Комментарии 111
Городские службы сообщили о новых защищённых тротуарах. Теперь машины никак не смогут выехать на него и сбить пешеходов. Но вскоре жители города начали жаловаться. Они идут по такому тротуару и при невнимательности попадают не домой/на работу/к знакомым, а в гоп-район, где у них забирают бумажник. Эксперты безопасности пешеходов в срочном порядке требуют прекратить улучшение тротуаров.
Не вижу никакой проблемы Let's Encrypt, если у тебя есть домен, ты подтвердил, что домен твой, ты хочешь получить для него сертификат, ты получаешь для него сертификат. А какое название домена и для каких целей он используется, мне кажется это не совсем проблема компании выдающей сертификаты, их проблема обеспечить владельца домена сертификатом чтоб защитить трафик до клиента.
Проблема не в Let's Encrypt, а в том, что у большинства пользователей при виде зелёного цвета и надписи «Secure» или «Безопасно» складывается впечатление, что сайт надёжный и ему можно доверять.
Никогда такого не было и вот опять.
Сколько сил и ораторского мастерства было потрачено на то, что бы заставить таки юзера смотреть в адресную строку и хотя бы пытаться осознать, что он там видит и упс. Всё пошло прахом.
Ну да. А ещё можно нарисовать надпись secure где угодно на странице.
Вот, например:
А если бы поверх этого background была форма ввода пароля?
Вот, например:
А если бы поверх этого background была форма ввода пароля?
Особенно в русской локализации, где Secure перевели «Надежный».
НЛО прилетело и опубликовало эту надпись здесь
Так тут ещё проблема, что я допустим разработал какой нибудь плагин для paypal и часть имени моего сайта для этого плагина содержит paypal, это не запрещено. Домен мой, сертификат я могу без проблем на него получить. Не будут же LE работать ещё и службой морали, что фишинговые сайты делать нельзя и мы вам не выдадим сертификат потому что у вас там цветовая гамма как у PayPal.
Аналогия кстати не самая удачная. И доменное имя регистрировать тоже не проблема, проблема в людях которые не смотрят в адресную строку и думают, что если там написано что-то похожее, значит они там где надо. Центр сертификации не должен брать на себя обязательство суда и решать такие моменты, их задача выдать нужный сертификат нужному человеку, не более.
Аналогия кстати не самая удачная. И доменное имя регистрировать тоже не проблема, проблема в людях которые не смотрят в адресную строку и думают, что если там написано что-то похожее, значит они там где надо. Центр сертификации не должен брать на себя обязательство суда и решать такие моменты, их задача выдать нужный сертификат нужному человеку, не более.
НЛО прилетело и опубликовало эту надпись здесь
Проблема решается значительно проще, при этом особо не задумываясь: автозаполнение паролей из keepass/lastpass и прочих. Плагин автоматически отсеет визуально похожие домены
А может и запрещено.
Тогда вопросы должны быть к регистратору домена.
Ну регистратор домена тоже не панацея, так как зарегистрировав домен example.com никто не запретит создать paypal.example.com, что я так понимаю и произошло, тут уже DNS записи, не более. Так что найти крайнего сложно, да и по хорошему крайнего нету, домен зарегистрирован согласно правил, сертификат получен так же согласно процедуре. Проблема в контенте, он фишинговый и крайний только создатель. Ну и конечно невнимательный пользователь сам себе виноват, ведь при подключении к интернету никто не обещал защищать пользователя от угроз в интернете, ну а мошенничество это в полицию, только по факту.
В оригинале речь как бы о том, что было выдано 15270 (опечатка) сертификатов:
а не сертификатов для 15270 доменов:
Скорее всего, не учитывается и тот факт. что сертификаты выдаются сроком на три месяца. То есть реальное количество доменов в ~5 раз меньше заявленного.
Between January 1st, 2016 and March 6th, 2017, Let’s Encrypt has issued a total of 15,270 SSL certificates containing the word “PayPal.”
а не сертификатов для 15270 доменов:
Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии
Скорее всего, не учитывается и тот факт. что сертификаты выдаются сроком на три месяца. То есть реальное количество доменов в ~5 раз меньше заявленного.
В данном случае нет. Если сайт стал «небезопасный» через 2 дня, то продление сертификата маловероятно.
В этом смысле ваше уточнение про сертификаты верно, а про 5 раз — выдумано и скорее всего ложно.
В этом смысле ваше уточнение про сертификаты верно, а про 5 раз — выдумано и скорее всего ложно.
НЛО прилетело и опубликовало эту надпись здесь
Проблема решается элементарно на уровне браузеров:
— незащищенные соединения обозначать желтым и текстом (не опасно, но будьте внимательны)
— защищенные — серым (обычное соединение)
— защищенные с подтвержденным владельцем — зеленым (в случае чего, известно кого привлекать к ответственности).
Сертификаты центров, доверие к которым подорвано (случаи недостоверности владельца) — серым независимо от типа сертификата.
— незащищенные соединения обозначать желтым и текстом (не опасно, но будьте внимательны)
— защищенные — серым (обычное соединение)
— защищенные с подтвержденным владельцем — зеленым (в случае чего, известно кого привлекать к ответственности).
Сертификаты центров, доверие к которым подорвано (случаи недостоверности владельца) — серым независимо от типа сертификата.
Вот из-за наличия подобных людей в политике и возникают проблемы.
Можно подробнее?
Мозила уже сейчас в полях формы, которая будет передана по незащищенному соединению показывает предупреждение о том, что передача данных не безопасна.
Мозила уже сейчас в полях формы, которая будет передана по незащищенному соединению показывает предупреждение о том, что передача данных не безопасна.
Может слишком радикально? ОК, как вам такое решение #comment_9967672
Простите, а каким образом http over vpn является незащищённым? И не надо мне рассказывать, что это редкий случай. Если безопасность вынесена на транспортный уровень, она от этого не становится меньше.
НЛО прилетело и опубликовало эту надпись здесь
Разумеется, напрямую к серверу. Два loopback'а как-нибудь про безопасность договорятся.
«Ну да, это дичайше редкий случай. „
Хорошо настроенная система работает из дефолтов даже в “дичайших случаях». Именно потому все *S/sec протоколы — не от мира сего. Вместо того, чтобы предоставлять механизм, они начинают форсить полиси.
Я vpn'у с http доверяю больше, чем ssl'ю с сертификатом от CA, потому что этому CA надо доверять, а кому он там чего понавыписывает — я этого контролировать не могу. И сам CA иногда тоже.
«Ну да, это дичайше редкий случай. „
Хорошо настроенная система работает из дефолтов даже в “дичайших случаях». Именно потому все *S/sec протоколы — не от мира сего. Вместо того, чтобы предоставлять механизм, они начинают форсить полиси.
Я vpn'у с http доверяю больше, чем ssl'ю с сертификатом от CA, потому что этому CA надо доверять, а кому он там чего понавыписывает — я этого контролировать не могу. И сам CA иногда тоже.
Полным. По пути от VPN до сервера ваши данные всё равно уязвимы, если вы конечно не подключаетесь напрямую к серверу.
Только вот VPN все же изначально для доступа в корпоративную или еще какую сеть а не для обхода цензуры.
Моя домашняя сеть например. 2 внешних IP, несколько серверов внутри сети. К части — нужен доступ посторонних (сервисов и людей), в том числе и по https. настроен nginx в режиме reverse proxy и Let's Encrypt для всех сразу имен. К части серверов (работающих по http) доступ посторонних не нужен а заставить их работать нормально с https и reverse proxy либо затруднительно, хотя и возможно либо просто не возможно. Только вот нужен доступ с мобильных устройств в том числе и при работе через сотовый интернет. Самым простым решением оказалось таки настроить всем кому этот доступ нужен — VPN на мобильных устройствах.
Сегодня Яндекс'ы отписались:
О чем я и писал выше. Это не проблема бесплатных автоматически выдаваемых сертификатов, которые лишь позволяют любому желающему использовать https, и таким образом защитить посетителей своего сайта от перехвата передаваемых данных. Это проблема того, как браузеры трактуют наличие сертификата. Должно быть две линии обороны (или даже больше) — «защищено от перехвата» и «этому сайту можно доверять».
Просто надо DV-сертификаты подсвечивать жёлтым, как когда-то давно любое шифрованное соединение, а зелёный оставить для EV.
Хорошая попытка. Вы не в компании, продающей сертификаты работаете, случайно? :)
просто нужно закончить эти игры с автоматически генерируемыми сертификатами однодневками и вернуть поддержку startssl. смех только, 90 дней срок действия.
Ололо, сами занимайтесь сексом со startssl.
смех только, 90 дней срок действия.
А какая разница, сколько срок действия, если их скрипт по крону обновляет?
Так если не хотите — не играйте. На Let's Encrypt свет клином не сошёлся, любые прежние службы сертификации вам с удовольствием что-нибудь продадут под ваши цели.
Очевидно не любые, даже более того, обещали не трогать, но подрезали. пока я вижу старательный форсинг LE, в том числе и тут. Одновременно с этим на днях видел на сайте платныйопрос.ру истекший вчерашним днем LE сертификат. То ли хваленое автоматическое продление не сработало, то ли что-то еще пошло не так…
"Подрезали" — вы про это https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html, что ли? Так там, вроде, всё по существу написано.
Форсинг — ну так почему бы не пофорсить классный ресурс, подходящий под нужды 95% людей? А если ваши вкусы специфичны ваши задачи не закрываются предложением LE — на рынке куча других предложений.
Я с месяц назад тоже столкнулся с ситуацией, когда на одном из сайтов не продлился сертификат LE. Криворукость админов, забывших добавить задачу в крон, никто не отменял. На моих серверах всё отлично продлевается с первой попытки.
Давайте конкретизируем: есть сервер kerio connect (mail), то есть необходимо юзать сертификат не только на 443, но и на кучу других портов. Я уверен, есть еще с полсотни всевозможных продуктов, появившихся задолго до LE и его не учитывающих.
Что мы имеем? Вместо того, чтобы просто отрекламировать LE, режут конкурентов. Ну не вижу я варианта nginx'ом проксировать почту. Вообще вижу лишь один вариант, cloudflare, но если честно, не вызывает доверия эта ненадежность…
Что мы имеем? Вместо того, чтобы просто отрекламировать LE, режут конкурентов. Ну не вижу я варианта nginx'ом проксировать почту. Вообще вижу лишь один вариант, cloudflare, но если честно, не вызывает доверия эта ненадежность…
Вы то ли комментарием ошиблись, то ли у вас просто фантазия богатая. WoSign и StartCom заблокировали бы, даже если бы не было никакого Let's Encrypt. И это всё ещё не мешает вам купить сертификат у адекватного поставщика.
Ваши голословные утверждения про Cloudflare вообще не комментирую :)
Я думаю, что обошлось бы, во всяком случае тех, кто регистрировал до указанной даты. Так официально и объявили. Но позже передумали, как показала практика. Особо никто не возмущается, раз есть LE.
Что касается «голословных» утверждений, мне пришлось потратить около получаса, чтобы найти и поменять все пароли после их последнего мелкого косячка на сайтах, которые через них работают. Еще хорошо, что я новости тут читаю. Мог быть и не в курсе. Так что лишний ненадежный элемент тоже заставляет задуматься. Или такие факторы, как косяки хостеров/интеграторов можно не брать в расчет?
Что касается «голословных» утверждений, мне пришлось потратить около получаса, чтобы найти и поменять все пароли после их последнего мелкого косячка на сайтах, которые через них работают. Еще хорошо, что я новости тут читаю. Мог быть и не в курсе. Так что лишний ненадежный элемент тоже заставляет задуматься. Или такие факторы, как косяки хостеров/интеграторов можно не брать в расчет?
"In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs." — не "позже передумали", а "сразу написали".
По Cloudflare: с вами связались, сказали, что вас это задело? Вроде как они писали, что именно так и поступят. Или вы просто раздули из мухи слона?
Странно, я читал именно в том ключе, что старые пусть живут. В общем гугл опять со своими инициативами все портит.
По cloudflare: я их использую только в качестве dns. Так что нет, не задело (как владельца сайтов), но задело, как пользователя крупных проектов, которые гонят через них траф, там и пришлось менять пароли. Мелочь? Но я мог бы об этом не узнать или быть в роуминге в другой стране
По cloudflare: я их использую только в качестве dns. Так что нет, не задело (как владельца сайтов), но задело, как пользователя крупных проектов, которые гонят через них траф, там и пришлось менять пароли. Мелочь? Но я мог бы об этом не узнать или быть в роуминге в другой стране
Желтый для сертификата — слишком настораживает, и получается, что это более опасно, чем нейтральный серый при его отсутствии. Лучше синим.
Всё это уже было в симпсонах
Скрытый текст
Просто показывать серый замочек для сертификатов от Let's Encrypt и прочих непроверенных.
Secure изменить на Encrypted и всё.
С этим форсингом LE (безусловно, сам по себе проект неплох) доходит до смешного: есть сайт, где стоит старый startssl сертификат) выпущенный до всей этой истории, однако в последней версии хрома адрес красный. При этом ошибка якобы в том, что недействительный центр сертификации. Я очень рад за тех недальновидных разработчиков браузера, которые сделали одинаково выглядящей mitm атаку со стороны хакера, выпустившего сертификат на коленке, и корректную работу устраивающего всех сертификата. Как теперь догадаться о том, все ли ок с сайтом? Правильно, никак…
Для тех, кто считает, что самый умный и предложит перейти на Lets Encypt: к сожалению в текущем случае это невозможно, так как указанный сервер не использует nginx и apache, там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду. Использовать nginx для проксирования тоже смысла мало, так как сертификат используется и для почты тоже.
Безусловно, идея о переходе на ssl правильная, но такое внедрение ее дискредитирует, мы теряем в безопасности, так как с точки зрения неподготовленного пользователя действительный сертификат и поддельный выглядят одинаково
Для тех, кто считает, что самый умный и предложит перейти на Lets Encypt: к сожалению в текущем случае это невозможно, так как указанный сервер не использует nginx и apache, там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду. Использовать nginx для проксирования тоже смысла мало, так как сертификат используется и для почты тоже.
Безусловно, идея о переходе на ssl правильная, но такое внедрение ее дискредитирует, мы теряем в безопасности, так как с точки зрения неподготовленного пользователя действительный сертификат и поддельный выглядят одинаково
При этом ошибка якобы в том, что недействительный центр сертификации.
Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.
там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду.
Купили проприетарное решение с загрузкой через задницу? Теперь купите и проприетарный сертификат, ибо любитель проприетарщины должен страдать.
Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.
Что вы таки говорите? На лисе вполне действительный, в грозоптице и стоковом клиенте андроид-тоже. К тому же речь шла о том, что сертификаты, выданные до определенной даты, будут работать. В результате обманули
Купили проприетарное решение с загрузкой через задницу?
Сертификаты, оплату, прописывание ключей/токенов можно делать и руками. В некоторых случаях лучше делать и руками. И нет, совсем не сложно раз в год загрузить файл, это делается очень быстро и просто, хоть с телефона.
ибо любитель проприетарщины должен страдать.
То есть любитель Lets Encrypt не страдает? Если для вас являются нормой следующие моменты, то вы знаете о страдании все:
1. перезапуск для применения нового сертификата
2. непонятная мутота в кроне с рутовыми правами на боевом сервере
3. вообще зависимость работоспособности своего сайта от того, удастся ли этому крону получить сертификат по независящим от нас причинам
4. в случае, если процесс пошел не так, нужно вешать оповещение, подрываться и получать самому
Нравится автоматизация? Ради бога, но сделайте ее нормально совместимой со всеми решениями, как у Cloudflare, не умеете-сделайте нормальный срок действия и не осложняйте жизнь другим.
пы.сы. дикая проприетарщина выбрана за функционал, который может быть заменен или другой проприетарщиной, или сторонними облачными решениями, котором особо почту доверять не хочется.
непонятная мутота в кроне с рутовыми правами
Спецификации протокола открыты, клиенты тоже, идёте на гитхаб и читаете исходники перед применением, или пишете своё, если паранойя замучала. Можете даже написать свой клиент (или обёртку для существующего), который будет автоматически логиниться в вебморду проприетарщины и обновлять там сертификаты.
в случае, если процесс пошел не так, нужно вешать оповещение
Не нужно, оповещение об истекающем сроке действия сертификатов приходит на почту, указанную при регистрации аккаунта при первом запуске клиента.
НЛО прилетело и опубликовало эту надпись здесь
Nginx достаточно reload.
Увы, все разнообразие серверов (и не только web) не исчерпываются nginx
Ставьте понятную прозрачность, тысячи их.
Я называю это костылями, левые сущности для достижения той же цели
Работоспособность сайта сейчас зависит от многих вещей, увы.
Длинное ttl в dns, отсутствие внешних ресурсов, дублирующие инстансы — вот уже и нет большей части проблем. Но вот если сертификат скачивается с ресурса, который могут задосить/сломать/заблокировать/сам он глюкнет, это все очень грустно. Помню проблему с jquery и знаю, что делаю правильно, используя все локально.
С другой стороны использование стороннего сервиса типо CF так же создает новую сущность, которая, как показывает практика, может глюкнуть.
НЛО прилетело и опубликовало эту надпись здесь
Вы можете термиировать SSL, и проксировать трафик дальше, и использовать для этого тот же ngnix, если ваш сервер требует перезагрузки для смены сертификата и она, при этом, не допустима. Кстати, smtp он тоже умеет. Но на почте перезагрузка и не проблема, в общем-то.
По поводу надёжности и локальности — у вас очень много времени на то, чтобы перевыпустить сертификат. Если даже сутки/двое/трое будет лежать LE, никакой проблемы не будет, если не пытаться выпустить сертификат в последние минуты срока действия предыдущего. Это не стоит сравнивать с доступностью CDN какого-то jQuery — сертификат у вас, как раз, локален…
По поводу надёжности и локальности — у вас очень много времени на то, чтобы перевыпустить сертификат. Если даже сутки/двое/трое будет лежать LE, никакой проблемы не будет, если не пытаться выпустить сертификат в последние минуты срока действия предыдущего. Это не стоит сравнивать с доступностью CDN какого-то jQuery — сертификат у вас, как раз, локален…
nginx будет проксировать соединения pop/imap/smtp и по другим не web портам?
в этом и сложность решения, поставить для вебморды можно, но нет смысла возиться, если для остального это не поможет
в этом и сложность решения, поставить для вебморды можно, но нет смысла возиться, если для остального это не поможет
НЛО прилетело и опубликовало эту надпись здесь
перезапуск для применения нового сертификата
Раз в три месяца? Не проблема.
непонятная мутота в кроне с рутовыми правами на боевом сервере
Запускайте под chroot или вовсе под виртуальной машиной.
удастся ли этому крону получить сертификат
Скрипт пытается получить сертификат каждый день за месяц до истечения срока.
в случае, если процесс пошел не так
Если процесс «идет не так» две недели подряд, то стоит посмотреть, почему он «идет не так». Предположу, что LE тут ни при чем.
не умеете-сделайте нормальный срок действия
Это пожелание вы можете написать на форумах Let's Encrypt, где регулярно отмечаются разработчики.
> непонятная мутота в кроне с рутовыми правами на боевом сервере
Уже давно нет. Для корректной работы certbot достаточно запускать его под самым урезанным юзером, который должен иметь права на запись в единственную папку (как правило называется .well-known) в document_root. Проставить симлинки на сертификаты или запилить тупой скрипт копирования по крону можно и руками единоразово.
Уже давно нет. Для корректной работы certbot достаточно запускать его под самым урезанным юзером, который должен иметь права на запись в единственную папку (как правило называется .well-known) в document_root. Проставить симлинки на сертификаты или запилить тупой скрипт копирования по крону можно и руками единоразово.
Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность.Это какие-то некомпетентные специалисты. Зелёный замочек означал и означает ровно одно — что соединение между пользователем и сайтом защищено от прослушивания. Подлинность того, кто там сидит на той стороне, он не подтверждает — для этого существуют EV-сертификаты.
Полностью согласен. Учить народ условному рефлексу на зелёный замочек, а потом массово пропихивать всеобщее шифрование интернета было не дальновидно.
А вообще надо народ не устойчивым стойкам на разные цвета и изображения учить, а собраться всем экспертам гуртом и выработать наконец инструмент, который однозначно классифицирует ресурс как безопасный и инфраструктуру к нему. Пока мы видим только вялое внедрение странных вещей в основном в инициативном порядке.
А вообще надо народ не устойчивым стойкам на разные цвета и изображения учить, а собраться всем экспертам гуртом и выработать наконец инструмент, который однозначно классифицирует ресурс как безопасный и инфраструктуру к нему. Пока мы видим только вялое внедрение странных вещей в основном в инициативном порядке.
Для начала можно было бы просто собрать базу из пары тысяч сайтов (крупных международных + из региона пользователя) банков, магазинов, платёжных систем и писать что-то вроде «Вы на сайте <название организации>».
Если пользователь привыкнет при входе в личный кабинет банка видеть надпись, что всё в порядке, то отсутствие таковой его обеспокоит с куда большей вероятностью, чем лишние буквы в url.
У меня так антивирус делал раньше (360TS), но китайскому поделию доверия всяко меньше.
Если пользователь привыкнет при входе в личный кабинет банка видеть надпись, что всё в порядке, то отсутствие таковой его обеспокоит с куда большей вероятностью, чем лишние буквы в url.
У меня так антивирус делал раньше (360TS), но китайскому поделию доверия всяко меньше.
Захожу на Альфа-Клик — вижу AO Alfa-Bank, захожу на сайт ТКС — вижу Tinkoff Bank AO, в хроме еще и дописывается [RU] в обоих случаях. Захожу на github с paypal'ом — вижу Github, Inc и PayPal, Inc.
Чем это не подходит? Тем что не показывается «Вы на сайте »?
Чем это не подходит? Тем что не показывается «Вы на сайте »?
Захожу на aliexpress, perfectmoney, ЯД, advcash, любую из своих почтовых служб — стандартная зелёная плашка, как и у любого сайта с бесплатным сертификатом.
А вот тут можно сказать спасибо:
- Тем кто не хочет покупать Extended Validation SSL, да — там достаточно серьезные требования
- Тем, кто придумал в браузерах показывать одинаково Domain Validated SSL (то что выдает Let's Encrypt бесплатно и некоторые другие — платно, надо доказать что есть контроль над доменом и все) и Organization Validated SSL (надо не только контроль над доменом но и данные об организации (или частном лице — так тоже можно у Comodo например). Можно было и показывать данные об организации из OV SSL (пусть с каким то другим цветом), все равно они проверены, пусть менее надежно.
Ну допустим, кто виноват — понятно. Остаётся вопрос — что делать. Иными словами — кто теперь позаботиться о пользователях?
Никто и все понемногу. В том смысле, что это проблема пользователей. Но ради привлечения большей аудитории постепенно все крупные компании получат EV. Меня вот куда больше напрягает, что письма от Aliexpress не шифруются. Во-первых, потому что они содержат приватные данные, а во-вторых, это показывает насколько Ali плевать на пользователей вообще.
Эту случится не раньше, чем значимое количество пользователей начнёт обращать на эту деталь внимание. А это в свою очередь произойдёт не ранее, чем подобную технологию внедрят большинство сайтов. Замкнутый круг.
Если только кто-то вроде гугла не вмешается в ситуацию кардинально, например, начав ранжировать сайты использующие EV-сертификаты выше прочих.
Если только кто-то вроде гугла не вмешается в ситуацию кардинально, например, начав ранжировать сайты использующие EV-сертификаты выше прочих.
А как можно письма шифровать? — нет же массово-поддерживаемого стандарта на этот счёт.
НЛО прилетело и опубликовало эту надпись здесь
Имелась в виду валидация на уровне браузера. Как списки фишинговых сайтов, только наоборот.
Видимо недостаточно, раз проблема имеет место быть.
Спасибо, но сертификаты с валидацией организации уже есть и их достаточно.
Видимо недостаточно, раз проблема имеет место быть.
НЛО прилетело и опубликовало эту надпись здесь
Да-да, я помню про народ выбирающий между свободой и безопасностью. Но меня, как пользователя, всё же несколько больше беспокоят злонамеренные манипуляции хакеров в отношении меня, нежели таковые между какими-то сторонними компаниями.
Тем более что я не особо верю, что на выбор пользователя так легко повлиять. Грубо говоря — разве сейчас много людей, которые выбираю банк и почтовый клиент по тому, как выглядит полоска слева от адреса? Существует миллион куда более значимых факторов. Оттого и не спешат все поголовно получать соответствующие сертификаты.
Тем более что я не особо верю, что на выбор пользователя так легко повлиять. Грубо говоря — разве сейчас много людей, которые выбираю банк и почтовый клиент по тому, как выглядит полоска слева от адреса? Существует миллион куда более значимых факторов. Оттого и не спешат все поголовно получать соответствующие сертификаты.
del
Согласитесь, проще раз в год закинуть сертификат руками. дел на 1 минуту ровно?
Открытые исходники ни разу не признак безопасности, доказано на примере openssl, а я все же скорее администратор, нежели гуру разработки, так что найти баг или закладку вряд ли смогу
Открытые исходники ни разу не признак безопасности, доказано на примере openssl, а я все же скорее администратор, нежели гуру разработки, так что найти баг или закладку вряд ли смогу
дел на 1 минуту ровно?
StartSSL:
- Залезть на сайт
- Протыкать кучу формочек
- Дождаться прихода письма на почту из хуиза
- Вбить полученные одноразовые токены в очередную формочку
- Дождаться, пока сервер раздуплится и признает, что домен таки подтверждён
- Повторить предыдущие 4 пункта для каждого домена 2 уровня
- Сгенерить ручками CSR (мы ведь не будем доверять чужому серверу генерить нам приватный ключ?)
- Протыкать ещё кучу формочек для того, чтоб засунуть в них этот CSR и получить на него сертификат
- Залить полученный сертификат на сервер
- Повторить предыдущие 3 пункта для каждого поддомена, ибо больше одного alt name на сертификат startssl не даёт, а wildcard только за деньги
- Вспомнить об этом через год
Let's Encrypt:
- sudo acmetool want <список доменов через пробел>
- Дождаться автоматической проверки
- Забыть, потому что задача для крона уже создана автоматически и будет перевыпускать сертификаты, пока не надоест.
Да вот виноваты больше браузеры, чем сертификаты. Как так можно, пушистому юзверю показывать знак "Всё, ок, секьюре"?
Я бы вообще эту информацию убрал куда-то к попапу в техническую информацию о соединении. Люди привыкли к зеленому — зеленый свет == "выход, путь свободен, езжай, иди, травка — жуй". А здесь зеленый, но не безопасно. Спросите обычного пользователя (маму/папу/деда), что такое сертификат, что такое ssl. Думаю мало кто внятно ответит. А вот зеленый свет в баре — это и ежу понятно.
Вы когда дорогу переходите на зеленый «пешеходный» по сторонам не смотрите?
Представьте, что на перекрестке установлен зеленый светофор с человечком, но включается он, когда машины едут с разрешенной скоростью(выполняется одно из правил пдд). А глядя по сторонам Вы как не профессиональный водитель не можете определить, едет машина или стоит на месте(Факт наличия машины видно, но вот понять ее динамику невозможно).
Тоже самое и в сети для простого смертного — канал защищен, т.е. одно из условий безопасной работы. В адресной строке где-то есть название интересующего сайта, но где оно расположено и как влияет на работу, неспециалисту понять трудно.
А значок всегда лукаво кричит "Да не парься бро, всё секьюред! Ты в безопасности. А иначе зачем бы мы раскрашивали замочек в зелененький" :)
ps: лично на меня комбинация иконки замка, надписи и зеленого цвета именно так влияет.
Вы спросите некоторых пользователей habrahabr, что такое «сертификат» и «SSL». Лично я пару лет назад об этом имел очень небольшие знания, только эти уведомления Хрома о том, что «эта форма небезопасна» мотивировала как-то изучить тему и настроить LE
еще бы адресную строку развернуть, чтобы
https://www.paypal.notification.bla-bla-bla.fishing.com/ выглядел как
https://com.fishing.bla-bla-bla.notification.paypal.www/
тогда львиная доля фишинговый сайтов сразу превращается в «тыкву»
https://www.paypal.notification.bla-bla-bla.fishing.com/ выглядел как
https://com.fishing.bla-bla-bla.notification.paypal.www/
тогда львиная доля фишинговый сайтов сразу превращается в «тыкву»
Всё куда проще, достаточно пользователю при первом заходе на сайт в браузере добавить его в «доверенные».
При открытии доверенного сайта адресная строка браузера должна иметь другой цвет. После этого на конкретном устройстве проблема подмены адреса будет решена.
При открытии доверенного сайта адресная строка браузера должна иметь другой цвет. После этого на конкретном устройстве проблема подмены адреса будет решена.
Вы сейчас описали почти то, что происходит у нас в браузере. Это помогает, но этого мало.
https://habrastorage.org/files/f80/511/b53/f80511b5319b4c0e93c8f9989e718202.png
https://habrastorage.org/files/f80/511/b53/f80511b5319b4c0e93c8f9989e718202.png
Мне и вам проще, так как мы обладаем квалификацией и знаниями.
Более того, обладая этими знаниями, нам (мне) становится это не нужно, так как зная об этом, проверяю ссылки, когда ввожу критичную информацию вроде паролей, кредитной карты или паспортных данных.
Для «домохозяек» это не проще и не очевидно, и не понятно. Пользователи ориентируются на простые вербальные знаки в интерфейсе.
Разработчики знают и понимают проблему (в данном случае фишинга), имеют инструменты, чтобы на нее повлиять. И могут сделать, чтобы пользователям было понятнее и чуть безопаснее, при условии, что смогут договорится о форматах, протоколах и интерфейсах(
Традиция писать адрес в том порядке, который есть сейчас восходит к заре интернета, которая в свою очередь опирается на западную модель написания адресов на конвертах.
На конвертах (в материальном мире) это работает, в информационной среде это тоже работает, но люди научились эксплуатировать это в своих корыстных целях.
А ломать устоявшуюся традицию сложно(
Более того, обладая этими знаниями, нам (мне) становится это не нужно, так как зная об этом, проверяю ссылки, когда ввожу критичную информацию вроде паролей, кредитной карты или паспортных данных.
Для «домохозяек» это не проще и не очевидно, и не понятно. Пользователи ориентируются на простые вербальные знаки в интерфейсе.
Разработчики знают и понимают проблему (в данном случае фишинга), имеют инструменты, чтобы на нее повлиять. И могут сделать, чтобы пользователям было понятнее и чуть безопаснее, при условии, что смогут договорится о форматах, протоколах и интерфейсах(
Традиция писать адрес в том порядке, который есть сейчас восходит к заре интернета, которая в свою очередь опирается на западную модель написания адресов на конвертах.
На конвертах (в материальном мире) это работает, в информационной среде это тоже работает, но люди научились эксплуатировать это в своих корыстных целях.
А ломать устоявшуюся традицию сложно(
Хорошая идея для плагина фокса или хрома.
В опере (по крайней мере раньше), хроме и огнелисе самый верхний уровень домена подсвечен, в адресной строке видно fishing.com, а остальное серым. Но это не спасает от сайтов типа paypai.tk или подобного. Можно на обычные шифрованые сайты показывать значок замка (монохром, НЕ зеленым), а именные сертификаты галочкой, типа владелец подтвержден. Злоумышленники могут, конечно, и именной сертификат получить, но вряд ли они будут это делать. База доверенных сайтов — идея хорошая, но затратная
Нарисуют на некоего Васю, выложившего в интернет свой паспорт 100500 проверенных сертификатов… Или купят в виде услуги у некоего Пети, который за 1 дозу наркотика (еды, водки) готов душу продать.
Но это не спасает от сайтов типа paypai.tk или подобного.
Почему не спасает? Если человек не способен отличить paypai.tk от paypal.com — то это, все же, проблема его зрения.
Вообще, чтобы чем-то пользоваться, нужно это что-то понимать. Ни Paypal, ни LE, ни еще кто-то не виноват, если человек зашел на сайт, похожий на известный, и ввел там свои учетные данные от этого, известного сайта.
Кстати, хранение пароля в браузере (под мастер-паролем, конечно) — помогает. Пароль не будет авто-вписан на сайте с левого домена, что также должно насторожить. По идее.
Но с дураком, как известно, бороться бесполезно.
Мне тоже нравится, что хром и огнелис подсвечивают домен верхнего уровня.
Это действительно хорошая практика.
В своем комментарии я лишь отметил, что разворот адреса мог бы решить львиную долю проблемы, но не решить ее полностью.
Согласитесь, что проще спутать paypai.tk с paypal.com, чем tk.paypai c com.paypal
При этом доменов, сходных до смешения с com.paypal остаются считанные единица (paypal при желании может выкупить их все), в отличии от того ада, что дают домены 3-4 уровня в схеме www.paypal.notification.bla-bla-bla.fishing.com
Это действительно хорошая практика.
В своем комментарии я лишь отметил, что разворот адреса мог бы решить львиную долю проблемы, но не решить ее полностью.
Согласитесь, что проще спутать paypai.tk с paypal.com, чем tk.paypai c com.paypal
При этом доменов, сходных до смешения с com.paypal остаются считанные единица (paypal при желании может выкупить их все), в отличии от того ада, что дают домены 3-4 уровня в схеме www.paypal.notification.bla-bla-bla.fishing.com
Говорим о безопасности тех, кто не в состоянии освоить простейшие правила? Окей, но только кому это нужнее? Компании, которая занимается выдачей сертификатов безопасности, или производителям бразуеров? Тот же яндекс давно внедрил https://yandex.ru/support/yabrowser/security/protection.xml?lang=ru целый комплекс решений. Так пусть в браузере и реализуется защитный функционал, пусть браузер сам говорит, что «вот этот вот paypal поддельный, вы хотите продолжить?»
Поделюсь своим методом отсеивания фишинга: Браузер Хром оригинал от Гугла, синхронизация включена, автозаполнение и сохранение паролей включено. Регистрируюсь в платёжной системе, сохраняю пароль. После входа меняю пароль, но браузеру актуализировать его не разрешаю. Теперь, при переходе на сайт платёжной системы браузер распознаёт, что сайт соответствует сохранённым данным, те есть является оригинальным, и заполняет поля с использованием старого неправильного пароля. Я ввожу правильный пароль, отказываюсь от попоытки браузера его актуализировать, пользуюсь системой, выхожу. Неправильный сохранённый пароль, сохраннный в браузере — дополнительная защита. Если какой-то сайт пытается выдать себя за данную платёжную систему, браузер его не опознает как оригинальный, и поля логина заполнять не будет. Фишинг детекед, все счастливы. Если этот метод — глупость, рад буду узнать, почему.
Браузер так и так не распознает его как оригинальный, ну. Ваш метод похож на глупость сущую.
Ждем блока летсэнкрипта в новом хроме…
С фишингом не https сертификаты должны бороться, а некий web of trust. Когда пользователь может скачать у крупных поставщиков список доверенных и недоверенных доменов (удостоверение стоит денег), ну или, конечно, вручную указать степень доверия конкретному сайту.
+1 за предложение развернуть доменные имена в естественном порядке.
+1 за предложение развернуть доменные имена в естественном порядке.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal