Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018 +19

Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.


image


Google Security Blog опубликовал новость об очередном этапе форсирования перехода на https. Давайте вспомним о двух предыдущих этапах. О них также можно прочитать на официальном сайте проекта Сhromium.


В январе 2017 года предупреждение появилось на всех страницах с вводом пароля или номера карточки. Об этом был посты на Хабре и Geektimes.


С октября 2017 года предупрждение возникает при вводе данных уже на любых полях страницы, а также для всех страниц открытых в режиме инкогнито. Пост на Geektimes.


А с июля 2018 года абсолютно все http страницы будут отмечены как "не защищенные". Можно уже сейчас увидеть как будет выглядеть ваш http сайт для посетителей — достаточно его открыть в режиме инкогнито (Ctrl+Shift+N).


Пример — http://example.com/


image


Конечным этапом (пока не объявлено когда) будет вот такой красный значок.


image


Одним из основных аргументов Google в защиту этой политики является проект Let's Encrypt. Let's Encrypt (кстати, один из проектов Linux Foundation) бесплатно выдает TLS сертификаты для использования в продакшне. Получить его можно как вручную на https://www.sslforfree.com/, так и автоматизировать процесс верификации и перевыпуска благодаря открытыму протоколу ACME. Среди множества его клиентских реализаций под разные веб-серверы и окружения, официально рекомендуемым клиентом является CertBot (который развивает Electronic Frontier Foundation (EFF)). Из хороших новостей — 27 февраля 2018 года они начнут выдавать wildcard сертификаты, чего ждали очень многие.


Добавлю также, что проект Сhromium также предлагает увидеть как браузер реагируют на те или иные проблемы с https на специальном сайте https://badssl.com.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (99):

  1. aik
    /#10663752

    И зачем оно надо, принудительно всех на https гнать? Да, для всяких там банков, почты и т.п. оно нужно. Но для блога с котиками нахрена шифрование?

    • sergey-b
      /#10663766

      А вдруг вам фальшивых котиков подсунут человеки посередине?

      • aik
        /#10663794

        Это тех, от которых радости никакой?

    • capslocky
      /#10663772

      Допустим у меня http блог с котиками с миллионом посещений в месяц. Любой кто находится между моим сайтом и посетителем может его полностью подменить на фишинговый сайт, профит.

      • aik
        /#10663788

        Если у вас миллион котиков, то это уже серьезный бизнес.

        • capslocky
          /#10663822

          Согласен, но даже среди топ-сайтов с миллионом посещений еще много сидит на http.
          www.tophotels.ru
          www.piluli.kharkov.ua
          www.7ya.ru

          • ilyaplot
            /#10663988 / -1

            Наличие www уже косвенно указывает на древность этих сайтов, либо неосведомленность их хозяев.

            • a1ien_n3t
              /#10664040

              Чуш не несите. Если сайт крупный и у него куча сервисов, то вполне логично именно сайт компании размещать на www. Посмотрите какнибудь статистику по крупным сайтам и проектам, будете удивлены.

              • nikolas_sharp
                /#10664320

                Действительно, подумав, на удивление много подобных примеров вспомнил. Поясните, пожалуйста, чем обоснован такой подход, и какие плюсы по сравнению с размещением основного сайта на домене второго уровня?

                • nikolas_sharp
                  /#10664736

                  capslocky, спасибо большое! Сам с первой попытки не нагуглил… Если куки домена второго уровня распространяется на поддомены, и быстрое масштабирование/релокация через CNAME возможны только для www-домена, то для больших сайтов это действительно более правильный путь.

                • setevoy4
                  /#10666596

                  Ещё один вариант — когда используется CDN. В Azure и Verizon CDN столкнулись с этим — CNAME на flat-домен цеплять нельзя, т.к. имеется пачка субдоменов, поэтому CDN привязывается к www.domain.tld, а с domain.tld выполняется редирект на www. У AWS и Route53 с этим проще, т.к. есть поддержка типа ALIAS.

    • aborouhin
      /#10663786

      Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка. И регулярно пользоваться при этом открытыми wi-fi сетями.
      А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)

      • aik
        /#10663796

        Блог с котиками можно и без пароля читать.

        • aborouhin
          /#10663820

          Ну это уж совсем какой-то сферический блог в вакууме, куда ни своих котиков не добавить, ни прокомментировать… Ну ладно.
          В таком случае всё равно ничто не помешает коварному владельцу открытого вай-фая внедрить под Вашими котиками кнопочку "Лайк", которая при нажатии попросит Васю залогиниться в ФБ/ВК и угонит пароли наивного Васи от означенных соцсетей. А то и формочку "пожертвовать денежку на котиков", которая у особо наивного Васи угонит уже кредитку.

      • mayorovp
        /#10664166

        А вот логин и пароль как раз можно и на защищенной странице вводить…

        • aborouhin
          /#10664946

          А смысл, если всё равно получили сертификат и настроили HTTPS на этой странице, оставлять остальные на HTTP? Вы котиков такими терабайтами отгружаете, что шифрование серьёзно увеличивает нагрузку на сервер (т.е. бюджет проекта)?

      • hurtavy
        /#10664916

        К сожалению, банкам обычно без разницы, а всякие кото-бложики требуют пароли минимум 10 символов, разного регистра, с использованием цифр и знаков препинания

        • aborouhin
          /#10664928

          Меня больше бесит, когда, наоборот, не принимают пароль длиннее 10 символов или со знаками препинания. Приходится ради таких настройки генератора паролей индивидуально подкручивать.
          А так пускай прививают Васеньке условный рефлекс «пароль — значит сложный», в других местах он ему пригодится.

      • maimurs
        /#10665910

        Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка.
        По моей логике это проблема Васи, какие пароли и где он их использует. И сервиса который позволяет ему использовать подобные пароли.
        А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)
        Лучше бы научили, а то так на HTTPS переведут, потом в связи с популярностью HTTPS его хакнут, дальше будут переводить на двухфакторную авторизацию, биометрию. О свободе выбора я так полагаю речи больше не идет. Хочешь сделать сайт, придется размещать на HTTPS, и неважно, что там на сайте.

      • marenkov
        /#10666456

        У Васи все равно пароль сопрут — создадут сайт с котиками, который требует обязательной регистрации.

        Чтобы защитить Васю надо тогда уж делать обязательную OAuth авторизацию для всех сайтов кроме особо-надежных сертифицированных, которые, собственно, и будут обеспечивать авторизацию пользователей. Возможно это и будет следующим шагом.

    • Barabek
      /#10663818

      Чтобы операторы своою рекламу не врезали.

    • semmaxim
      /#10663866

      На блоге Вы наверняка вводите логин/пароль.

      • aik
        /#10664016

        Только если их кто-то уведёт, то большой проблемой это являться не будет. В отличие от банковских паролей.

        • DrPass
          /#10664382

          Можно подумать, у казуального среднестатистического пользователя пароль к банковскому счету, к электронной почте, к фейсбуку и к блогам с котиками разный.

    • RiseOfDeath
      /#10664062

      Банально для защиты от подмены трафика, чем очень грешат опсосы, подсовывая рекламу.

      p.s.

      Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)

      • Bonio
        /#10664894

        Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)

        Аналогично. У моего еще и панель управления биллингом торчит наружу и все это даже без доменного имени, тупо на ip. А саме забавное, что все это находится на том же самом ip, через который абоненты получают доступ в интернет.

    • OnYourLips
      /#10664150

      А почему вы считаете, что они кого-то принуждают?
      Они просто информируют о том, что сайт небезопасен, что является правдой.

      • Mabu
        /#10664570

        И что же опасного в сайте на протоколе http? Он как?то взламывает компьютер пользователя, переполняет буфер, устанавливает программу?

        • a1ien_n3t
          /#10664578

          Он небезопасен для пользование. Так-как нету никакой гарантии, что некто не вмешался в передачу данных как от пользователя так и от сайта. И также нету никакой гарантии что данные пользователя не утекут, когда он будет сидеть в кафешки с открытым вифи.

          • Mabu
            /#10665024

            Если у злоумышленника есть способ подменивать данные, то ему не составит труда подменить ответ от DNS сервера и выдать свой сайт за оригинальный центр сертификации. А у пользователя будет полная иллюзия безопасности.

            • capslocky
              /#10665088

              Это не так. При проверке цепочки сертификатов веб-сервера браузер смотрит сходится ли она к одному из локальных корневых доверенных сертификатов. Запросы в интернет делаются только для проверки неотозванности сертификата.

              • TrllServ
                /#10665160

                И если не сходится, идет в интернет проверить нет ли нового сертификата у целевого веб, разве не так?

                • capslocky
                  /#10665170

                  Если не сходится, то браузер покажет так: https://untrusted-root.badssl.com/

                  • TrllServ
                    /#10665328 / -2

                    Сходил по ссылочке, я это вижу регулярно, от сайтов которым доверяю. Например, на некоторые торрент трекеры, после того как с ними стали бороться такое навесили.
                    Вы наверно уже догадываетесь как будет относиться к таком предупреждению пользователь, который пару раз получил такое предупреждение не по делу?
                    Та самая история про мальчика который кричал «волки».

                    • alix_ginger
                      /#10667074

                      Скорее всего, это Ваш провайдер проводит атаку «человек посередине», чтобы подменять трафик — например, вместо некоторых страниц трекера показывать заглушку.
                      Соответственно, браузер и предупреждает, что сайт небезопасен, потому что соединение с сайтом буквально скомпрометировано, и нет ни малейшей гарантии, что трафик не подменён и не прослушан.
                      А пользователь (в идеале) позовёт специалиста, который покажет ему, как вернуться к безопасному соединению.

    • Bonio
      /#10664900 / +1

      Лично я не хочу, чтобы провайдер ковырялся в том, что я читаю. А они это уже делают, заворачивая все по 80 порту на свои, фильтрующие url, прокси сервера.

      • Carburn
        /#10665300

        Используй TOR

        • Bonio
          /#10665312

          Больно жирно будет для всего Tor использовать, к тому же использовать его с http еще опаснее. Я vpn использую.

          • vconst
            /#10665362

            использовать его с http еще опаснее
            Ээ?

            • Bonio
              /#10665372

              Выходные ноды часто записывают трафик в поисках всяких паролей и прочего. В случае с https это не опасно, а вот http идет открытым текстом и никак не защищен от перехвата.

              • vconst
                /#10665522

                Ну, только если выходить в открытый инет, внутри ТОР нет смысла еще и через https серфить.

                • Bonio
                  /#10665528

                  Да да, я про внешний интернет и мел ввиду, конечно же.

    • ZoomLS
      /#10665050 / +1

      Без https не будет работать HTTP/2, со всеми его плюшками. Не говоря уже про безопасность.

  2. TrllServ
    /#10663758

    Сам по себе переход на секурный протокол — хорошо.
    А вот, то что они таким образом захватывают власть над сетью — только негатив.
    Следующие шаги:
    Надоедающее предупреждение перед открытием «не https».
    Блокировка открытия «не https», с отдельной далеко спрятанной опцией всё же разрешить.
    Цензурирование, путем выдачи/невыдачи сертификатов.

    На каждый шаг уйдет по паре лет.

    • FSA
      /#10665230

      Цензурирование, путем выдачи/невыдачи сертификатов.

      Вроде пока сертификаты всем желающим выдаёт тот же самый Let;s Encrypt. Ты только обязан доказать, что домен является твоим. Или у вас есть факты об отказах в выдаче сертификата по «политическим» мотивам?

      • UksusoFF
        /#10665276

        Это пока он выдает, что будет дальше не известно. Да и с недавнего времени не очень удобно, то что Хром не дает тебе добавить в доверенный самоподписаный сертификат нигде кроме как на *.test домене.

  3. sergey-b
    /#10663764

    Как будет работать wi-fi аутентификация? Сейчас у меня стоит закладка на http-ресурс, чтобы завершить соединение с интернетом через wi-fi в метро. Это уже сейчас непростая задача.

    • lopatoid
      /#10663908

      В Android это работает вот так:
      По http самим андроидом запрашивается адрес connectivitycheck.gstatic.com/generate_204, и проверяется http код ответа. Если ответ сервера отличается от того который должен быть, то система понимает, что запрос перехвачен, и в «шторку» Андроида выводит сообщение о необходимости совершить какие-то действия в портале. Всё это происходит по http, так что проблем никаких нет.

      • vesper-bot
        /#10663974

        Вот только сам Chrome запрашивает https://google.com, ловит неверный сертификат и получается искусственный «затык». Приходится использовать закладку.

        • lopatoid
          /#10663982

          Ну так надо сначала нажать на появившееся сообщение «Подключение к Wi-Fi», там сделать необходимые для входа в Wi-Fi действия и уже только потом открывать Chrome или другой браузер.

          • vesper-bot
            /#10664332

            Нажимал, там «Повторите вход» — кидает на подключение к вайфаю, нажимаю «подключиться» — устанавливает соединение, открывает браузер — хоп, хттпс://гугл. Нашла коса (HSTS) на камень (WiSPr или кого-то из этого).

            • lopatoid
              /#10664340

              Ну, видимо, это MaximaTelecom что-то криво сделали. В других общественных вайфаях с порталом у меня всё хорошо работает.

      • zikasak
        /#10664222

        Максима пропускает данные запросы в интернет. Редиректа на авторизацию не происходит.

        • namikiri
          /#10664826

          За такое вообще карать следует. Очень странное решение.

          • zikasak
            /#10665286

            просто окно captive portal на смартах не полноценно, например. Плюс максима хочет по максимуму, чтобы вы использовали их сеть, а не оператора. Но да, надо карать

  4. Vehona
    /#10663874

    К чему такая категоричность в опросе «Все ли ваши сайты перешли на https», что либо только https, либо совсем без него? Вроде как сайты вполне способны работать и по http, и по https одновременно.

    • a1ien_n3t
      /#10664042

      А почему вы не форсите https? Если сайт у вас доступен по http, то толку от вашего добавления https не особо много. И еще полезно сразу hsts добавлять.

      • TrllServ
        /#10664096

        Как на счет варианта авторизоваться по https, а смотреть по http?
        Тех же котиков в жпегах можно пускать не шифрованными, как в прочем и аудио и видео потоки. Да много чего ещё можно слать, без угрозы безопасности.

        • interprise
          /#10664180

          можно встроить скрипт. Те вы хотите, чтобы при просмотре котиков через публичную сеть любой школьник вася мог встроить вас любой скрипт в браузер?

        • a1ien_n3t
          /#10664384

          Дополняя ответ, выше. Кто мешает заменить ссылку на страницу авторизации, и перенаправить на другой сайт.
          Просто как только пользователю отдается не шифрованное соединение. С ним можно делать что угодно, он ничего не заметит.

          • TrllServ
            /#10664702

            Если школьник вася успешно внедрился между, то само собой он не руками это делает, скачанным софтом. Возможно даже одноклеточнымоднокнопочный прикупил. А значит мы уже перешли на тему MitM.
            Крайний раз когда я чекал хром, у него не было ничего вменяемого для защиты от МитМ. Например в корпоративной сети, он радостно показывает «защищенное соединение», при том что там весь трафик чекается.
            При этом я изначально подразумеваю небезопасность входа в сеть, если использую любое «чужое» т.е. непроверенное соединение. Отвечая на вопрос второго собеседника. Просто как только пользователь подключился с неизвестного соединения и нет провел проверок против МитМ. С ним можно делать что угодно, он ничего не заметит. А браузер будет светить зеленым глазом, давая ложную уверенность.

            • mayorovp
              /#10664814

              В корпоративной сети у вас на рабочем компьютере в доверенных сертификатах лежит сертификат корпоративного же CA.

              Гипотетический школьник не может установить вам свой сертификат в доверенные.

              • TrllServ
                /#10664964

                Вот только для гуглахрома корпоративный сертификат не особо отличается от сертификата васи. И если уж речь идет о защите, а не имитации защиты, то это должно и учитывать и уведомлять.

                Можно было бы спорить с тем что может условным противник, но на эту тему и так много копий сломано. Давайте просто условимся, что возможности условного и гипотетического школьника с каждым годом растут. С этим сложно спорить, а потому защита которая заработает в ближайшем будущем, не должна строиться на том, от чего надо было защищаться уже вчера. (если конечно это вообще требуется)

                • mayorovp
                  /#10665260

                  Вот только для гуглахрома корпоративный сертификат не особо отличается от сертификата васи.

                  Напротив, отличие принципиальное — корпоративному сертификату ваш компьютер настроен доверять, а васиному — нет.

      • FSA
        /#10665236 / -1

        Я оставил у себя на сайте http, вдруг кто-то с IE6 зайдёт. Хоть и коряво, но он сайт сможет посмотреть, а через https он там просто не откроется. Да и мало ли с чего пойдут смотреть без поддержки SNI. Вот только смотреть они смогут, пока по публичным страницам ходят. Ну и заголовок присутствует соответствующий. Как только один раз посмотрел через https, придётся и дальше через него смотреть.

  5. vesper-bot
    /#10663968

    Лучше бы помечали доверенные, но не «родные» сертификаты хотя бы желтым. А то в середине корпоративный MitM, а у хрома всё ОК, зеленое. Иначе какая-то двуличная схема выходит.

    • vconst
      /#10664108 / +2

      Хуже другое.

      Благодаря простому и автоматическому получению ssl-сертификатов — мошенникам стало очень просто заводить сотни фишинговых страничек, которые вызывают у неискушенных пользователей больше доверия, чем раньше. Мозилла уже напряглась по поводу того, что с момента запуска LE — были зарегистрированы сотни, если не тысячи страниц, с названием созвучным paypal или с очень небольшими отличиями. И это только начало.

      Пользователь наслушался всей этой истерии по поводу повального https и ему достаточно зеленого значка на фишинговой страничке, чтобы ввести свои данные и слить свой акккаунт. А же иначе? «У меня был зеленый замочек, гугль обо мне позаботился, а деньги все равно пропали!!!».

      • vesper-bot
        /#10664344

        Это, как по мне, поле для DNSSEC-валидации сертификатов по ЦС хотя бы (CAA-запись), вот только этот DNSSEC пока почти нигде не развернут, а например Microsoft DNS Server его вообще не поддерживает (точнее, не умеет создавать CAA, подписать зону может).

        А насчет пэйпала — ЕМНИП у него EV-сертификат, и если пользователь не умеет отличать EV от DV, это не проблема гугл-хрома. Также имя домена, похожее, но не равное paypal.com, не проблема гугл-хрома, разве что используется юникод с похожими символами — тогда домен надо сразу отображать в голом punycode, чтобы неповадно было. Где-то читал про вариант решения проблемы с юникодом и подделками — показывать домен в punycode, если в нем присутствуют символы из >128 и <128 наборов одновременно. Можно его усилить, разделив пространство >128 по локалям согласно спецификации самого Unicode, и показывать в punycode, если локалей больше одной. При этом всякую псевдографику считать за special (включая пробелы нулевой ширины и подобные им), и если в домене есть хоть один special символ, показывать его в punycode.

        • vconst
          /#10664354

          Да, это все проблемы пользователей и их компьютерной грамотности. Но есть факт: истерия вокруг https и доступные сертификаты — сильно облегчили жизнь мошенникам. Множество людей не умеют разбираться в тонкостях сертификатов, но соединение без ssl однозначно и просто отличается от нешифрованного почти любой домохозяйкой, теперь «замочек зеленый» у всех фишинговых сайтов.

          Нельзя рассчитывать на то, что абсолютно все население будет достаточно грамотно в технической части.

          • Bonio
            /#10664932

            Это не проблема ssl, это проблема невнимательного пользователя.

            • vconst
              /#10664944

              Проблема в том, что пользователей сначала стращают ужасами http и убеждают, что https спасет всех — а потом оказывается, что ни от чего он не спасает, только запутывая всех лишний раз.

      • capslocky
        /#10665976

        Появление тысяч «защищеных» фишинговых сайтов было неизбежно, но тут вступают в бой EV сертификаты. Они и раньше были, но теперь из значимость гораздо больше, так что CA без хлеба не останутся. И нужно, конечно, приучать самих пользователей различать EV от DV.

        image

        • Gasaraki
          /#10666004 / +2

          Тогда вопрос — откуда пользователи должны знать что у данного конкретного сайта должен быть EV SSL? EV SSL это маркетинговый миф, они совершенно бесполезны.

          • capslocky
            /#10666086

            Я, например, сразу замечу, что адресная строка браузера не такая, как обычно. Если веб-сайту действительно очень важен высокий уровень безопасности соединения, то покупка EV сертификата это разумно. Посетители сайта не только должны привыкнуть его видеть, но и замечать, если он вдруг стал «просто зеленым».


        • vconst
          /#10666350 / +1

          И это запутает домохозяек еще больше…

          • ploop
            /#10666366

            Тут можно вариант проще сделать: знак «соединение не защищено» для http, без всяких знаков для DV и как есть для EV. Путаницы меньше будет.

            • vconst
              /#10666408 / +1

              Уже поздно…

              • ploop
                /#10666434

                В смысле? Про «Не защищено» понятно, но на DV всё равно знак защиты остаётся.

                • vconst
                  /#10666448

                  В смысле — что всем домохозяйкам уже все уши прожужжали — «без https» всем смерть через лялямбу«и приучили „раз есть замочек зеленый — значит все ок“. А теперь оказывается что: „зеленый замочек ни от чего не защищает и зачем вы нам морочили голову?!!!!!111“.

                  Хотели объяснить как проще, потому что грамотность массового населения весьма невысокая и она всегда будет ниже, чем у мошенников и тут ничего не поделать.

                  • ploop
                    /#10666526 / +1

                    раз есть замочек зеленый — значит все ок

                    Так я, в контексте обсуждения, и предлагал оставить замочек только на EV-сертификатах, и убрать нафиг на DV. Не панацея, но «зеленый замочек» будет хоть что-то значить, как и учили.

                    • vconst
                      /#10666552

                      Идея хорошая, но не взлетит.

                    • capslocky
                      /#10666566

                      Кстати, мне лично нравится эта идея. Что «защищенным» зеленым соединением будет только EV сертификат. Просто http, как и планируется, будет красным. А обычный DV сертификат — вообще не выделятся цветом или словом «secure», что будет означать «на этом сайте стандартный уровень безопасности».

                      • TrllServ
                        /#10666618

                        Ну тогда уж по привычным цветам зеленый-желтый-красный.

                        • ploop
                          /#10666652

                          Дефолтное состояние в интерфейсах лучше никак не выделять, а информацию о сертификате оставить где-нибудь в информации о сайте.

  6. Mabu
    /#10664574

    27 февраля 2018 года они начнут выдавать wildcard сертификаты

    Отлично, теперь зелёный замочек появится у фишинговых сайтов.

  7. nike38rus
    /#10665036

    Повальный https — это местами даже хорошо, однако это не значит что всё безопасно, это всего лишь означает что соединение зашифровано. Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...

    • alix_ginger
      /#10667088

      Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...
      Чтобы это сработало, нужно либо провести манипуляции с клиентским устройством для установки корневого сертификата компании или государства, либо компании или государству каким-то путём завладеть приватным ключом к уже доверенному корневому сертификату.

      В первом случае ошибка будет показываться на сайтах с включённым HSTS, например, Википедии. Во втором случае хуже, поможет только отзыв сертификата, причём не сразу и только если центр сертификации в этом заинтересован.

      • nike38rus
        /#10667114

        На уровне организации это решается через доменные политики. На уровне государства это, конечно, делается сложнее, но оно (государство) обычно решает подобные вопросы с позиции силы, мол, мы закон придумали и приняли, а вы его соблюдайте. Насколько мне известно, именно так сейчас обстоят дела в Казахстане habrahabr.ru/post/303736

        • alix_ginger
          /#10667118

          Всё равно — хоть для подключения к домену, хоть для установки «национального сертификата» нужно провести явные манипуляции с компьютером.

          • nike38rus
            /#10667352

            Сценарий с доменом позволяет провести установку сертификата без прямого доступа к компьютеру и незаметно для конечного пользователя (при условии что комп включен в домен). «Далее -Далее — Готово», и работодатель без проблем может узнать твой пароль от банковского кабинета, и при этом браузеры будут рапортовать что всё «Защищено»

            • a1ien_n3t
              /#10667838

              Ну дак не пользуйтесь на работе там, что вы не хотите светить, работа это работа, тут работодатель устанавливает порядки.
              Также EV сертификаты банков подделать нельзя.

              • nike38rus
                /#10669462

                В целом, согласен. Но изначально моя мысль была о том, что Зашифровано != Защищено
                П.С. некоторые браузеры не отображают плашку EV сертификатов в адресной строке, в них не получится сходу увидеть подмену.

  8. bro-dev
    /#10665262 / -1

    Пока что Let's Encryp не выдает Wildcard домены, кто нибудь знает почему? не знал что это проблема, выглядит так как будто просто пытаются наживаться на более редкой услуги за счет того что нету конкурентов.

    • navion
      /#10665500

      Обещают начать в конце февраля.
      Возможно были какие-то юридические заморочки, а может действительно не хотели злить коммерческие CA, чтобы те не ставили палки в колёса.

  9. fukkit
    /#10665844

    Программа, придуманная и разрабатываемая для того, чтобы воровать пользовательские данные и наживаться на них, лицемернейшим образом будет развлекать пользователей сказками про безопасность.
    Это такая безопасность со звездочкой, для тех, кто в ней ничего не понимает и не собирается начинать.