GlobalSign corporate blog
Firefox
Information Security
Interfaces
Browsers
Comments 12
+4
Приятно, что разработчики Firefox предусматривают различные варианты настройки интерфейса и не принуждают всех использовать унифицированный единообразный UI.
Скорее, временно поддерживают старый интерфейс.
Общая практика такова, что указанные в статье настройки когда-нибудь могут перестать работать.

В любом случае, не смотрел на значок, и не буду смотреть, он ничего никогда и не гарантировал.
+2
Дизайнеры браузеров убрали этот индикатор, чтобы оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств.

ДИЗАЙНЕРЫ и безопасность несовместимы. После появления letsencrypt ходили новости про фишинговые домены paypal с валидными tls сертификатами и прользователям предлагалось проверять наличие EV на правильную компанию в адресной строке и этого в большинстве случаев было достаточно, а теперь ДИЗАЙНЕРЫ все свели на нет. Ну что-ж ждем новую волну фишинга.
+6
При чём тут ДИЗАЙНЕРЫ, если даже ТЕХНАРИ не в силах по этому значку понять, выдан ли сертификат платёжной системе Stripe или же её «однофамильцу», зарегистрированному в другом штате?

Чтобы не попасться на фишинг, ТЕХНАРЮ необходимо в любом случае прогуляться в подробности. И это мы говорим о ТЕХНАРЯХ, а большинство пользователей вообще не полезет смотреть, то ли сертификат выдан российской VKONTAKTE LLC, то ли американскому двойнику, зареганному злоумышленником. Зелёная плашечка же есть.

Именно поэтому Extended Validation Certificates are (Really, Really) Dead
0
В будущем еще возможны еще и политические осложнения, которые спровоцируют войну сертификатов.
0

Теперь осталось перестать материться на самоподписанные сертификаты, а считать их работающими на уровне 'http', и проблема решена.

+4
Ну тогда ещё и перестать ругаться на сертификаты, которые к хосту не подходят.
И митм наконец то заработает.
0

HSTS, etc, ваш друг. Чем mitm с самоподписанным сертификатом отличается от mitm с http downgrade? и там и там полностью незащищённый канал от mitm'а.

0
HTTP downgrade будет работать только, если пользователь перешёл по ссылке, использующей протокол http, а не https.
А позволение такого mitm'a для https может привести, например, к угону кук с сайта, не рассчитающего на незащищённую работу.
0

Я не совсем понял проблему. Если мне надо угнать куки, я делаю http downgrade (mitm) и даю пользователю ссылку на http. Чем это отличается от self-signed SSL?

0
Как по мне, новые изменения логичные. Нет никакого смысла привлекать внимание пользователя к корректному сертификату. Его наличие говорит лишь об отсутствии проблем с соединением — и только. Индикация «повышенной безопасности» только вводит в заблуждение.

Если есть проблема (сертификат не подходит, самоподписан, соединение открытое), к этому надо привлекать внимание, так как здесь требуются действия или изменение поведения пользователя.
+3

Да уймитесь вы уже. Ваш бизнес по торговле воздуха разрушен. Letsencrypt вас всех съел. Про EV забудут через год

0
Некоторые центры да.
Мы тут сменили удостоверяющий центр, так они нам устроили проверку, как будто мы покупали EV сертификат. Если бы такие проверки осуществляли все центры… эх…
Only those users with full accounts are able to leave comments.  , please.