Názory k článku První krok: Chrome začal upozorňovat na weby bez HTTPS

A vo výsledku to spôsobí, že pre 90% používateľov to bude ďalšia otravná hláška, ktorú odignorujú či odklikajú podobne ako chyby certifikátov.

Presne tak, ono to bude ale jeste mnohem horsi, protoze ti to bude nadavat/vopru­zovat/pripadne ti to uplne znemozni jit na https ... protoze ... stara/nebezpec­na/kratkej klic/... a na http te to taky nepusti, protoze ... prej bezpecnost ...

Takze ve finale bud bude mit user 10 stary verzi browseru, aby se dostal kam potrebuje, nebo (daleko pravdepodobnejsi) proste prestane aktualizovat uplne vsechno.

BTW: Dlouholeta zkusenost - jakykoli hlaseni uzivatele vyhradne otravuje a NIKDY ho necte. Bud neco udelat muze, pak ma aplikace drzet hubu a udelat to, nebo to udelat nemuze, a pak mu to aplikace nesmi vubec dovolit ani s zadnym hlasenim.

Zcela v duchu "to ti nepřišlo divné, že ti to píše něco červeně?!" "Ani ne, ono je to červené pořád a já už to ani nečtu". Tak dlouho budou volat "hoří", až už je nikdo nebude ani poslouchat. Ani když bude doopravdy hořet.

Prostě někdo porušil jedno ze základních pravidel: zprávy o výjimkách musí být výjimečné.

Tak dlouho budou volat "hoří" .... jj .. idealni cas k bombovemu utoku ze vzduchu je prvni streda v mesici, prave poledne. Prave probehlo testovani siren :D

Proste uzivatel az se poradne nas*re, pouzije neco jineho co ho neotravuje tim co nepotrebuje. Stejne tak treba u me dopadl systemd pote co jsem zjistil kolik prace s googlenim a resenim ruznych nestabilit to pridava a nedava takrka nic z toho co potrebuji. Jednoduse prechod na Devuan a je pokoj. A to jak na soukromych projektech, tak ve firme. Vsichni vcetne zakazniku jsou spokojeni, na devuanu slape vse jak ma a nic neotravuje. A to je to vo co tu go.

A že by "všichni musí milovat systemd" bylo nové "Jehovovo přikázání"?

Mate to cele popletene. Spravne je "negooglim kvuli kdejake hovadine hodiny, delam veci rutinne a nenecham zakaznika cekat behem studia lenartovych menicich se rozmaru" a "pracuji tak aby system bezel stabilne, nemenil se pod rukama v nejnevhodnejsi okamzik a zbyl prostor na zisk zaroven s konkurenceschopnou cenou v pomeru s poctem clovekohodin stravenych na reseni zakaznikova problemu". BTW vas to nejak irituje, ze nekdo spokojene funguje bez systemd ? :D

To se nám totiž rodí nový diskuzní zločin. Zatím to není v pravidlech diskuzí, ale pracovní název bych tomu dal:

"Zákaz popírání přínosu systemd"
Trestem by mohlo být od opovržení vyvolených až po odinstalování všeho co si hříšník sám nenapsal.

Mixed content?

Spíš hardcoded links. Ale takto věštit . . .

V konzoli browseru ne nic neukazuje jako blokované. Řekl bych, že je to něčím jiným než HTTPS. Zkus zrušit redirect z HTTP na HTTPS a podívat se, jak ten web vypadá přes HTTP.

Všichni, co mrční na Chrome, by se měli nejdříve zamyslet, jestli není chyba někde jinde. Proč nepoužívat HTTP ani na webech, kde nejsou citlivé informace bylo vysvětleno více než dostatečně. DV certifikát lze získat zadarmo od LE nebo StartSSL (pokud to někomu nevyhovuje, tak od jiné CA za 300 na rok). Ke všem významným webserverům je kvalitní dokumentace a na internetu jsou spousty tutoriálů, jak nasadit HTTPS.
Ten pravý problém se musí hledat mezi neschopnými správci. Jejich ego neunese, když Chrome začne upozorňovat na jejich neschopnost.

Za mě osobně - klidně bych HTTP v prohlížeči vypnul a povoloval ho pouze na výjimky, aby se lidi dostali na svá embedded zařízení atd.

A že by někde mohly bežet web servery, které umí ssl certifikáty pouze per ip, tj. neumí SNI, to Vás nenapadlo ... Takový stále ještě podporovaný Centos (RHEL) 5 například ...
No nic, jen názor, že vše není jen černobílé.

Upgrade?

Let's Encrypt vydává i certifikáty s více doménami

Instalovat HTTPS tam kde není třeba šifrovat je do nebe volající blbost. Howgh.

Jo a proto se nemuzu k open/dd/wrt pripojit pres https ... protoze je to pres http daleko bezpecnejsi ... mno ted uz to prosychr nepude vubec, zejo ...

Nemam nic proti https, ale mam zcela zasadni problem s tim, jak to ti curaci (a sorry, ale jinak to napsat vazne nejde) implementujou.

Po tisici prvni
1) browser ma by default proste zcela VZDY drzet hubu a zobrazit web
2) browser MUSI podporovat VSECHNY i historicky sifry, zcela bez ohledu na jejich bezpecnost (a samo nesifrovanou komunikaci)
3) browser MUZE uzivatele upozornit (trebas ikonou, podbarvenim, ...) ze pouzivany kanal neni zcela koser, a na VYZADANI poinformovat co se mu nezda
4) browser by MEL umoznit UZIVATELSKY definovat, kde se bezpecnost resit ma a jak - napr autorizovat konkretni CA(pripadne cert) pro konkretni web, pripadne kontrolovat DANE a dalsi.
5) pouze a vyhradne v takovym pripade, ze uzivatel pro dany web bezpecnot resit chce, muze (a mel by) browser zcela znemoznit web pouzivat, pokud neco neni vporadku.

Proc? Protoze v 99,9999999% uzivatele nejaka bezpecnost stejne naprosto nezajima. Druhak proto, ze to co se aktualne deje nema s bezpecnosti zhola nic spolecnyho, je to jen jedna velka LEZ. Anzto a jelikoz - jak se stale dokola ukazuje, certifikat si muze vyda kdokoli jakejkoli, a pokud by to udelal UMYSLNE, tak na to ani nikdo neprijde. Vsechny odhaleny pripady sou totiz objeveny jen proto, ze se ten "falesnej" cert dostane verejne na net. Pokud bych si nechal vydat cert proto, ze chci na nekoho delat MITM, tak ho nikdo jinej nez ten dotycnej nikdy neuvidi => nikdo nikdy nezjisti, ze takovej cert existuje.

@j

Sorry, ale to je pitomost. Pokud bude browser podporovat i staré šifry, tak nejen, že bude v jeho zdrojácích zbytečný bordel, ale bute to mít negativní dopad na bezpečnost, protože bude riziko downgrade útoku.

Hodně štěstí s hledáním nového browseru, který bude splňovat tvé úchylné představy.

PKI is broken. Ale nikdo nic lepšího nevymyslel a jsou techniky, jak bezpečnost zvýšit (HPKP, DANE, CertPatrol).

"Instalovat HTTPS tam kde není třeba šifrovat je do nebe volající blbost. Howgh."

HTTPS dává smysl na všech stránkách. Třeba už jenom kvůli tomu, aby vám po cestě někdo nepodstrčil nechtěný obsah.
V Číně podstrkávali malware do HTTP největší ISP a reklamy vám do HTTP nacpe nejmíň polovina free WiFi hotspotů.

Opravdu je nutne mit sifrovani i u nasledujicich webu (?):

http://adnes.cz/

http://jetencurakjesteprezidentem.cz/

Je opravdu napriklad root.cz o tolik hodnotnejsi, ze musi byt sifrovan?
Kdyz si trochu zaprehanim, tak o tolik dulezitejsi informace, nez na vyse uvedenych webech, tu zase nejsou.

Ano.

- Je to multihosting. Použití HTTPS skryje na kterou z hostovaných domén se koukáš. Až Zeman nastolí čipovou totalitu, budeš mít o trošku nižší rank, protože o tobě nebude jistě vědět, že ses díval na jetencurakjes­teprezidentem­.cz

- Čína do toho nebude moct vkládat javascript na DDoS.

Instalovat HTTPS všude je naopak nutnost. Čím více šifrovaného provozu, tím menší riziko pro ten šifrovaný provoz, který je opravdu důležité šifrovat.

A co ty tupce nechapes na tom, ze sou mezi lidma miliardy zarizeni, ktery https nikdy umet nebudou, a dalsi miliardy takovych, ktery https sice umej, ale z vule kretenu v mozille/googlu/... to prej uz neni dostatecne bezpecny, takze se na ne z aktualniho browseru ani jinak nez pres http dostat vubec neda.

A tenhle problem bude exponencialne narustat, protoze pokud kazdy 2 roky vyradej jednu variantu sifrovani, tak tu za 10 let budou biliony krabek, se kterejma se dohodnes leda za pomoci 10 let staryho browseru ... lol.

@j

To je jednoduché, zařízení, co HTTPS neumí vyhodit (nebo nechat dožít) a kupovat pouze ta, která HTTPS umí.
Šifrovací sady, které jsou stále bezpečné, tu byly i před 10 lety. To, že některá relativně nová zařízení mají certifikáty s dávno prolomeným MD5 a nebo slabým 1024 RSA klíčem není problém chromu.

I 15 stará verze Openssl umí AES a SHA2. Že si koupíš krabičku, co tohle neumí, tak se můžeš zlobit maximálně tak sám na sebe.

Taková krabička ale nemá na veřejné síti co pohledávat -> HTTP jenom v privátní síti (10.0.0.0:255.0.0.0 nebo 192.168.0.0:255­.255.0.0) jako uživatelem schválená výjimka. Jinde červená a stop.

Co chceš nešifrovaně z té "krabičy" na veřejnosti tahat?
Kopie smluv z nějakýho prehistorickýho NASu po HTTP? Sorry, pak jsi vůl nebo blbec.
Nebo snad bezpečnostní web kameru ze zahrady, aby mohl kdokoliv okukovat, jak se ta tvoje koupe bez plavek? Sorry, ale pak jsi buďto vůl, nebo kandaulista.
Nebo firmware upgrade pro ty krabičky? Pak jsi vůl nebo dobrovolník pro botnet.
Nebo data z nějakýho PLC, senzoru nebo procesu? To bys pak byl vůl nebo sebevrah.
Nebo dokonce konfigurační rozhraní té krabičky? Sorry, ale potom jsi kvadratický vůl...

Nevím, který kokos s tímhle přišel, ale je to jen otravná habaďůra, co má z lidí tahat prachy. Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě? Co je špatného na samotném HTTP? Apropo dřív si mohl zbastlit stránky skoro každý sám. Třeba ve wordu, ale sám. Teď je na to potřeba specialista na CSS, PHP a databáze a to prosím jen v případě, kdy chci rozjet blbej wordpress a vypadalo to trochu k světu.
A aby to nebylo všechno, tak po mě chtějí, abych zaváděl něco, co vůbec není potřeba. Kvůli tomu, aby si mohli v Google chodit bezpečně na porno, otravují normální lidi. Tohle bude konec civilizace. Ne politici s jejich cenzurou pokeru, ale Google, který přes monopolní požírač paměti bude zakazovat v přístupu ke stránkám normálních lidí.

Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%.

Protože děláte stránky ve Wordu :-) My ostatní už používáme Let's Encrypt, který je zadarmo. Placené certifikáty jsou potřeba jen pro wildcardy a EV a ani jedno ten váš kámoš určitě nepotřebuje.

"Protože děláte stránky ve Wordu"
Úplně cítím to opovržení. Ne, nedělám stránky ve wordu. A nemám přehled o všech certifikačních autoritách. Stránky běžně nedělám. Prostě za mnou přišel člověk, který potřeboval udělat stránky, protože jsme kamarádi, tak jsem mu udělal wordpressové stránky. Nic víc, nic míň.

> Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě?

Protože nemáš. Jak se dá na takovou otázku odpovědět? Pořiď si Let's Encrypt nebo si tam dej selfsigned.

> Co je špatného na samotném HTTP?

Pasivní útočník po cestě si může číst obsah komunikace.

> Apropo dřív si mohl zbastlit stránky skoro každý sám.

A teď to jako nejde? Co se změnilo? HTML 4.01 a CSS2 pořád všude normálně funguje.

> A aby to nebylo všechno, tak po mě chtějí, abych zaváděl něco, co vůbec není potřeba.

Je to potřeba, například leaky z NSA ukázaly, že masivní sniffování komunikace je běžné.

> ale Google, který přes monopolní požírač paměti bude zakazovat v přístupu ke stránkám normálních lidí

Oni budou HTTP zakazovat?

> Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%.

Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy…

Modelova situace: Jsme firma. Mame VPN a vlastni servery ve vlastni sprave. Pouzivame vlastni DNS s vlastnimi tld (.kosice, .intra, .dev, .gsm) aby bylo zajisteno ze i kdyz tupy zamestnanec jinemu tupemu zamestnanci posle link http://zakaznik526.kosice/sluzba.php?polibte-mi-s-povinnym-https-na-intranetu=yes rekneme pres FB messanger, takova externi sluzba nevi kam si pro obsah jit). Pouzivame tuto VPN i servery pro interni veci a to v docela velkem meritku pro pracovni ucely z domova, ze zahranici, z firmy, odkudkoliv. VPN mi po cele ceste sitoveho spojeni zabezpecuje sifrovani nejen HTTP ale treba i FTP, POP3, cokoliv, takze v tomto prostredi se takove zakladni protokoly neobavam pouzivat i kdyz neni pouzita jejich sifrovana varianta. K cemu mi v takovem pripade bude vnucovani HTTPS prohlizecem? K plizivemu snizovani efektivity prace a mensimu soustredeni zamestnancu na konkretni ukoly nutnosti klikat na demence prohlizece, ktery si mysli, ze udelal to nejlepsi co mohl?

Migrovat kus firmy (rekneme 500 zamestnancu) uzivajici chrome na jiny neobtezujici prohlizec, nebo vyhodit penize a cas nasich vyvojaru za ucelem znasileni chrome a beztak provest predchozi zminenou upravu u onech 500 zamestnancu, pokud chceme aby dal pouzivali chrome?

Babo raď.

Udělejte si interní CA a její kořenový cert rozdistribuujte mezi zaměstnance. A nebo nepoužívejte domény .intra, .dev a .gsm (stejně mi není jasné, jaký z toho máte užitek), ale normální TLD. Problem solved.

Fascinuje mě, jak si každý myslí, že se kvůli jeho specialitě bude všechno přizpůsobovat jemu. Ve výsledku by se nezavedl bezpečnostní prvek jenom kvůli tvému rozmaru.

Když ti přijde zbytečné používat HTTP ve VPN tunelu, tak to ti asi přijde zbytečné používat ve VPN tunelu SSH a vesele používáš telnet, žejo?

PS: Používání nestandardních privátních TLD je prasárna, byť široce používaná.

Google nemůže za vaši zprasenou síť.

Lichy argument o SSH jsem cekal. v mc sshfs pres telnet asi moc nebude pruchozi. U SSH je to fakt trosku jinak. Telnet tak nejak neni pro urcite veci implementovan pro okamzite pouziti.

Inu no nic.. Je to tu jak s debilama.

Nechapu proc firemni sit, ktera nadherne funguje na dlouho uzivane VPN ku spokojenosti vsech mame prekopavat a otevirat svetu. To jsou argumenty jak noha.

"stejně mi není jasné, jaký z toho máte užitek" .. popsal jsem, ale pokud neumite cist, tak je to marne.

Lovu zdar :)

Koukam, ze ty vo tom vis lautr hovno ... a neumsi si ani precist post, na kterej reagujes.

> Postupně to eliminuje útoky založené na tom, že se útočníkovi podaří místo na HTTPS vás dostat na HTTP.

Mohl byste mi vysvětlit, proč hypotetický útok dostávající mě z HTTPS na HTTP je argumentem pro vypnutí HTTP, ale hypotetický útok umožňující bypass autentizace s sshd není argumentem pro zakazování přihlašování na roota?

Jak si takový útok na HTTPS, který vás přesměruje na HTTP, představujete?

Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy

Kdyby to bylo jednorazove, je to fajn, potiz je trochu v tom, ze ty prikazy je nutne zadavat opakovane.

V posledni dobe cim dal tim casteji narazim na stranky, kde nekdo placnul nejakou dokumentaci, specifikaci nebo neco z podobneho soudku, s tim, ze to muze byt nekomu uzitecne a muze to tam lezet bez ladu a skladu libovolne dlouho. Pricemz v dobre vire k tomu dal LE certifikat, ale uz ho zapomnel obnovovat, takze pokud si chce nekdo neco precist, musi rucne provest downgrade na HTTP, ... pokud ho to napadne.

> Kdyby to bylo jednorazove, je to fajn, potiz je trochu v tom, ze ty prikazy je nutne zadavat opakovane.

Ano, také jsem je dal do cronu.

"Protože nemáš. Jak se dá na takovou otázku odpovědět? Pořiď si Let's Encrypt nebo si tam dej selfsigned."
Jinými slovy: dej si tam něco, co místo červenýho řádku udělá novou úvodní stránku, která NEDOPORUČUJE pokračovat dál. Bezva. Fakt bezva. Ale zase na druhou stranu dík, na ten lets encrypt mrknu.

"Pasivní útočník po cestě si může číst obsah komunikace."
Tohle je geniální. Takže děkuji. Pane pasivní útočníku, mohl byste si prosím přečíst moje stránky o biopalivu? Jak jsem psal, je to jen prezentace. Nic víc, nic míň.

"A teď to jako nejde? Co se změnilo? HTML 4.01 a CSS2 pořád všude normálně funguje."
Nefunguje, protože teď je tam tuna bordelu okolo. Především právě přechod na HTTPS, což je obal navíc, který značně komplikuje amatérskou tvorbu stránek.

"Je to potřeba, například leaky z NSA ukázaly, že masivní sniffování komunikace je běžné."
Znovu - já se nebavím o používání elektronických peněženek, přeposílání lechtivé komunikace a šíření dětskýho porna. Já se bavím o webové prezentaci. Američani si můžou očichávat jak chtějí.

"Oni budou HTTP zakazovat?"
Technicky vzato ano, protože budou zobrazovat stránku s varováním. Nevíte, jak funguje strach? Dokonalý zákaz není ten, který nejde porušit. Dokonalý zákaz je ten, který lidé přijmou jako přirozenost. Například když někam dáte cedulku, že je tam minové pole. Normálního člověka ani nenapadne, že by tam měl jít. A stejně to bude s varováním ohledně HTTP.

"Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy…"
Nemůžu za to, že Let's Encrypt nemá dost koule na to, aby se na google dostalo do top odkazů. Jo bezva, teď když už jsem si jejich stránky vyhledal, tak google je jako zázrakem zařadil pod heslem "https certificate" hned na páté místo.
Každopádně až tady jsem se dozvěděl, co to vůbec je. Za to dík. Mrknu na to. To ale samozřejmě neznamená, že se můj názor na šifrování prezentačního webu mění.

> Jinými slovy: dej si tam něco, co místo červenýho řádku udělá novou úvodní stránku, která NEDOPORUČUJE pokračovat dál. Bezva.

→ místo nadávání na znedůvěryhodnění HTTP nadávejte na nesmyslné obstrukce browserů při selfsigned.

> Tohle je geniální. Takže děkuji. Pane pasivní útočníku, mohl byste si prosím přečíst moje stránky o biopalivu?

Jde spíš o to, že pasivní útočník vidí, jaké stránky čtu. Že si je může stáhnout je jasné, ale že profiluje čtenáře, o to jde.

> Nefunguje, protože teď je tam tuna bordelu okolo.

Nevěřím. Moje první stránky co jsem dělal před 11 lety se v současném browseru zobrazují. HTML4.01 a CSS2 používám pořád a prostě to funguje.

Mohl byste uvést příklady? Rád se nechám vyvést z omylu.

> Znovu - já se nebavím o používání elektronických peněženek, přeposílání lechtivé komunikace a šíření dětskýho porna. Já se bavím o webové prezentaci. Američani si můžou očichávat jak chtějí.

Já nechci aby nějaká NSA věděla kdy jsem stáhnul jakou stránku.

> Nemůžu za to, že Let's Encrypt nemá dost koule na to, aby se na google dostalo do top odkazů.

Nemůžu za to, že někdo spravuje webserver a nesleduje novinky v oboru. Minimálně tady na Rootu o tom bylo asi deset článků.

@Dr.Str.

"Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%."

letsencrypt.org?

A i kdyby LE nebyl, je snad kámoš taková socka, že nemá 300 (nikoli 1000) ročně na certifikát?

Jinak důvody proč používat HTTPS místo HTTP byly popsány snad milionkrát. W3C taky doporučuje upřednostňovat HTTPS. Stejně tak to doporučují kapacity v oblasti internetové bezpečnosti, jako je třeba Bruce Schneier.

> A i kdyby LE nebyl, je snad kámoš taková socka, že nemá 300 (nikoli 1000) ročně na certifikát?

Jde za 300 sehnat i wildcard? Kámoš může mít spoustu subdomén.

Wildcard potřebujete, jen pokud chcete subdomény generovat on-the-fly. S LE může mít spoustu subdomén, jen je musí uvést.

Začal jste někdy s podnikáním, kdy otáčíte každou korunu? Ne? Výborně. Proč si myslíte, že mu dělám stránky zadarmo? Vy říkáte "300", já říkám "a všude?".

"Začal jste někdy s podnikáním, kdy otáčíte každou korunu?"

Jo milej zlatej, holt nemůžeš začít podnikat s holou řití. Jestli ono spíš kamarádovo podnikání nedojede na tom, že bude za každou cenu škudlit.
Ať se na mě nikdo nezlobí, ale pokud nemá 300 Kč na investici do něčeho, co mu bude vydělávat, tak by nejspíš podnikat neměl.
První nečekané vydání, první nezaplacená faktura a přijde na bubem a samozřejmě to bude vina HTTPS.

"Proč si myslíte, že mu dělám stránky zadarmo?"
Já nevím, proč mu je děláte zadarmo. Asi vaše práce nemá hodnotu, aby za ni někdo platil.

"První nečekané vydání, první nezaplacená faktura a přijde na bubem a samozřejmě to bude vina HTTPS."
Tohle je absurdní argument.

Každopádně myšlenka je taková, že pro webovou prezentaci prostě není potřeba šifrování. A teď si představte situaci, kdy poskytovatel webhostingu poskytuje sdílený webhosting pro (deseti)tisíce stránek a možnost SSL nabízí jenom pro IPv4, za kterou si samozřejmě musí zákazník připlatit. A teď si představte, že nikdo není socka a všichni si zaplatí. A nejenom na tomto webu, ale i na všech po celém světě. Prostě dojdou IP adresy.
Tohle je neudržitelné. Samozřejmě, teď můžete plácnout něco o tom, že se má použít IPv6 nebo tak... Takže výsledek bude ten, že v případě, kdy budu na sdíleném webhostingu, mi půlku zákazníků odradí pitomá hláška od Chrome, v druhém případě, kdy využiju nový způsob adresace, se mi na stránky nedostane 90% lidí, protože doma nemají kompatibilní rooter, nebo to nepodporuje poskytovatel připojení, nebo prostě mají v počítači z jakéhokoli důvodu IPv6 vypnuté.
Myšlenka HTTPS je možná dobrá, ale provedení je prostě špatné, protože stojí na využití omezených zdrojů nebo globálně nepoužitelného řešení. Teď do toho přijde google, který mě bude tlačit do jedné varianty, která bude drahá, a nebo do druhé, která bude k ničemu, tedy prozatím než bude použitelné třeba za dvacet let.

Já nevím, ale mám pocit, že někteří lidi tady žijí v bublině, ze které nevidí ven. Je jedno, kolik článků na rootu bylo napsáno o nástupu HTTPS. To, co dělá google, prostě buďto odpálí miliony stránek po celém světě, nebo naučí uživatele ignorovat jakékoli zabezpečení, pokud se budou chtít dostat k obsahu.

V tvojom prispevku uz chyba len zmienka o zidomediach a vrahoch z volstrytu :-D

Rada navyse: nerob veci ktore evidentne nevies robit, tvoji kamarati zbytocne prichadzaju o peniaze :-D

Ano, jistě, teď jsi to zabil. Hlavně že bude víc kšeftu pro tebe. Tůdle.

"Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě?"

Protože:
1. Platit nemusíš, dá s i zadarmo. Nebo si to prostě odepsat z daní v kolonce "IT".
2. Protože bez šifrování nesplníš povinnosti daný ze zákona - ochranu osobních údajů zákazníka atd., a můžeš se snadno dostat do rozporu se smlouvou se zákazníkem.
3. Protože může jít o právně závazný informace a u soudu nijak neprokážeš, že se jeho informace shodují s tvýma?
4. Protože data cestou může někdo číst a třeba konkurence může na základě sniffnutých dat tomu tvýmu zákazníkovi nabídnout jenom o chlup lepší službu, než ty? Co když to udělá u 80% zákazníků?
5. Protože kdokoliv může data nejenom číst, ale i měnit? Pokud takto provozuješ e-shop, není nic jednoduššího, než nechat zákazníka objednat za zlomek ceny, nebo nafejkovat trojnásobný ceny proti konkurenci...

Ale je to tvoje volba. A jenom doufám, že ten moula má ve smlouvě ošetřený, že právní následky škod, způsobený nefunkčností nebo špatným návrhem webu, jdou na tvoje triko...

Když na ten web dám něco vy smyslu plakátu, co vylepím na všechny sloupy ve městě, tak tam je pro mne patlat se s nějakým šifrováním prostě zbytečně vynaložená energie. A radši jí věnuju něčemu užitečnějšímu. Ale teď přijde nějakej chytrolín (třeba z Google) a bude mi vysvětlovat, že to šifrování nutně potřebuju, musím ho mít a bez něj to nepůjde, protože on si prostě neumí představit situaci, kdy je skutečně nějaké šifrování a ověřování na dvě věci a zbytečná práce.

Prostě někdo ví lépe než já, co potřebuju i když umím zvážit rizika a rozhodnout se, jakým potřebuji čelit a na co je zbytečné vyhazovat energii. Co mi to připomíná?

Tady je vidět, že ta banda mamlasů výše ani nedokáže přečíst to, na co odpovídají. Díky za podporu. Žel bohu, budu se muset podřídit retardovanýmu Chrome.

Koukám, že na Heartbleed už se docela zapomnělo. Jestli se dobře pamatuju, tak na serveru s HTTPS bylo tímto způsobem několik let možné vzdáleně dumpnout podstatnou část paměťového prostoru webserveru (včetně informací, které ke zveřejnění vůbec určené nebyly). Ale hlavně že jsme se všichni cítili bezpeční :-).

Jasně, knihovnu OpenSSL máme všichni (co nejsme úplní ignoranti) už dávno zaktualizovanou. Ale ruku na srdce: Myslíte že už tam žádná podobná díra být nemůže ... ?

A co z toho milý Watsone vyplývá ?

1/ Nijak to nesnižuje význam HTTPS jako takového. Pro veřejné weby, které prostě zabezpečené být musí, nic lepšího prostě k dispozici nemáme.
2/ Přidáváním další zbytečné vrstvy, tam, kde v pohodě dostačuje HTTP (web s prezentací našeho skautského oddílu mezi ně jistojistě patřit bude) se bezpečnostní riziko v extrémním případě klidně i může zvýšit.

A teď mne můžete ukamenovat :-).

> jen knihovny openssl (resp. webserveru)

Kde jsou třeba kusy HTTP/POST požadavků (hesla, cookies…).

> Pokud to měl někdo nastavené lépe (perfect forward secrecy), tak se ho to netýkalo.

Počkat, jak s tím souviselo PFS? Podle mě tím dumpneš z paměti ten dlouhodobý soukromý klíč.

Přece jenom není marné používat HSM.

V pohodě dostačuje např. na firemním intranetu.

Ano, tímto způsobem jsem strašně dávno vyhackoval jednu síť. Stačilo poslouchat co teče uvnitř.

Jirsak zase zvani hovna ... typickej uzivatel, coz je 99% vsech uzivatelu, nepouziva zaroven vic aplikaci a kdyz browsa po webu tak mu bezi jen browser. Tzn DNS dotazy budou 1:1 naprosto presne odpovidat webum, na ktery leze.

Nehlede na to, ze z toho dns provozu vytahnout co je web a co je neco jinyho je zcela trivialni, protoze https IP a port jaksi onen dotycny vidi taky, ale to negramotnej jirsak nemuze samo chapat.

Natoz aby mel aspon paru o tom, ze kazdej "moderni" browser bude posilat SNI, coz je prekvapive ... NESIFROVANA hlavicka s webem, na kterej leze. Divny co jirsak? Novinka zejo? Opet zvanis o vecech o kterych viz howno ze?

> je spousta neudržovaných webů, na které nikdo https nepřidá a přesto mají relativně slušnou návštěvnost a mají zajímavý obsah

Podle mě ty weby jsou neudržované jako že se nemění obsah. O hosting nebo server, na kterém to běží, se někdo musí starat furt -- buď je to server, pak to někdo stejně napadne, pokud ten systém pět let nikdo neaktualizoval, nebo je to multihosting, a pak se o to automaticky stará admin hostingu.

Ale kdeze ... proste ti nekde bezi nejakej webserver a neresis to. Je ti jedno jestli bezi nebo nebezi, rozhodne ale nehodlas jakkoli menit jeho konfiguraci natoz resit nejaky https ... proc bys mel. Mozna dokonce uz ani nevis, ze ti nekde neco takovyho bezi. A takovych webu sou miliardy.

Naprosto bezna vec pak je, ze to presne stejne pobezi i na novym HW pokud starej chcipne, Fugovalo? OK, vemem, presunem, spustime neresime.

Jako že je na netu netriviální množství Apache 1.x a podobných hrůz?

Nezkoušel tu někdo, co se stane u Firefoxu nebo jiného webového prohlížeče v případě MITM při prohlížení https stránky? Spadne, upozorní na to nebo nic?