Марк Ноттингем (Mark Nottingham (http://en.wikipedia.org/wiki/Mark_Nottingham)), руководитель рабочей группы по развитию новой версии протокола HTTP в организации IETF (Internet Engineering Task Force), выступил с предложением (http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/... перейти в стандарте HTTP/2.0 (http://www.opennet.me/opennews/art.shtml?num=32909) к практике обязательного использования шифрования канала связи для всех соединений. Участники заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный метод реализации пока окончательно не утверждён.Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование HTTP/2.0 станет возможным только при обращении к ресурсам по "https://", а при использовании URI "http://" будет допустим только протокол HTTP/1. В качестве альтернативных вариантов также рассматриваются два предложения по применению шифрования для "http://" при использовании протокола HTTP/2.0. Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации сервера, т.е. аналогичен применению методов HTTPS для "http://".
Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для варианта с шифрованием без аутентификации. Среди доводов в пользу использования только HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов и изменения текста текущего черновика спецификации. Применение шифрования для "http://" может ввести в заблуждение пользователей и нарушает привычный уклад. Для понижения защиты в HTTP/2.0 может применяться механизм HSTS (http://ru.wikipedia.org/wiki/HSTS) (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с шифрованием без аутентификации.URL: http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/...
Новость: http://www.opennet.me/opennews/art.shtml?num=38424
торговцы возд^W сертификатами уже несут вам откат, Марк!
Давно уже есть методы получения "зеленых в браузере" сертификатов без помощи удостоверяющих центров.
Расскажите поподробнее
http://habrahabr.ru/post/138490/
уже не работает
«Описанное ниже уже не актуально, после того как стандарт хранения ssl-ключей в DNS был опубликован, и получил название DANE ru.wikipedia.org/wiki/DANE Google убрал поддержку DANE из Chrome»
> Google убрал поддержку DANE из Chrome»Наверное верисайн и прочие были очень недовольны.
> Расскажите поподробнееhttp://habrahabr.ru/post/127643/
Вот, сделал себе на один год.
Правда не все браузеры считают такой сертификат валидным, возможно у меня руки кривые, или сертификат такой.
Chrome, chromium, opera, IE - считают такой сертификат нормальным.
firefox, konqeror, seamonkey, rekonq - не могут определить путь сертификации, и соответственно считают сертификат не доверенным.
У вас руки кривые. Сертификаты StartSSL должны работать во всех браузерах, начиная с IE6. Скорее всего у вас проблемы с цепочкой сертификатов на сервере: либо вы не конкатенировали их, либо не в том порядке, либо не те сертификаты. https://community.qualys.com/docs/DOC-1931
Проверьте возможность подключения на https://www.ssllabs.com/ssltest/analyze.html
> Проверьте возможность подключения на https://www.ssllabs.com/ssltest/analyze.htmlДа, посмотрел:
Chain issues Incomplete
Однако ж, тот же chrome нормально определяет цепочку сертификатов, странно.
Стяните вот это https://www.startssl.com/certs/sub.class1.server.ca.pem,
потом сделайте
cp ваш_сертификат.pem ваш_сертификат.pem.orig
cat ваш_сертификат.pem.orig sub.class1.server.ca.pem > ваш_сертификат.pem
и рестартаните nginx (apache)
все.
> Стяните вот это https://www.startssl.com/certs/sub.class1.server.ca.pem,
> потом сделайте
> cp ваш_сертификат.pem ваш_сертификат.pem.orig
> cat ваш_сертификат.pem.orig sub.class1.server.ca.pem > ваш_сертификат.pem
> и рестартаните nginx (apache)
> все.Спасибо, попробую.
Онотоле одобряэ HTTPS
> Стяните вот это https://www.startssl.com/certs/sub.class1.server.ca.pem,
> потом сделайте
> cp ваш_сертификат.pem ваш_сертификат.pem.orig
> cat ваш_сертификат.pem.orig sub.class1.server.ca.pem > ваш_сертификат.pem
> и рестартаните nginx (apache)
> все.Спасибо дорогой товарищ !! С вашей помощью удалось решить эту проблему :)
Вы первую ссылку прочли? Вероятно, вы пользуйтесь хромом на постоянной основе и хром закэшировал промежуточный сертификат у какого-то другого правильно сконфигурированного сайта. А другие браузеры у вас не в почёте и ещё не знакомы с intermediate-сертификатами StartSSL, поэтому либо почините ваш сайт, либо погуляйте по инету и firefox подхватит промежуточный сертификат. На самом деле Chaining Issues чуть ли не у каждого второго сайта, просто владельцы не замечают.
http://www.startssl.com/
> http://www.startssl.com/типичнейший случай false security, угу.
Реквестую от Вас статью про DNSSEC TLS.
Да какая разница - оно опять иерархическое
Корневая зона не подчиняется никому конкретно.
Она подписывает региональные TLD.
Те подписывают собой доменные записи.Теорию знаю, реализацию - не знаю.
В любом случае для ребят из ANB или ФСБ не проблема прослушать трафик. Кстати, в стандартном SSL это хотя бы только ANB могла делать, а тут - национальный домен, получается, может снифить соответствующее правительство.
ANB - а это кто такие?
Ок, ты прав, я перепутал раскладку. Легче тебе стало? Или из контекста было непонятно?
Идея DNSSEC провальна чуть более, чем полностью. DNSSEC базируется на идее, что регистраторы TLD или их реселлеры не будут переподписывать DS-ключ. Если переподпись случается с удостоверяющим центром (УЦ), то браузеры могут дружно выкинуть корневой сертификат и внезапно УЦ банкрот (DigiNotar). И хотя браузеры никому ни в чём не обязаны, выявление поддельного сертификата всегда приводит к серъёзным разборкам между УЦ (завалить конкурента в крупном бизнесе -- всегда святое дело, особенно если это возможно сделать честно). А что с доменами? Вот зарегает юзернейм домен в R01 или руцентре (это два единственных регистратора, имеющие право продвигать в зону ru. записи DS), потом последует "предложение, от которого сложно отказаться" и регистраторы с первого звонка начнут подменять DS-записи. Кто будет в этом разбираться? IANA? ICANN? А если домен находится у реселлера, то и подавно всем будет пофиг. Реселлер просто скажет, что клиент сам зашёл в панель и поменял DS. А с подделанной DS можно запросто изготовить DANE-подпись для поддельного самоподписанного сертификата, при этом браузер не покажет никаких предупреждений.Кроме того, атака на пользователей интернета может быть осуществлена и без привлечения регистраторов. DNSSEC без DANE бессмысленен без DNSCrypt (или VPN до доверенного сервера в другой стране). Провайдер в состоянии организовать перехват DNS-запросов и либо отвечать самому, либо просто срезать RRSIG/DNSKEY у всех ответов.
PS: нет, конечно, может быть DNSSEC в чём-то и полезен, но не в условиях террора, массовой цензуры и тоталитарного произвола, устраиваемого правительствами отдельных стран.
>> торговцы возд^W сертификатами уже несут вам откат, Марк!Вы глупец.
Конечно. Иначе деньги бы несли ему а не Марку.
>> Конечно. Иначе деньги бы несли ему а не Марку.ЧТО мешает использовать самоподписанные сертификаты??
ПОЧЕМУ 100 руб за месяц — дорого за сертификат начального уровня??
> торговцы возд^W сертификатами уже несут вам откат, Марк!Скорее это нужно чтоб без большого ботнета любой серв заддосить ...
>> Скорее это нужно чтоб без большого ботнета любой серв заддосить ...Ещё один псих...
от кого прятаться то?
АНБ, ФСБ, ZOG, моссад, mi6... параноики всегда найдут, кого бояться
>ZOGЯ протестую, ZOG это наш лучший друг и его не существует!
если у вас паранойя, это еще не значит что за вами не следят.
> от кого прятаться то?Не прятаться, а закрываться.
Работа с банком, и прочими ценными бумагами, платежи, переписка с женой, деловая переписка и т.д.
Закрываться от тех, кому вы не бежите открывать эти данные.
проекты типа folding@home уже давно все хеши посчитали, если только от соседа или жины шифроваться..
> от кого прятаться то?От хакира Васи. Прослушвание трафика, MIM.
Гос структуры получат свои валидные сертификаты и будут слушать дальше ;)
От других посетителей кафе с бесплатным wi-fi
наверно самый вменяемый вариант от кого спрятаться
> от кого прятаться то?Например от пи...сов-провайдеров вклинивающихся в траффик с целью шпионажа, врезки рекламы и прочих милых и приятных применений. Теперь пакостить в транспортном канале будет сложнее.
>> от кого прятаться то?
> Например от пи...сов-провайдеров вклинивающихся в траффик с целью шпионажа, врезки рекламы
> и прочих милых и приятных применений. Теперь пакостить в транспортном канале
> будет сложнее.А еще есть вероятность отличная от нуля, что они нап**ят паролей от соц сетей, и потом вашу анкету заблокируют за рассылку спама.
>А еще есть вероятность отличная от нуля, что они нап**ят паролей от соц сетей, и потом вашу анкету заблокируют за рассылку спама.Может я старомоден, но большинство посещаемых мною сайтов не требуют (хотя и предоставляют) возможность авторизации. Зачем мне https на сайтах программ, электронных энциклопедиях, поисковых системах, б_длосайтах типа ЛОРа, опеннета и лурка? Так что идее загнать всё под https даже там, где это не нужно — жирный минус. Кому нужна такая паранойя пусть использует дополнительные плагины для лисы.
> Зачем...Затем, чтобы увеличить общий объем криптованного трафика и спрятать в нем тот, что представляет для Больщого Брата реальный интерес.
>Затем, чтобы увеличить общий объем криптованного трафика и спрятать в нем тот, что представляет для Больщого Брата реальный интерес.Хм. Я не занимаюсь ничем особо запрещаемым законом. Зачем мне https? Пусть педофилы и прочая нечисть боится. Там где это действительно нужно (банковские там приблуды итд) пусть используется, но делать это решением по умолчанию, даже там где и скрывать-то нечего — бред.
И да, надо заботиться о окружающей среде, хотя бы используя меньше электричества, не шифруя бесполезный трафик.
> от кого прятаться то?От провайдеров.
От тех кто смеет мне указывать какого возраста голых девиц смотреть.
> От тех кто смеет мне указывать какого возраста голых девиц смотреть.Пæдофил? o_O
В некоторых странных государствах - этот возраст даже не 18, а 21. От педофилии обе цифирки весьма далеки. Впрочем, её нынче вообще как-то странно трактуют - не по зрелости, а по возрасту.
это следствие «отката» сексуальной революции (про удобство инструмента per se не тут говорим): маятник в обратную сторону пошёл.
> к практике обязательного использования шифрования канала связи для всех соединений.На бесплатных самоподписанных сертификатах. //FIXED
ну наконец-то!
А как же там собираются делать кэширование?
> А как же там собираются делать кэширование?Кэширование серверной стороны будет до шифрования.
А кэши на клиенте - после дешифровки.Промежуточный кэш аки на провайдере не предусмотрен ;)
"Что значит - не предусмотрен? Предусмотреть!" (с) Минсвязи
Сэкономим денег минкомсвязи - ssl bump, уже давно есть.
> А кэши на клиенте - после дешифровки.Т.е. будут сохранять расшифрованные страницы с https на диск? АНБ одобряет, как впрочем и хакеры. Как вам идея получить с вашего веника страничку банковского аккаунта? :)
А с вашего экрана?
> Как вам идея получить с вашего веника страничку банковского аккаунта? :)вперёд, чо.
> будут сохранять расшифрованные страницы с https на диск?Зачем? Сейчас же они не сохраняются.
Кэширование полезно в основном для ресурсов - картинок, скриптов, и пр.
А зачем?
а тотально переписывать веб-приложения не прийдется ?
Зачем? HTTP 1.0, вон, до сих пор везде работает. И 1.1 будет поддерживаться наверняка ещё лет десять. Это не говоря о том, что вольшинству веб-приложений наличие/отсутствие SSL не слишком на работу влияет.Кстати, их обычно и так постоянно дописывают/переписывают.
да нафик надо, зачем нужна ещё одна прослойка, допустим, если залез на оппенет новости поглядеть
- траффик сниффером не поглядишь, архиватором не сожмешь, не закэшируешь(как уже написали выше)
где принцип KISS??
И зачем ето нужно?
А что такое "ето"?
Омские линуксоиды однозначно одобряют. Надо бы сайтик на https перевести.
Второй вариант, где для http применяется шифрование без покупки сертификата, более приемлем.
Я застал времена, когда платежи в платежной системе одной шли по http :) Сейчас уже они конечно все переделали, но тогда я с них посмеялся :) В общем я за https...только нагрузка на сервера возрастет ведь.
Есть подозрение, что можно сделать аппаратное обеспечение для хардварного шифрования
ЗОГ одобряет
> ЗОГ одобряетА также производители GPU например :). Сразу можно спрос на OpenCL повысить раз так в эн - один среднего пошиба GPU сможет молотить уйму траффа. Тут кто-то показывал AES на GPU, там что-то типа 67Гб в секунду получалось, чтоли. Ну в общем 10Гбит адаптеру - явно хватит...
Аппаратный AES уже вроде как есть в некоторых процессорах.
http://en.wikipedia.org/wiki/AES_instruction_set
> Аппаратный AES уже вроде как есть в некоторых процессорах.
> http://en.wikipedia.org/wiki/AES_instruction_setОно там ослабленное и наверняка с закладками.
> Есть подозрение, что можно сделать аппаратное обеспечение для хардварного шифрованияОно существует уже лет этак не соврать 15. Sun Crypto Accelerator гуглить. Проблемка в том, что для ввоза его в СНГовию требуется сертификация xГБ.
> Я застал времена, когда платежи в платежной системе одной шли по http
> :) Сейчас уже они конечно все переделали, но тогда я с
> них посмеялся :) В общем я за https...только нагрузка на сервера
> возрастет ведь.Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые сервера большинству компаний не понадобятся.
> Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые
> сервера большинству компаний не понадобятся.А на телефонах? Их ведь тоже придётся напрягать.
Так что - расставить зарядники на каждом углу или носить рюкзак с батареей?
>> Я застал времена, когда платежи в платежной системе одной шли по http
>> :) Сейчас уже они конечно все переделали, но тогда я с
>> них посмеялся :) В общем я за https...только нагрузка на сервера
>> возрастет ведь.
> Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые
> сервера большинству компаний не понадобятся.И памяти 100500 :))
В некоторые процессоры уже встраивают AES, например.
И все http/2.0 сайты попавшие в реестр Роскомнадзора придётся банить по IP вместе с "соседями". Радует...
Их и сейчас по IP баннят вместе с соседями. Вон Wordpress.com второй раз запрещали.
Это у Вас провайдер решил не заморачиваться. Мы баним http по url, а https приходится банить по ip.
Это никак не обеляет ваш моральный облик, господин цензор!
Вы это кто? Николай Второй?
"Мы" в, данном случае, множественное число - ибо я не склонен приписывать себе плоды коллективного труда. Надеюсь троллю теперь понятно?
Вы просто врете. Нет у нас бана по урлу. По айпи встречал и много, по урлу нет.Т.ч. и приписывать вам нечего, нет такого "труда", банете по урлу и строите морду при кривой игре.
Почитайте про cisco+wccp+squid и поймёте глубину своего заблуждения.
Приличные люди банят тупо по хостнейму. Облегчая другим приличным людям доступ путем подмены DNS на какой-нибдуь Гугл.
Роскомнадзор может по жопе надавать.
> Роскомнадзор может по жопе надавать.Кто бы их забанил, а?
> Приличные люди банятВообще-то приличные люди не банят.
> Это у Вас провайдер решил не заморачиваться. Мы баним http по url,
> а https приходится банить по ip.Ну и правильно, уважающие себя личности используют отдельный ip, с правильной записью в обратной зоне DNS. Скажите спасибо что не банят подсетями, как spamhouse.org
> Ну и правильно, уважающие себя личности используют отдельный ip, с правильной записью
> в обратной зоне DNS. Скажите спасибо что не банят подсетями, как spamhouse.orgРюськи way: все у кого нет миллиарда - идут в **пу!
Удачи в самовыпиливании.
К тому моменту по датацентру банить уже начнут, что-бы не повадно было сайты которые властям не нравятся размещать.
Это в рамках форсирования перехода на IPv6?
Есть же TLS для секурности (кому надо), а кому не надо - зачем ssl обязывать?Собственно, что может помешать использовать http 2.0 не внутри ссл соединения, а плейн текстом? Хттп протокол про наличие секурного канала сам по себе ничего не знает. Зачем тогда в спеки ввобдить эту ересь?
Почитай, что такое http-2.0, что такое SPDY и как там идёт мультиплексирование соединений в рамках одного сокета через стандартные возможности openssl.
Вы как хотите, но по моему это перебор.
SSL создает совсем не копеечную нагрузку на фронтэед сервера ... мало gzip online, так тут еще и SSL прибавиться ...
Использовать шифрование для отдачи статики - безумие.
Ещё большее безумие - перемешивать шифрованный и не шифрованный контент на одной странице.
Шифровать картинки, конечно, очень умно.
Приватная информация бывает и в картинках знаете ли
Лично я не хочу чтобы мама знала какие картинки я загружаю.
О_о твоя мама следит за тобой сниффером?
> О_о твоя мама следит за тобой сниффером?У Рутковсой есть сын?!?!
Я думаю, в случае Рутковской несчастный ребёнок в первую очередь получит по шее не за порнуху, а за то, что попался.
> Шифровать картинки, конечно, очень умно.Нынче провы борзые - могут рекламу ввинтить пропатчив HTMLку например.
Балбес ты шарик, она же в TLS сжимается
Она уже gzip'ом пожата (и закэширована!), куда уж дальше сжимать.
> Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера.Давно уже пора понять, что шифрование, допускающее MitM атаки, не нужно.
Лучше бы запилили поддержку множественной проверки сертификатов разных компаний одновременно, это хоть и затратно, но одиночной компании из одной страны доверия нет никакого. Или там, распределённую по DHT между всеми браузерами параноидную систему, эх мечты-мечты.
> Марк Ноттингем .. в HTTP/2.0 .. обязательного использования шифрованияТаких "деятелей" надо за тестикулы к Красной площади приколачивать.
Меня последнее время достало, что каждый сайт норовит перевести меня на HTTPS, даже если я этого не хочу. А сейчас еще в HTTP это гвоздями приколотят!Похоже, дни старого доброго Веба сочтены...
Эксгибиционист ?
> Похоже, дни старого доброго Веба сочтены...Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие как вы - остаться на задворках истории. Админьте сервера telnet'ом, банковские операции производите plaintext'ом.
> операции производите plaintext'ом.Прийти в банк и отдать договор лично в руки пожалуй наиболее безопасная, хоть и наименее удобная опция.
> Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие
> как вы — остаться на задворках истории. Админьте сервера telnet'ом, банковские
> операции производите plaintext'ом.искренне желаю тебе, чтобы при перед посещением любого магазина тебя заставляли надевать костюм химзащиты. переступил порог без костюма — сразу завернули на выход. надел костюм — ходи. а то ведь мало ди — надо, чтобы безопасно по умолчанию же.
впрочем, я уверен, что ты будешь радоваться и приговаривать: «и правильно, и так и надо, а то я же такой дебил…»
The joke is on you, нынче товары легко покупаются в интернет-магазинах, а в магазины бытовой химии без костюмчика с замкнутым циклом лучше не соваться, если не мутант с иммунитетом к канцерогенам.
рад за тебя. к счастью, и идиотских сайтов, безусловно перенаправляющих на http, не так много.
> рад за тебя. к счастью, и идиoтских сайтов, безусловно перенаправляющих на http,
> не так много.Правильно, больше нормальных сайтов, безусловно перенаправляющих на https.
тьфу, вот что одна опечатка делает.вообще, насильный https — это однозначный признак того, что сайтом пользоваться не надо вообще.
Да ладно, никаких особых проблем SSL не создает. И даже иногда от чего-то там защищает.
> Да ладно, никаких особых проблем SSL не создает. И даже иногда от
> чего-то там защищает.а я не про это, я про безусловное перенаправление с http на https, как на том же гитхабе, например. спасибо, идите в задницу, лучше меня знающие, чего я хочу. если мне такое понадобится, я куплю мак.
>> Да ладно, никаких особых проблем SSL не создает. И даже иногда от
>> чего-то там защищает.
> а я не про это, я про безусловное перенаправление с http на
> https, как на том же гитхабе, например. спасибо, идите в задницу,
> лучше меня знающие, чего я хочу. если мне такое понадобится, я
> куплю мак.Ой-ой-ой. А что ж ты не плачешься что за тебя решили использовать HTTP вместо гипертекстового фидонета, особенный ты наш? На самом деле ты молодец - на нормальных сайтах с поддержкой http 2.0 я тебя не увижу.
> на нормальных сайтах с поддержкой http 2.0это оксюморон.
>> Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие
>> как вы — остаться на задворках истории. Админьте сервера telnet'ом, банковские
>> операции производите plaintext'ом.
> искренне желаю тебе, чтобы при перед посещением любого магазина тебя заставляли надевать
> костюм химзащиты. переступил порог без костюма — сразу завернули на выход.
> надел костюм — ходи. а то ведь мало ди — надо,
> чтобы безопасно по умолчанию же.А тебе желаю чтобы у тебя вокруг дачи разложили минное поле а табличек не поставили.
На самом деле аналогия неуместна - костюм химзащиты доставляет неудобства, а https - нет. Ты же не ноешь что тебя заставляют GET посылать и HTTP/1.1 и Host: ?
> На самом деле аналогия неуместна - костюм химзащиты доставляет неудобства, а https
> — нет.доставляет. как минимум — его надо разминировать, запрещая походы по сайтам проверки сертификатов, иначе атомно тормозит. и во-вторых — приходится заниматься локальным MITM'ом, чтобы мой проксь мог инспектировать запросы и ответы. а это включает в себя, в том числе, генерацию сертификатов «на лету» (по какому поводу пришлось допиливать PolarSSL: добрый автор зачем-то выкинул оттуда код генерации).
итого: безопасность нулевая (я не доверяю каким-то «центрам сертификации» ни на грош), лишних проблем дофига.
но ты, конечно, можешь продолжать верить, что https тебя от чего-то защищает. блаженны верующие.
> можешь продолжать верить, что https тебя от чего-то защищает. блаженны верующие.Я, конечно, извиняюсь, что в чужой разговор лезу, но эт еще не самая забавная клиника)
Один мой знакомый "вебдев" был свято уверен, что https защитит его от всего на свете, включая уязвимости пхп, мускула (добро, если мускула, а не бдсм), самого вебсервера, его дырявых сайтов, колебания курса национальной валюты и возможности подхватить СПИД. К сожалению, я вряд ли узнаю, чем эта его уверенность закончится.
а вот это уже бедняга. его же лечить надо, вдруг буйным станет, когда разрушится чудесная иллюзия…> Я, конечно, извиняюсь, что в чужой разговор лезу
тут же публичный ресурс, и обсуждение публичное. you are welcome.
> костюм химзащиты доставляет неудобства, а https - нет.HTTPS тормозит.
Причем как на сервере тормозит, так и у клиента.Но претензия в другом: зачем смешивать HTTP и HTTPS?
Если владельцы хотят анального огорода, то пусть перенаправляют с http на https, как например делают сейчас Github и Google. Но зачем пахабить стандарт HTTP? Тем более зачем делать ОБЯЗАЛОВКУ ШИФРОВАНИЯ?Это попахивает тоталиторизмом. По ходу, страх пендосских корпораций, что трафик между ними и людьми кроме АНБ/ЦРУ, сможет еще прочитать ФСБ, КГБ, повайдеры или аналитические центры, не даёт уснуть.
Пендосы хотят полной монополии на информацию - вот суть этой "инновации".
> HTTPS тормозит.
> Причем как на сервере тормозит, так и у клиента.да нет, если у него оторвать проверку сертификатов, то и не тормозит. большинство современной техники с шифрованием/дешифрованием справится быстрее, чем закончатся данные в канале у большинства пользователей.
Только уточни, что имеется в виду CRL. А то найдутся особи, которые решат,что ты вообще любые подтверждения предлагаешь выкинуть (хотя для ряда случаев - самое оно, кстати).
> Только уточни, что имеется в виду CRL.для тех, у кого есть мозг — это очевидно. а у кого нет — тем в принципе бессмысленно пояснять.
впрочем, при существующих раскладах можно и вовсе все проверки выкинуть, толку-то с них? стандартного децентрализованного механизма не существует, а централизованному я доверяю в той же степени, в какой верю в стерильность использованного шприца, подобраного в общественном сортире.
Интересно, зачем эти гиении предлагают гонять трафик внутри локальной сети или даже через loopback между реверс-прокси и апстримами с использованием SSL? Ибо воистину?
Stuxnet, копошащийся в локальной вендомашине с древней XP, с вами согласен.
а они не предлагают. Там для интранетов отдельные условия оговариваются, без SSL.
>а они не предлагают. Там для интранетов отдельные условия оговариваются, без SSL.В смысле вся эта бня ... отключаемая?
И если таки йА захочу - мой сервак будет отдавать http2.0 не ч\з SSL/TLS?
Зачем? В браузере или системной политике. Криминала в этом, в принципе, нет.
это всё лобби интереснов гавнюков вроде гугла и других рекламных сетей. Им нужен повсеместный SSL чтобы провайдеры не воровали их хлеб в виде сбора статистистики за поведением пользователей в интернете. В некоторых странах разрешено законом передавать пользовательский трафик другим лицам.
> это всё лобби интереснов гaвнюков вроде гугла и других рекламных сетей. Им
> нужен повсеместный SSL чтобы провайдеры не воровали их хлеб в виде
> сбора статистистики за поведением пользователей в интернете. В некоторых странах разрешено
> законом передавать пользовательский трафик другим лицам.Значит гугл собирающий информацию о пользователях - гaвнюки, а провайдеры, собирающие информацию о пользователях - не гaвнюки? На самом деле первые режутся AdBlock'ом, вторые - SSL'ем. Без SSL'я вторые будут процветать, так что без него никак.
> без аутентификации серверагы, это кто такой умный придумал?
это замечательно
Давно пора. Больше всего умиляют долбодятлы, которые возникают против безопасного протокола. Такие появлялись ещё в новости где github оставил только https.
> Давно пора. Больше всего умиляют долбодятлы, которые
> возникают против безопасного протокола.Дело в том что SSL не настолько уж и безопасный. В том плане что кто угодно может выписать серт на что угодно. А ростелеком вообще прост как топор: а вот мы хотим хакнуть сертификат! Что? Вам на нравится? Ну тогда мы не будем качать вам эти данные совсем!
> Дело в том что SSL не настолько уж и безопасный.подобные придурки этого не понимают. они же в безопасности не разбираются вообще, им просто сосед Петя сказал, что «ссл — это секурно, чувак! а кто его не использует — тот лох!» вот они и бегают теперь со своим Сакральным Знанием. мозгов-то нет.
> подобные придурки этого не понимают. они же в безопасности не разбираются вообще,
> им просто сосед Петя сказал, что «ссл — это секурно, чувак!
> а кто его не использует — тот лох!» вот они и
> бегают теперь со своим Сакральным Знанием. мозгов-то нет.Не судите всех по себе. А вообще - лучше уж пусть используют протокол подсказанный соседом Петей, который имеет хотя бы потенциальную возможность обеспечить безопасность, чем просто ничем не прикрытую дырку.
если бы ты хоть чуть-чуть понимал в безопасности, то знал бы, что иллюзия безопасности (чем и является https) намного хуже явно небезопасного соединения. домашнее задание: поробуй догадаться, почему.
> Давно пора. Больше всего умиляют долбодятлы, которые возникают против безопасного протокола.
> Такие появлялись ещё в новости где github оставил только https.а ещё сильней умиляют долбодятлы, которые довольны, когда кто-то за них решает, что им надо.
Я-то сам за себя решил. А вот те кому плевать на безопасность не только свою но и других, такого права не имеют - всё решено за них.
> Я-то сам за себя решил. А вот те кому плевать на безопасность
> не только свою но и других, такого права не имеют —
> всё решено за них.ты ничего обоснованно решить не в состоянии, потому что про безопасность знаешь только то, что сосед Петя под пивко рассказал. что, собственно, и демонстрируешь тут в комментариях.
а как раскидывать трафик по beck-end-ам? расшифровал, проанализировал, зашифровал, отправил на нужный бек-энд? - гарантированна повышенная нагрузка на фронт-энд.
от ддосов по сигнальным строкам уже не защитишься, каждый запрос придется дешифровать, искать в нем сигнальные строки и только потом принимать решение о блокировке... такое хоть один фаирвол умеет?
хыхы - незачем самому всё делать. это будет для лохов. в будущем правильные пацаны, ака гугл и иже с ними, за вас решат что, как и куда шифровать-анализировать-раскидывать. остальные должны использовать вебсервисы и говорить кю.
По мне так это не новость, многие интернет сайты и так по умолчанию переходят только на работу с https и эта тенденция растет. При цене сертификата от 3~5$ конечно не с зеленой строкой но все равно это не такое и страшное предложение, при условии что цена на сертификаты не станет выше. Ну а если говорить о повышение нагрузки на сервера то к моменту принятия этого стандарта возможно найдут способы оптимизировать ПО чтобы снизить нагрузку, ну или аппаратные средства начнут более активно использовать. Что касается мобильных устройств то и в них начнется более активное использование аппаратного шифрования. С другой стороны новость звучит как «мы можем дать всем и каждому таблетку от паранойи»
> к моменту принятия этого стандарта возможно
> найдут способы оптимизировать ПО чтобы снизить нагрузку
> Что касается мобильных устройств то и в них начнется более активное
> использование аппаратного шифрования.Согласен. Принятие нового стандарта - дело не быстрое, и хорошо если на HTTP/2.0 все основные сайты перейдут только лет через 10. А через 10 лет, понятно, мобильные устройства и аппаратные средства будут уже совершенно другого уровня.
> через 10 лет, понятно, мобильные устройства и аппаратные средства
> будут уже совершенно другого уровня.но глючить и тормозить будут точно так же, как и сейчас, я гарантирую это.
> мобильные устройства и аппаратные средства будут уже совершенно другого уровня.И это самое страшное.
Устройства с годами становятся всё более и более нашпигованны подсистемами, функции которых трудно точно определить.Вот я пишу с обычного нетбука на "Атоме": wi-fi, bluetooth, linux - вроде всё безобидно. Но где гарантия, что радиомодули не могут вдруг начать работать по другим протоколам и на других частотах? "Но ведь у тебя защищенная система!" Да. Но где гарантия, что программный код не встроен в южный мост и не активируется через гипервизор, например при получении определенной "случайной" комбинации на радиомодуль?
И чем дальше в лес, тем гуще партизаны.
Так параноикам вообще тяжело живется.
> Так параноикам вообще тяжело живется.зато дуракам просто.
broadcom tpm?
Внятно постоенная модель угроз и адекватные ей средства защиты тебя спасут. Заодно хоть будешь в курсе, от кого именно хочешь спасаться.И да, как одно из таких средств - уход на более простые, более контролируемые устройства.
как теперь будут конторки, в которых заблокирован https? В скором будущем останутся без нормального интернета?В след за этим поувольняются нормальные спецы... Страны, в которых это вообще вне закона - начнут отставать в техническом развитии и неуспевать.
Не исключена возможность появления левых сборок с дырявыми https и патчами сомнительного толка.
"Будут ходить" представители общественности и рассказывать населению как это нехорошо: http 2.0
то есть теперь прокси станут бесполезными? интересно, насколько возрастет трафик?