У меня уже много лет очень примитивный, на обычном HTTP, сайтик, с которого продается софтина. Насколько современные браузеры возбуждаются на подобные сайты, многие ли юзеры опасаются заходить на сайт из-за предупреждений браузера? Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов? Никакой интерактивности на сайте нет, только HTML-страницы со ссылками.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>У меня уже много лет очень примитивный, на обычном HTTP, сайтик, с которого продается софтина. Насколько современные браузеры возбуждаются на подобные сайты
Пока не особо, просто ненавязчиво предупреждают, что соединение с сайтом не зашифровано. В будущем, как я понимаю, будет вплоть до того, что юзеру надо будет специально кликать, чтобы попасть на сайт. Но будущее пока не наступило.
> Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов?
Нужно. Хотя бы из уважения к своим юзерам. Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например. Вообще в эпоху letsencrypt-а вопрос о переводе на HTTPS звучит странно. Возьми да переведи, долго что ли.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>У меня уже много лет очень примитивный, на обычном HTTP, сайтик, с которого продается софтина. Насколько современные браузеры возбуждаются на подобные сайты, многие ли юзеры опасаются заходить на сайт из-за предупреждений браузера? Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов? Никакой интерактивности на сайте нет, только HTML-страницы со ссылками.
У меня встречный вопрос: возникнут ли какие-то проблемы, если в такой ситуации попросить хостера склеить http с https?
"Ты должен сделать добро из зла, потому что его больше не из чего сделать". АБ Стругацкие.
Здравствуйте, vsb, Вы писали:
vsb>Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например.
Ни разу не видел там ничего постороннего — страницы всегда отдаются, как есть. И ни от кого из посетителей не слышал.
vsb>Возьми да переведи, долго что ли.
Исходя из того, что галочки типа "переключить на HTTPS" я в CPanel не нашел, это делается как-то более сложно, нежели простым переключением, а со временем беда. Ну и сертификат отдельный надо будет получить, как я понимаю — мой основной EV Code Signing вряд ли подойдет.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например.
ЕМ>Ни разу не видел там ничего постороннего — страницы всегда отдаются, как есть.
Отдаются как есть, а доходить могут с рекламой. Билайн этим славился, например.
vsb>>Возьми да переведи, долго что ли.
ЕМ>Исходя из того, что галочки типа "переключить на HTTPS" я в CPanel не нашел, это делается как-то более сложно, нежели простым переключением, а со временем беда. Ну и сертификат отдельный надо будет получить, как я понимаю — мой основной EV Code Signing вряд ли подойдет.
https://blog.cpanel.com/announcing-cpanel-whms-official-lets-encrypt-with-autossl-plugin/ ещё 2 года назад они сделали. Если хостер такой возможности не даёт, видимо надо ждать. Сертификат получать не надо, letsencrypt сам всё делает. Если у хостера всё правильно настроено, тебе надо галочку поставить и всё. Я бы поинтересовался в техподдержке, заодно и им будет обратная связь, что их клиенты заинтересованы.
Здравствуйте, Khimik, Вы писали:
K>У меня встречный вопрос: возникнут ли какие-то проблемы, если в такой ситуации попросить хостера склеить http с https?
с http делается 301 редирект на https, можно прямо в .htaccess прописать
Попытался открыть ссылку — браузер предупреждает, что сертификат истек 1 июня.
vsb>Сертификат получать не надо, letsencrypt сам всё делает.
Что значит "сам"? Насколько я знаю, сертификат должен быть выдан на домен.
vsb>Я бы поинтересовался в техподдержке
Поинтересовался — сказали, что нужно купить сертификат. Устанавливают они его вручную.
P.S. Еще пишут, что сертификат ставится только на выделенные IP-адреса. Это везде так? У меня shared-хостинг на Hostgator, IP там обычно не меняется, но вдруг.
Странно, у меня нормально.
vsb>>Сертификат получать не надо, letsencrypt сам всё делает.
ЕМ>Что значит "сам"? Насколько я знаю, сертификат должен быть выдан на домен.
Ну если сервером распоряжаешься ты, ставишь его клиентское приложение, он связывается с сервером letsencrypt, тот выдаёт тебе сертификат, клиентское приложение его скачивает и устанавливает куда надо. То бишь он, конечно, выдаётся на домен, но по факту всё делается автоматически.
vsb>>Я бы поинтересовался в техподдержке
ЕМ>Поинтересовался — сказали, что нужно купить сертификат. Устанавливают они его вручную.
Минус, конечно.
ЕМ>P.S. Еще пишут, что сертификат ставится только на выделенные IP-адреса. Это везде так? У меня shared-хостинг на Hostgator, IP там обычно не меняется, но вдруг.
Здравствуйте, vsb, Вы писали:
vsb>Ну если сервером распоряжаешься ты
Не, у меня shared plan. Одно время думал переделать на выделенный, но пока не нашел, чем оправдать дополнительные хлопоты по администрированию — я этим только балуюсь, специально никогда не занимался, и вникать не особо хочется.
Если покупать сертификат домена, то у кого? Цены различаются в десятки раз. Например, $249 у GlobalSign, $89 у Comodo, и $6 у Namecheap (ssls.com), которые вроде бы тоже выдают серфтификаты Comodo.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>У меня уже много лет очень примитивный, на обычном HTTP, сайтик, с которого продается софтина. Насколько современные браузеры возбуждаются на подобные сайты, многие ли юзеры опасаются заходить на сайт из-за предупреждений браузера? Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов? Никакой интерактивности на сайте нет, только HTML-страницы со ссылками.
В некоторых браузерах если вбивать в адресную строку имя сайта вроде example.com то они сразу подставляют https://example.com
По крайней мере с нашим сайтом. Возможно если бразуер "знает" что https тоже есть.
Редирект с http на https не делали. Так как медленнее открывается сайт с https.
vsb>>>Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например.
ЕМ>>Ни разу не видел там ничего постороннего — страницы всегда отдаются, как есть.
vsb>Отдаются как есть, а доходить могут с рекламой. Билайн этим славился, например.
А что, кто-то покупает софт для Windows, разглядывая сайты в смартфонах?
Здравствуйте, vsb, Вы писали:
>> Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов?
vsb>Нужно. Хотя бы из уважения к своим юзерам.
Дело в основном в том, что гугль запихал всем в глотку этот самый https при помощи хрома и всего такого. Если есть статический сайт, на который не вводят
никаких данных, ему прекрасно хватает http.
vsb>Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например.
У подлых провайдеров есть контракт с их пользователями, в котором, скорее всего, эта реклама оговаривается как часть оплаты. А если не оговаривается, то пусть пользователи идут в суд, если им не нравится реклама. В любом случае, это контракт между пользователями и провайдерами, а не провайдерами и сайтами.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Не, у меня shared plan. Одно время думал переделать на выделенный, но пока не нашел, чем оправдать дополнительные хлопоты по администрированию — я этим только балуюсь, специально никогда не занимался, и вникать не особо хочется. ЕМ>Если покупать сертификат домена, то у кого?
Ничего покупать не надо. Letsencrypt полностью бесплатно раздаёт сертификаты, в том числе и wildcard'овые.
Здравствуйте, Sharowarsheg, Вы писали:
>>> Нужно ли озаботиться переводом на HTTPS только для того, чтобы не отпугивать потенциальных клиентов? vsb>>Нужно. Хотя бы из уважения к своим юзерам. S>Дело в основном в том, что гугль запихал всем в глотку этот самый https при помощи хрома и всего такого. Если есть статический сайт, на который не вводят S>никаких данных, ему прекрасно хватает http.
хватать то хватает, только это не защищает юзера от скачивания хрен знает чего взамен того что он хочет, а следовательно https для тех кто продаёт софт таки нужен и гугл всё правильно делает.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>Возьми да переведи, долго что ли.
ЕМ>Исходя из того, что галочки типа "переключить на HTTPS" я в CPanel не нашел, это делается как-то более сложно, нежели простым переключением, а со временем беда. Ну и сертификат отдельный надо будет получить, как я понимаю — мой основной EV Code Signing вряд ли подойдет.
Хм. У меня сейчас тоже это просто галка (кнопка) в cpanel (namecheap). Нафиг хостеров у которых сложнее.
S>>Дело в основном в том, что гугль запихал всем в глотку этот самый https при помощи хрома и всего такого. Если есть статический сайт, на который не вводят никаких данных, ему прекрасно хватает http.
U>хватать то хватает, только это не защищает юзера от скачивания хрен знает чего взамен того что он хочет, а следовательно https для тех кто продаёт софт таки нужен и гугл всё правильно делает.
В смысле, провайдер подсунет пользователю трояна вместо моего софта? Пусть с провайдером судятся, я-то тут причем? В следующий раз ты скажешь, что у пользователя троян подменил мой софт чем-то еще, и нам нужно обязать всех подписывать все выполняемые модули. Нет уж, пусть пользователь лучше трояны у себя почистит.
Здравствуйте, Sharowarsheg, Вы писали:
S>В смысле, провайдер подсунет пользователю трояна вместо моего софта?
публичные сети не?
S>Пусть с провайдером судятся, я-то тут причем?
да не причём, флаг в руки и барабан на шею.
с радостью приму вашего несостоявшегося клиента которому браузер во всех красках расскажет, что мол нет никаких гарантий что ты сейчас не скачаешь троян.
S> В следующий раз ты скажешь, что у пользователя троян подменил мой софт чем-то еще, и нам нужно обязать всех подписывать все выполняемые модули. Нет уж, пусть пользователь лучше трояны у себя почистит.
эээ... а вы до сих пор не подписываете? ну удачи, чё.
Здравствуйте, Cyberax, Вы писали:
C>Ничего покупать не надо. Letsencrypt полностью бесплатно раздаёт сертификаты
Ага, действительные в течение 90 дней. Не, я лучше куплю двухлетний, и не буду париться с обновлением каждые три месяца. Это даже не считая того, что за установку стороннего сертификата хостер берет $10.
Здравствуйте, uuuser, Вы писали:
S>>В смысле, провайдер подсунет пользователю трояна вместо моего софта? U>публичные сети не?
Не.
S>>Пусть с провайдером судятся, я-то тут причем?
S>> В следующий раз ты скажешь, что у пользователя троян подменил мой софт чем-то еще, и нам нужно обязать всех подписывать все выполняемые модули. Нет уж, пусть пользователь лучше трояны у себя почистит.
U>эээ... а вы до сих пор не подписываете? ну удачи, чё.
Нет, а что, кто-то начал подписывать, и у него сразу продажи выросли хоть сколько-то измеримо?
Здравствуйте, uuuser, Вы писали:
S>>Нет, а что, кто-то начал подписывать, и у него сразу продажи выросли хоть сколько-то измеримо?
U>а дело не в росте, а в падении, посмотрите на любую крупную софтину, там всё подписано, и поверьте, они не глупее вас.
В какой размерности мерять глупость-то? В долларах на человеко-час за время жизни проекта? Легко может оказаться, что и глупее.
Есть простой замер, который вообще полезно делать —
померять число закачек с винды (потому что народ качает виндовые файлы на андроид, их не надо учитывать)
померять число запусков
разница между этими двумя числами — это все незапуски по всем возможным причинам, включая баги, тех, кому не нравится отстутствие сертификата, кому не нравится ложное срабатывание нортона, параноиков с нестандартными файрволами и проче проче. Так вот, их не столько, чтобы стоило заморачиваться, если только я не влепил свежего бага такого, что у половины пользователей всё разваливается еще до запуска.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>Ничего покупать не надо. Letsencrypt полностью бесплатно раздаёт сертификаты ЕМ>Ага, действительные в течение 90 дней. Не, я лучше куплю двухлетний, и не буду париться с обновлением каждые три месяца.
Смысл в том, что получение сертификата полностью автоматизировано. Соответственно, не надо париться с тем, сколько времени он активен.
Я год назад перевел все свои сайты на SSL от Let's Encrypt.
Если VPS с панелью Plesk Panel (Odin сейчас вроде называется?), то там есть официальный плагин Let's Encrypt от Plesk. Пару кликов и ставится сертификат и даже обновляется автоматически. Акцентирую внимание — ничего руками продлять не надо — уже год все работает — плагин сам обновляет сертификат за месяц до истечения (выдается на 3 месяца).
Увеличения продаж от перехода на SSL не заметил.
У меня есть еще блог на русском shared хостинге REG.RU за 250 руб. Там тоже Plesk Panel и установленный Let's Encrypt плагин. Тоже подключил SSL сертификат.
Здравствуйте, PeterOfLight, Вы писали:
POL>Я год назад перевел все свои сайты на SSL от Let's Encrypt.
Я тоже перешел, на тот же Let's Decrypt, и вроде ничего. А то некоторым, говорят, не везет с гуглём — кто-то перешёл на HTTPS и трафику с гугля пиписка на полгодика где-то. Насколько я понимаю, такое не часто, но случается.
Здравствуйте, Sharowarsheg, Вы писали:
S>Здравствуйте, PeterOfLight, Вы писали:
POL>>Я год назад перевел все свои сайты на SSL от Let's Encrypt.
S>Я тоже перешел, на тот же Let's Decrypt, и вроде ничего. А то некоторым, говорят, не везет с гуглём — кто-то перешёл на HTTPS и трафику с гугля пиписка на полгодика где-то. Насколько я понимаю, такое не часто, но случается.
Предположу, что скорее всего где-то допущена ошибка. Может редирект забыли с HTTP на HTTPS?
Или криво установлен SSL на сервере (OpenSSL старый с уязвимостью например).
Я суммарно перевел 5 сайтов — никакого проседания трафика нет.
vsb>Пока не особо, просто ненавязчиво предупреждают, что соединение с сайтом не зашифровано. В будущем, как я понимаю, будет вплоть до того, что юзеру надо будет специально кликать, чтобы попасть на сайт. Но будущее пока не наступило.
Ну надпись "Not secure" рядом с адресом сайта как-то не очень "ненавязчиво", и может создать плохое впечатление прямо с порога.
Здравствуйте, PeterOfLight, Вы писали:
S>>Я тоже перешел, на тот же Let's Decrypt, и вроде ничего. А то некоторым, говорят, не везет с гуглём — кто-то перешёл на HTTPS и трафику с гугля пиписка на полгодика где-то. Насколько я понимаю, такое не часто, но случается.
POL>Предположу, что скорее всего где-то допущена ошибка. Может редирект забыли с HTTP на HTTPS?
Да скорее всего ошибка где-то, но тем не менее.
1. нужно не ошибиться, когда сам переходишь
2. нужно проверять периодически, что эта хренотень обновилась правильно, и что SSL всё еще работает. Интересно, кстати, можно ли какого-нибудь робота запрячь на это? Да наверное, работает же у меня pingdom, что-то проверяет. Надо будет изучить, умеет ли он понимать отказы SSL.
Здравствуйте, Cyberax, Вы писали:
C>Может стоит поменять хостера на более вменяемого?
А они есть, вменяемые с shared-моделью? Администрировать собственный линукс я пока не готов, слишком хлопотно. А сменить HostGator на другой shared я уже пытался, но выяснилось, что это наименьшее зло из возможных.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>Может стоит поменять хостера на более вменяемого?
ЕМ>А они есть, вменяемые с shared-моделью? Администрировать собственный линукс я пока не готов, слишком хлопотно. А сменить HostGator на другой shared я уже пытался, но выяснилось, что это наименьшее зло из возможных.
Я на хостинг от namecheap перешел... Полный безлимит (диск, домены, базы, трафик) за $4 в месяц, SSL кнопкой в cpanel ставится. Пока норм.
Здравствуйте, Sharowarsheg, Вы писали:
S>В какой размерности мерять глупость-то? В долларах на человеко-час за время жизни проекта? Легко может оказаться, что и глупее. S>Есть простой замер, который вообще полезно делать - S>померять число закачек с винды (потому что народ качает виндовые файлы на андроид, их не надо учитывать) S>померять число запусков S>разница между этими двумя числами — это все незапуски по всем возможным причинам, включая баги, тех, кому не нравится отстутствие сертификата, кому не нравится ложное срабатывание нортона, параноиков с нестандартными файрволами и проче проче. Так вот, их не столько, чтобы стоило заморачиваться, если только я не влепил свежего бага такого, что у половины пользователей всё разваливается еще до запуска.
давайте так, есть тренд на шифрование трафика и на подписывание всего и вся, и глупо ему не следовать.
возьмём к примеру хром и фотошоп, казалось бы всё антивирусы должны даже бояться смотреть в сторону этих продуктов, но тем не менее там всё подписано, чего уж говорить о сиди-эджекторе васи пупкина который иногда даже просто скачать не дадут.
вы можете сколько угодно бить себя в грудь и доказывать что это не нужно, ваше право, но лично я лучше поставлю ssl и всё подпишу, чем буду убеждать себя в том, что число потерянных потенциальных клиентов несоизмеримо с моими затратами на сертификаты.
но естественно речь о массовых продуктах, специфичные штучные продукты это совсем другая история.
Здравствуйте, bnk, Вы писали:
bnk>Я на хостинг от namecheap перешел... Полный безлимит (диск, домены, базы, трафик) за $4 в месяц
За такую дешевизну явно нужно платить чем-то другим. Например, как у них ситуация с надежностью/обновлением серверов, попаданием IP их почтовых серверов в блэклисты из-за массовых рассылки клиентами-спамерами, и прочим?
Здравствуйте, uuuser, Вы писали:
S>>В какой размерности мерять глупость-то? В долларах на человеко-час за время жизни проекта? Легко может оказаться, что и глупее. S>>Есть простой замер, который вообще полезно делать - S>>померять число закачек с винды (потому что народ качает виндовые файлы на андроид, их не надо учитывать) S>>померять число запусков S>>разница между этими двумя числами — это все незапуски по всем возможным причинам, включая баги, тех, кому не нравится отстутствие сертификата, кому не нравится ложное срабатывание нортона, параноиков с нестандартными файрволами и проче проче. Так вот, их не столько, чтобы стоило заморачиваться, если только я не влепил свежего бага такого, что у половины пользователей всё разваливается еще до запуска.
U>давайте так, есть тренд на шифрование трафика и на подписывание всего и вся, и глупо ему не следовать.
С каких это пор "все побежали и я побежал" перестало считаться глупым обоснованием? Как было глупостью, так и осталось.
Не, если бы в подписывании всего и вся и шифровании был бы какой-то измеримый выигрыш для меня, я бы сделал бы что-нибудь, но пока только пришлось перейти на https, потому что гугль достал со своим хромом.
U>вы можете сколько угодно бить себя в грудь и доказывать что это не нужно, ваше право, но лично я лучше поставлю ssl и всё подпишу, чем буду убеждать себя в том, что число потерянных потенциальных клиентов несоизмеримо с моими затратами на сертификаты.
Если даже ты не знаешь, сколько у тебя потерянных потенциальных клиентов, и желательно с разбивкой по причинам, то мне представляется, что гораздо выгоднее заниматься этим, чем SSL и подписями. SSL поставить быстро, и может даже потом в жопу не сильно укусит, когда автообновление сертификата отвалится, но денежной пользы от него не особо-то.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>Может стоит поменять хостера на более вменяемого? ЕМ>А они есть, вменяемые с shared-моделью? Администрировать собственный линукс я пока не готов, слишком хлопотно. А сменить HostGator на другой shared я уже пытался, но выяснилось, что это наименьшее зло из возможных. https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920/349 — какие-то есть.
Здравствуйте, Sharowarsheg, Вы писали:
U>>давайте так, есть тренд на шифрование трафика и на подписывание всего и вся, и глупо ему не следовать. S>С каких это пор "все побежали и я побежал" перестало считаться глупым обоснованием? Как было глупостью, так и осталось.
на этом форуме стабильно возникает нытьё о ненужности того или иного, но тем не менее как я понял инсталлеры вы таки подписываете и на https вы уже перешли... так что, о подписывании всего и вся мы так же скоро будем говорить в прошедшем времени
Здравствуйте, uuuser, Вы писали:
U>на этом форуме стабильно возникает нытьё о ненужности того или иного, но тем не менее как я понял инсталлеры вы таки подписываете и на https вы уже перешли... так что, о подписывании всего и вся мы так же скоро будем говорить в прошедшем времени
На https перешел с сожалением, в смысле, гугль заставил меня сделать лишнюю работу, а ни кода, ни инсталлеров не подписываю, пока не заставят.
Прикол в том, что когда все более-менее перешли на https, эти гандоны из гугля уже сидят там и выдумывают, какую бы еще хренотень им бы меня заставить сделать. С одной стороны, это цена за ведение бизнеса, а с другой стороны, осознание этого не заставляет меня их сильнее любить.
Здравствуйте, marcopolo, Вы писали:
vsb>>Отдаются как есть, а доходить могут с рекламой. Билайн этим славился, например.
M>А что, кто-то покупает софт для Windows, разглядывая сайты в смартфонах?
И в проводной траффик тоже вставляют. «Дом.сру», например, любит свою рекламу так вставлять.
Здравствуйте, PeterOfLight, Вы писали:
POL>Я год назад перевел все свои сайты на SSL от Let's Encrypt.
POL>Если VPS с панелью Plesk Panel (Odin сейчас вроде называется?), то там есть официальный плагин Let's Encrypt от Plesk. Пару кликов и ставится сертификат и даже обновляется автоматически. Акцентирую внимание — ничего руками продлять не надо — уже год все работает — плагин сам обновляет сертификат за месяц до истечения (выдается на 3 месяца).
POL>Увеличения продаж от перехода на SSL не заметил.
POL>У меня есть еще блог на русском shared хостинге REG.RU за 250 руб. Там тоже Plesk Panel и установленный Let's Encrypt плагин. Тоже подключил SSL сертификат.
А что в этом сертификате от lets encrypt написано про адрес и ФИО владельца? Реальные данные — то есть Иван Иванов, деревня гадюкино, РФ? Или там вообще нет ФИО и физического адреса?
Можете дать пример какого-то сайта с сертификатом от lets encrypt чтобы можно было изучить его сертификат?
Здравствуйте, marcopolo, Вы писали:
M>Здравствуйте, vsb, Вы писали:
vsb>>>>Чтобы на твоём сайте не крутилась вставленная подлыми провайдерами реклама, например.
ЕМ>>>Ни разу не видел там ничего постороннего — страницы всегда отдаются, как есть.
vsb>>Отдаются как есть, а доходить могут с рекламой. Билайн этим славился, например.
M>А что, кто-то покупает софт для Windows, разглядывая сайты в смартфонах?
те кто используют 3g модемы, подключенные к ноутбуку, например..
Здравствуйте, vladrsdn, Вы писали:
M>>А что, кто-то покупает софт для Windows, разглядывая сайты в смартфонах? V>те кто используют 3g модемы, подключенные к ноутбуку, например..
тссс!!! нельзя писать в одной строчке ноутбук и
мобильный интернет, для многих тут это разрыв шаблона.
Здравствуйте, vladrsdn, Вы писали:
V>А что в этом сертификате от lets encrypt написано про адрес и ФИО владельца? Реальные данные — то есть Иван Иванов, деревня гадюкино, РФ? Или там вообще нет ФИО и физического адреса?
Здравствуйте, Anton Batenev, Вы писали:
AB>Совершенно верно. Но в контексте данной темы это может оказаться кому-то достаточно сложно.
вариантов не много — если shared hosting, то это делает хостер,
а если свой сервер или VPS, то надо иметь базовые навыки или панель управления
я тут занялся тюнингом сервера, так еще и security http headers прописал везде
Здравствуйте, vladrsdn, Вы писали:
V>А что в этом сертификате от lets encrypt написано про адрес и ФИО владельца? Реальные данные — то есть Иван Иванов, деревня гадюкино, РФ? Или там вообще нет ФИО и физического адреса?
Серт выдан на домен. Чтобы его получить, нужно доказать, что ты — человек, который реально управляет этим доменом.
Здравствуйте, Khimik, Вы писали:
K>У меня встречный вопрос: возникнут ли какие-то проблемы, если в такой ситуации попросить хостера склеить http с https?
Сижу на hawkhost.com
Сайт отдается http и https, ничего специально не делал, сертификат хостер обновляет сам.
Единственная Ж это то что у него никак нельзя отключить Imunify360 которое блочит активных пользователей, бьюсь уже второй год, включат, сайт блочится, начинаешь ругаться, отключают, потом опять включают втихушу и пишут типа дайте ваш айпи, мы его включим его в белый список.
А хренали им мой IP давать, если я могу поругаться, они его так и так включат и я на худой конец, смогу ввести их долбанные капчи, а многие юзеры просто уходят с сайта, если видят капчу.
В частности меня всегда бесили сайты, где нужно ввести капчу для просмотра сайта и я всегда такие сайты игнорировал пока сам не оказался раздающим капчу из-за хостера.
Буду с него съезжать, благо срок подходит
Здравствуйте, Cyberax, Вы писали:
C>>>Letsencrypt полностью бесплатно раздаёт сертификаты ЕМ>>Ага, действительные в течение 90 дней. Не, я лучше куплю двухлетний, и не буду париться с обновлением каждые три месяца. C>Смысл в том, что получение сертификата полностью автоматизировано. Соответственно, не надо париться с тем, сколько времени он активен. C>Может стоит поменять хостера на более вменяемого?
Я сейчас совершенно случайно заметил, что в списке отчетов HostGator по трафику добавились пункты "xxx (SSL)". Попробовал открыть свои поддомены через HTTPS — получилось. Сертификаты выданы Let's Encrypt. Вспомнил, что пару месяцев назад HostGator обновил CPanel — очевидно автоматически подтянулось и прикручивание сертификатов.
Получается, теперь достаточно сделать автоматический редирект всего, что идет на порт 80, на HTTPS, и больше ничего не требуется?
Здравствуйте, AWSVladimir, Вы писали:
AWS>Здравствуйте, Khimik, Вы писали:
K>>У меня встречный вопрос: возникнут ли какие-то проблемы, если в такой ситуации попросить хостера склеить http с https? AWS>Сижу на hawkhost.com AWS>Сайт отдается http и https, ничего специально не делал, сертификат хостер обновляет сам. AWS>Единственная Ж это то что у него никак нельзя отключить Imunify360 которое блочит активных пользователей, бьюсь уже второй год, включат, сайт блочится, начинаешь ругаться, отключают, потом опять включают втихушу и пишут типа дайте ваш айпи, мы его включим его в белый список. AWS>А хренали им мой IP давать, если я могу поругаться, они его так и так включат и я на худой конец, смогу ввести их долбанные капчи, а многие юзеры просто уходят с сайта, если видят капчу. AWS>В частности меня всегда бесили сайты, где нужно ввести капчу для просмотра сайта и я всегда такие сайты игнорировал пока сам не оказался раздающим капчу из-за хостера. AWS>Буду с него съезжать, благо срок подходит
Тоже сижу у них, но никогда ничего такого не замечал. Как это можно воспроизвести, как это вообще проявляется?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Получается, теперь достаточно сделать автоматический редирект всего, что идет на порт 80, на HTTPS, и больше ничего не требуется?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>У меня уже много лет очень примитивный, на обычном HTTP, сайтик, с которого продается софтина.
MITM атака на ура проходит. Можно что угодно внедрить в твой HTML и отдать пользователю. Такими вещами промышляют "партнёры" ОПСОСов, например, встраивая ссылки/окна на платные подписки которые ты даже можешь не заметить. Короче, меняй всё на HTTPS.
У меня только вопрос к знатокам: как исключить URL или папку из редиректа на https, а то у нас от старого софта из-за такого редиректа некоторые php скрипты не вызваются и исправить в нём уже нельзя?
И вопрос 2: подойдет ли такой способ еще и для сайтов wordpress или там лучше специальный плагин для HTTPS добавлять?
M_F>У меня только вопрос к знатокам: как исключить URL или папку из редиректа на https, а то у нас от старого софта из-за такого редиректа некоторые php скрипты не вызваются и исправить в нём уже нельзя?
Здравствуйте, Евгений Музыченко, Вы писали:
K>>возникнут ли какие-то проблемы, если в такой ситуации попросить хостера склеить http с https?
ЕМ>Я пока очень приблизительно представляю, как это делается технически (сетевые технология — не мое).
