ITSumma 24 мар 2021 в 12:05

ко всем адресам

2 мин

16K

Блог компании ITSummaИнформационная безопасность*Google ChromeIT-стандарты*Браузеры

+31

Комментарии 29

ganzmavag 24 мар 2021 в 12:12

Ну в принципе логично, уже странно стучаться по умолчанию сначала на HTTP и тратить время на редирект, когда с наибольшей вероятностью там будет HTTPS.

ivan386 24 мар 2021 в 12:45

Я в фаеофоксе включил функцию использовать всегда HTTPS и часто из результатов поиска попадаю на сайт у которого по тем или иным причинам не работает HTTPS. Причём это может быть даже самый первый результат.

SignFinder 24 мар 2021 в 14:53

Вместо настроек в самом FF — поставьте расширение HTTPS Everywhere

ivan386 24 мар 2021 в 19:56

А какая разница?

SignFinder 24 мар 2021 в 21:44

Разница в поведении. Не будет не открывающихся сайтов с неработающим https.

ivan386 24 мар 2021 в 22:49

Фаерфокс и так даёт возможность открыть HTTP сайт или с фальшивым сертификатом но я этой возможностью не пользуюсь. Если очень надо я открываю сайт в архиве парой нажатий клавиш благодаря тому что адрес сайта в адресной строке не портится в отличии от HTTPS Everywhere.

НЛО прилетело и опубликовало эту надпись здесь

chuprun 24 мар 2021 в 13:29

А откуда это — про долю https сайтов с фразой про абсолютное большинство сайтов с https… хм

Evengard 24 мар 2021 в 13:39

Я честно говоря был уверен что это уже давно дефолт...

alliumnsk 26 мар 2021 в 12:59

Нет, что вы. Сначала надо было придумать принудительный редирект с HTTP на HTTPS, лишив пользователя выбора, и лишь потом сделать "как надо".

glagola 24 мар 2021 в 13:57

А можно в хроме как-то вообще запретить ходить на HTTP? чтобы явно падала ошибка?

GennPen 24 мар 2021 в 17:13

Можно в роутере закрыть выход на 80 порт. Или перенаправлять на сайт-заглушку.

SagePtr 25 мар 2021 в 09:03

Через расширение HTTPS Everywhere, при желании можно согласиться с риском и перейти на http-страницу

Sap_ru 24 мар 2021 в 14:44

И теперь для настройки роутера и всякой прочей дребедени нужно каждый раз писать «http://»

Sabin 24 мар 2021 в 15:18

"Исключениями являются IP-адреса, ..."

Stiver 24 мар 2021 в 15:02

Другими словами, еще немного и доступность подавляющей части интернета будет зависеть от одного Let's Encrypt. Стоит ему закрыться/стать платным/изменить политику выдачи сертификатов и все некоммерческие сайты разом перестанут существовать для современных браузеров. Интересное развитие.

Heavenanvil 24 мар 2021 в 15:14

Вроде, как Let’s Encrypt уже это сделал… хотя возможно я ошибаюсь

-2

НЛО прилетело и опубликовало эту надпись здесь

Leopotam 24 мар 2021 в 16:20

уже сейчас куда интереснее.

Вот когда бесплатные wildcards подвезут — сравняется и станет какой-никакой альтернативой, а пока...

idmrty 25 мар 2021 в 08:05

У ZeroSSL есть бесплатные wildcard.

Leopotam 25 мар 2021 в 14:49

Тогда они очень плохо следят за своим сайтом — в разделе цен четко указано, что wildcards только за деньги: https://zerossl.com/pricing/

idmrty 25 мар 2021 в 14:52

Это тарифы на выпуск через веб-интерфейс. Последняя строчка «90-Day ACME Certs» позволяет выпускать через ACME сколько угодно сертификатов, в том числе Wildcard. Единственный недостаток перед LE: в одном сертификате, если я не ошибаюсь, не более двух доменов (против 100).

Leopotam 25 мар 2021 в 14:53

А как узнать что работает на бесплатном тарифе, а что нет? Есть какая-то справочная таблица?

idmrty 25 мар 2021 в 15:06

Тут написано:

By using ZeroSSL's ACME feature, you will be able to generate an unlimited amount of 90-day SSL certificates at no charge, also supporting multi-domain certificates and wildcards.

Значит, видимо, работает вообще всё.

Leopotam 25 мар 2021 в 15:09

Хм, интересно. Спасибо за информацию, игнорировал их исключительно из-за отсутствия такой фичи в списке бесплатных.

Alert1234 24 мар 2021 в 17:41

раньше для заблокированного адреса по http можно было увидеть заглушку «сайт заблокирован роскомнадзором» и зайти туда другим способом, а теперь сразу будет лезть на https и выглядеть как будто сайта вообще не существует

SagePtr 25 мар 2021 в 09:06

«Для сайтов, которые ещё не поддерживают HTTPS, Chrome вернётся на версию HTTP после неудачной попытки загрузить версию HTTPS, в том числе при наличии ошибок сертификата, таких как несоответствие имени или ненадёжный самоподписанный сертификат» — вероятнее всего, для Хрома заблокированный сайт будет выглядеть, как со сломанным сертификатом, потому он перекинет на http-версию и триггернёт заглушку.

Evengard 25 мар 2021 в 14:00

Это кстати на самом деле скорее плохо, чем хорошо. Лучше увидеть страничку об ошибке сертификата, чем заглушку провайдера, как правило переполненную рекламой…

SagePtr 26 мар 2021 в 07:58

Подобное поведение срабатывает только при вводе доменного имени в адресной строке вручную без указания протокола. Если по ссылкам переходить, то «угадайка» работать не будет, и браузер будет загружать по тому протоколу, что в ссылке указан (или строго https в случае HSTS), без лишних редиректов в случае невалидных сертификатов. Потому хуже точно не станет.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий