Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

[demon416nds]

Все чтобы нажиться прикрываясь заботой о безопасности.
Хреновы сертификаты часто дороже хостинга с доменом вместе взятых при том что 90% сайтов они нафиг не нужны

[trolley813]

А как же, например, Let's Encrypt?

[demon416nds]

Сайты с ним занижают в поисковой выдаче

[symbix]

Это вам продавец элитных сертификатов рассказал?

[JediPhilosopher]

С учетом того, что куча провайдеров вмешиваются в HTTP трафик и пихают туда свою рекламу, https уже нужен буквально всем. Даже дурацкой визитке из полутора страничек. Если, конечно, вы не хотите дать своему провайдеру на ней слегка подзаработать без вашего ведома.

[mixsture]

В целом нет особых проблем и вмешиваться в HTTPS трафик. Положение провайдера по центру итак удобное для mitm-атаки.
Оставшуюся единственную проблему с «зеленой галочкой в браузере» (о сертификате) — тоже не так уж сложно решить, достаточно провайдеру «интегрироваться» с удостоверяющим центром и нагенерить себе сколько угодно сертификатов. Можно даже этот пункт упростить — просто обязать пользователей установить сертификат провайдера как центр сертификации.

[alex-khv]

Apple, google, Mozilla ведь не находятся только в странах с авторитарным режимом.
Маловероятно что провайдер в сша будет принуждать установить свой корневой сертификат для митм атак.

[rsashka]

А зачем там устанавливать свой корневой сертификат для митм атак, если это компании местные, которые и так обязаны предоставлять данные по требованию властей?
Тут скорее вопрос в том, что у стран с «авторитарным режимом» нет возможности получить такой же доступ к данным пользователей, как у самих США, вот им жизнь и усложняют.

[JediPhilosopher]

Попытки обязать устанавливать сертификат в Казахстане (кажется) провалились — слишком много возмущения вызвало.
Случаи с генерацией левых сертификатов удостоверяющими центрами бывали, но как только это всплывало — для них это означало полный конец бизнеса, так как их корневые сертификаты тут же удаляли из всех браузеров и ОС. На такое могут пойти спецслужбы ради своих секретных разборок, но вряд ли это по силам обычному провайдеру ради показа копеечной рекламы.

[Balling]

Такое доступно только совету NRO или Internet Governance forum. Спецслужбам это тоже не доступно. Напомню правда про долбанутый DarkMatter. https://www.opennet.ru/opennews/art.shtml?num=51159

[slavius]

https://belpost.cc — Фишинговый клон официального сайта Белпочты belpost.by.
Он с сертификатом Cloudflare, но нифига не безопасный.

[ialexander]

Сертификаты немного о другом, они не подтверждают, что конкретный сайт — это сайт Белпочты, они лишь подтверждают, что вы действительно находитесь на belpost.cc или belpost.by.

Это как если показать паспорт на имя Пупкина Василия Борисовича и сказать я президент России, вот мой паспорт, он настоящий как видите. Паспорт лишь подтверждает личность человека, но никак не его должность и место работы.

[dartraiden]

EV-сертификаты, в теории, как раз и подтверждают, что сайт принадлежит именно указанной компании.

На практике, это не работает. Удостоверяющие центры относятся к проверкам крайне поверхностно.

[ialexander]

Ну в данном конкретном случае, что на belpost.by, что на belpost.cc — сертификаты не EV.

EV сертификаты есть на www.barclays.co.uk и online.raiffeisen.ru (но не www.raiffeisen.ru).

[Balling]

На практике это работает. И отлично работает. Не зря все кто может, получает EV. Тот дядечка по ссылке восхваляет Safari, что как бы намекает. И вообще этот дядя тот еще тролль. Но что неприятно, тролль эффективный, все браузеры убрали сигнализацию EV…

[mixsture]

Да, именно так. Cloudflare по своей сути делает mitm-атаку (подменяя сертификат и расшифровывая трафик у себя). Поэтому клиенты видят валидный сертификат, смотрят на зеленую галочку в браузере и думаю, что все отлично.
Это лишь создает иллюзию безопасности, что является самым плохим вариантом для клиента.
HTTPS протокол не имеет средств противодействия mitm-атаке.

[ialexander]

Cloudflare подменяет сертификат для belpost.by? Он лишь выпустил обычный сертификат для belpost.cc, который не требует валидации юрлица, как того требует выдаёт EV сертификатов.

[mixsture]

согласен, не прав. В запаре писал коммент. Но все ж к cloudflare я скептически отношусь с их идеей терминации шифрованной сессии. Звучит это довольно странно: для вашей безопасности мы расшифруем все, не доведя шифрованный трафик до вашего сервера :)

[Sidoran]

Их идея базируется на том, что они обеспечивают защиту от DDOS и выдачу контета из своих кешей. А для этих нужд необходимо понимать что находится внутри трафика и дешифровывать его. Вы всегда можете от этого отказаться.

[Balling]

Все намного сложнее. Напомню, что на одном IP может быть много доменов (как у Google, Youtube, mail.google.com и т.д.), всё разделяется по SNI. У Cloudlfare любой сервис может быть по любому IP. А еще у них есть 1) Хостинг 2) авторитативные DNS сервера, это разные уровни.

[dartraiden]

владельцам сайтов придется продлевать TLS-сертификаты ежегодно

И это сподвигнет их автоматизировать процесс, а не попадать постоянно в ситуацию «ой, прошло 5 лет и мы опять прозевали момент, а кто у нас вообще это делал? Как это уволился год назад?!».

[vm03]

К сожалению, автоматизированные тоже ломаются. В том числе и по тому, что проверки "объявляют устаревшими".

[Loggus66]

Ещё один повод хотя бы настроить мониторинг свежести сертификатов.

[vanyas]

А во времена let’s encrypt ещё кто-то покупает сертификаты для сайтов? (кроме тех кому нужны EV разумеется)

[Loggus66]

Есть заказчики, которым не нравится такой же сертификат, как на фишинговых доменах.

[dartraiden]

А протокол, как на фишинговых доменах, им нравится?

[Loggus66]

Никуда не деться, хотя некоторые сайты, внедряя расширения ГОСТ, стараются отдалиться и от этого.