Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS.
Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Вспомните красную шапочку.
Зачем тебе такие большие глаза, а затем что тебя лучше видно было.
Тут недавно на свежей семёрке хотел скачать firefox и от не смог открыть ссылку для загрузки, не поддерживаемые алгоритмы шифрования Очень удобно, а http нет. Пришлось из линуха скачать.
Просто жгут мсты постепенно. Вы посмотрите как мобильные браузеры с проксёй работаю (хотя раньше умели). Будет работать только новое, а еще лучше только online. _ля ващего же удобства и безопасности.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS.
Нет, он не всех устраивал. А когда операторы начали вставлять в HTTP-трафик рекламу и вирусы, он перестал устраивать вообще всех.
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Что конкретно ты предлагаешь? Сертификат удостоверяет, что сторона, которая представляется сервером, имеет контроль над доменом. Альтернатива текущей системе только система, основанная на DNS Security, но там пока всё тухло.
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Не считаю. Протухший сертификат это косяк админа. Да и вообще в эпоху letsencrypt покупать сертификат вместо того, чтобы настроить автоматизацию у меня вызывает большое удивление.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Ответ простой — коммерциализация последней мили.
Те кто доставляют контент хотят все больше и больше — вставляют рекламу,
подменяют содержимое и тд и тп. В нашей стране этим по крайней мере занималась
вся большая тройка сотовых операторов.
И для решения этой проблемы нужно не только шифровать и быть уверенным что
это данные от того, кто их отправлял. И в общем-то SSL как раз минимальным требованиям
удовлетворяет, никаких дополнительный функций в нем нет, только проверка того,
что эти данные именно от того сайта, у которого и запросили данные, плюс шифрование.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Уже разбирали вопрос. Навязывание HTTPS и бесплатный Let's Encrypt — это часть громадного бизнеса по сбору данных.
Почему-то кто-то связанный с правительством решил что им нужно как можно больше данных обо всех. Сопоставляя как бы обезличенные датасеты из разных источников — можно даже поминутно вычислить когда вы ходили покакать.
За данные готовы платить из гос. бюджета. Им зачем-то это нужно, может преступников вычислиять может еще что.
И за право сбора данных идет борьба между великими (которые рангом пониже чем правительственные структуры, но все-же).
Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
Здравствуйте, wl., Вы писали:
wl.>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Здравствуйте, Zhendos, Вы писали:
wl.>>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Z>Ответ простой — коммерциализация последней мили.
Я возможно немного в теорию заговоров "поиграю", но я считаю, что повсеместное насаждение HTTPS ещё и является секретным проектом американских спецслужб для противодействия механизмам цензурирования интернета в авторитарных странах а также для слежения за трафиком.
1. Наличие TLS ставит цензоров перед выбором — или блокировать всю платформу вроде youtube, или не блокировать отдельные видео. Опции блокировки отдельных видео без содействия америки — нет. То же касается остальных крупных сайтов.
2. Введение TLS 1.3 ставит цензоров перед выбором — или блокировать половину интернета, или открывать сайты.
3. Халява на Cloudflare даёт им (Cloudflare и те, кто на него может надавить) возможность следить и подменять трафик для любого клиента. Ну и для других CDN справедливо, конечно, но вот эта халява выглядит как замануха, чтобы во-первых туда все сайты полезли, во-вторых чтобы бан Cloudflare был как можно более неприятен.
4. Когда Казахстан попытался "сломать" эту игру введением государственного MITM, реакция Google и Mozilla была молниеносной — они тут же внесли сертификат Казахстана в чёрный список, чем сломали этот MITM. Вот этого я вообще не понял — какое им дело до Казахстана? Каждая крупная корпорация делает MITM в своих сетях для слежения за трафиком, это не просто никого не волнует, это даже учитывают при разработке стандартов TLS и связанных с ними. Думаю, что в IBM работает больше, чем живёт в Казахстане. Но вот — оказалось нельзя идти против правил, даже если ты — международно признанное сувереное государство, а правила установили какие-то американские компании, даже не потрудившись их публично задокументировать.
Россия и Китай против этих правил идти могут, они слишком большие и независимые, поэтому не обязательно всё описанное выше надо примерять на Россию, кроме неё много и других стран, которые не могут позволить себе забанить youtube.
Apr 13, 2021 — Google Chrome will gradually stop supporting non-HTTPS sources and this might affect the content that had been inserted into a campaign.
Здравствуйте, Евгений Музыченко, Вы писали:
wl.>>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
ЕМ>Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Ряд браузерных технологий требуют HTTPS. Весьма широкий ряд. WebUSB, WebBluetooth, NFC, Web Serial API, Web MIDI API, WebHID, WebXR, WebAuthn, Credential Management API, Payment Request API, Permissions API, getUserMedia, Screen Capture API, WebRTC, MediaSession API, Service Workers, Push API, Background Sync API, IndexedDB, Cache API, Web Share API, Clipboard API, Geolocation API, Sensors API, Gamepad API, Web Locks API, CSP, SRI, Feature Policy, Referrer Policy. Возможно где-то ошибся, но вряд ли во многих местах.
ВР>Apr 13, 2021 — Google Chrome will gradually stop supporting non-HTTPS sources and this might affect the content that had been inserted into a campaign.
Прошло три года. Какие из HTTP-only сайтов невозможно открыть в Chrome?
* Google is ranking pages with HTTPS support first
* New android blocks non-HTTPS requests by default
* Apple blocks insecure connections by default in iOS
Здравствуйте, opfor, Вы писали:
S>>Уже разбирали вопрос. Навязывание HTTPS и бесплатный Let's Encrypt — это часть громадного бизнеса по сбору данных. O>поясни. В чем тут состоит сбор данных?
Благодаря httpS — провайдеры исключаются из пищевой цепочки, во в чем дело. А вот создатели браузеров — по прежнему в деле.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>Ряд браузерных технологий требуют HTTPS. Весьма широкий ряд. WebUSB, WebBluetooth, NFC...
ЕМ>Это точно "сайты, которым достаточно было бы, чтобы просто не plain-text передавался"?
Я, честно говоря, не вполне понимаю отличие сайтов, которым достаточно было бы, от сайтов, которым было бы недостаточно. Ну ок, можно с натяжкой сказать, что банковские сайты это более важно, а твиттер это менее важно. Но с веб-технологиями это не особо коррелирует.
Вот банальный Clipboard API. Это чтобы я на гитхабе нажал кнопочку и содержимое просматриваемого файла скопировалось бы в буфер обмена в исходном виде. Или Geolocation API — каждый первый магазин хочет знать, из какого я города, по вполне разумной причине (чтобы показывать мне наличие товара, например). Хотя казалось бы — сайты относительно не важные (ну по крайней мере пока я не залогинился в этот магазин или в этот гитхаб).
Здравствуйте, wl., Вы писали:
wl.>Зачем их заставили выписывать сертификаты для соединения?
Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно. Единственный спорный момент это осутствие возможности получать и отправлять незашифрованный траффик, но с возможностью проверки подлинности. Или, проще говоря, вместо полного шифрования достаточно было бы проверять цифровую подпись. В итоге внедряторы рекламы сами бы отвалились, а экономия ресурсов была бы значительной, потому что с HTTPS не работают механизмы DMA.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
https защищает от "человека по середине", читающего или изменяющего трафик.
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
wl.>>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
ЕМ>Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Все.
В выдаче поисковиков нет сайтов без https. (чего нет в гугле — того нет в интернете(с) )
Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
Выбор сейчас не велик — или аудитория твоего plain http сайта 1.5 твоих воображаемых друга, или прогибаешься и ставишь сертификат.
Здравствуйте, cppguard, Вы писали:
C>Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно. Единственный спорный момент это осутствие возможности получать и отправлять незашифрованный траффик, но с возможностью проверки подлинности. Или, проще говоря, вместо полного шифрования достаточно было бы проверять цифровую подпись.
ЕМНИП в https изначально был вариант использовать такой упрощенный алгоритм.
От подмены защищает, но все посредники видели содержимое передаваемых данных (твои логины и пароли к банкам). По этому и не используется.
Очень удобно, а http нет. Пришлось из линуха скачать.
