как установить tcp соединение со спуфленным ип и послать хоть один пакет по нему чтоб сервер его принял. Заплачу 1000$, серьезно.
Ну а что с админками роутерными делать?
не пользоваться.
> Ну а что с админками роутерными делать?ходить в них из интернет эксплорера. мозиловцы так и делают!
> Ну а что с админками роутерными делать?туннели
Ну, а в чём проблема? Ну, будет warning, и всего-то.
Дело в том что глупо показывать предупреждение для подключения по HTTP через шифрованный OpenVPN
Это если VPN идёт прямо до сервера сайта. А если VPN, допустим, в Европу, а далее на сайт в Америке...
Ставить OpenWRT.
Админка OpenWRT умееет https. В последнем релизе даже уже в конфиг uhttpd добавили необходимые настройки, хотя оно и раньше легко заводилось после курения их вики.
Не вижу в этом смысла. Похоже на маркетинговый ход, ведь у юзеров будет создаваться иллюзия безопасности.