A proč tedy živě nemá https?? Alespoň pro diskuze.........
Jste mi připomněli, že mi teď expiroval certifikat na exchange serveru. Jsem ho koupit.
me tohle prijde jako o pokus si postavit vlastni CA pomoci viralu. - provoz CA neni levny, vyzaduje kvalifikovanou obsluhu a hw. neni mi jasne jak to chcou financovat - samotna CA nezajisti bezpecnost. - to ze se nezobrazuje hlaseni o certifikatu znamena co. Ze dodavatel systemu pridal roo tcertifikat dane CA. Nic to nerika o duveryhodnosti dane CA... vlastne podepsany certifikat muze mit jednodusse vyssi uroven duvery...
V prvom rade je treba zabit IPv4 a nahradit ho IPv6.
To nemá žádný reálný dopad na téma o které se bavíme, tedy na zvýšení zabezpečení komunikace.
Ale má.. Co vím, tak většina hosting providerů nemá pořešený to, že chcete SSL na svojí doménu. Jde o to, že k tomu, aby to bylo možné, je nutné mít vlastní přiřazenou IP k doméně. Poté lze bez problémů nasadit SSL certifikát. V opačném případě web server má v tomto trochu problém. Samozřejmě existuje mnoho řešení, ale jak jsem psal, jde o to, že někteří to v základu nemají pořešený.Proto zbavit se IPv4 vidím také jako primární cíl, který se začal řešit, ale nedořešil se, resp. stále se řeší, ale málo. S IPv6 už tento problém odpadá, dostanete svojí IP a neřeší se limity...
Není nezbytné mít vlastní IP k doméně. Samozřejmě může být i sdílená IP pro celý hosting - certifikát se vydává na jméno a těch může být v DNS k jedné IP libovolné množství jako aliasy.Viděl bych spíš jiný důvod k IPv6 v této souvislosti a to ten, že IPv6 nativně používá IPSec a tím pádem SSL už není tak nezbytné.
Pomalý nástup ovšem ovlivňuje i fakt, že https nefunguje dobře z hostingových servererů hostujících víc domén na klienta používající starší prohlížeč v kombinaci se starším systémem pokud je jako TLS použito SNI ... i když to neni ompuva pro velké projekty.
starsi system, starsi prohlizec... Jasne, proc nebereme ohledy i trebas na Win95 a IE3.0, je to jen 18 let stary system, prece kdyz uz podporujeme 13let stare XP...
Na Windows 95 s IE 3 nebereme ohledy protože ho bude používat tak zlomek promile uživatelů. U WindowsXP se do problému dostane mnohem víc lidí. To je snad jasné.A druhá věc je že pokud lidem nebudou stránky fungovat tak část si pořídí nový prohlížeč, ale část si najde jiné stránky které půjdou. A právě to jsou zákazníci (komodita v případě reklamy) o které se provozovatelé bojí. Tak že snaha provozovatelů je poskytnout maximální kompatibilitu. Asi jen velmi málo (třeba) internetových obchodů si řekne že nemá zájem o zákazníka s WindowsXP.
To uz bezi anketa o IT blabol roku ?1. HTTPS sam o sobe nezvysuje bezpecnost. Nejde o to sifrovat zasilana data, ale o to, jaka data a komu zasilam.Sifrovani prenosu samo by slo naprogramovat uvnitr (java, javascript ...)2. Certifikaty jednoznacne identifikuji drzitele - to je hlavni a nosna myslenka. Cili bezpecne vim, ze jsem na strankach mbank, a proto zadavam heslo a udaje do mbank. Diky sifrovani ta data nikdo "po ceste" neprecte,a ani nikdo po ceste nebude schopen spustit transp. proxy s vlastnim certifikatem, ktery by se tvaril jako "mbank"3. Ze by se jen pustenim prikazu z commandline podle predaneho host/domain name vygeneroval nekde nekym podepsany a tudiz DUVERYHODNY certifikat, je totoal hovadina. To by naopak zabilo veskerou bezpecnostTo, ze si myslite, ze komunikujete s nekym jinym na zaklade toho, ze vidite zabezpecenou komunikaci a certifikat, a neni tomu tak, je vetsi problem, nez kdyz vite, ze komunikace neni sifrovana a na druhe strane muze byt kdokoliv.Protoze pak si sakra rozmyslite zadavat sve citlive udaje.Za CA se plati, protoze musite nejak dolozit/overit, ze jste, za koho se vydavate, a CA je pak zodpovedna za to,ze Vasi identitu overila. To je narocne na administrativu. Rovnez vlastni provoz CA pak musi splnovat vysoke naroky na zabezpeceni a dorzovani postupu, jinak se certifikat CA zneplatni a tudiz jim podepsane certifikaty jsou bezcenne.Pokud toto nekdo dostatecne kvalitne a duveryhodne nabidne zdarma, pak to vitam. Pokud pak ale vystavi certifikat jen na zaklade "# lets-encrypt example.com", pak ze sveho browseru radeji rucne smazu certifikaty vsech CA a budu si tam rucne pridavat jen certifikaty serveru, jimz verim a od jejichz zamestnancu jsem si na kamenne pobocce firmy certifikat vyzvedl.Prave proto vznikly CA, abych to delat nemusel /nekam chodit a vyzvedavat si/. A proto nejde JEN na zaklade "lets-encrypt" vystavit certifikat.
Takze mi chces tvrdit, ze dana spolecnost si tohle neuvedomila, skript neobsahuje sifrovany "tunel" na jejich CA, kteremu preda potrebne informace s tim ze nasledne od nej ziska overeny certifikat a ze je to prachsprosty selfsigncert generator? Myslim, ze tusis, ze tak to nebude... snad...
rozdil mezi selfcertsign a regulerni CA je v tom, ze CA musi mit organizacni strukturu, ktera pokryje vsechny procedury...je to vice o processes, nez o technickem provedeni.
Co takhle překonat lenost a na těch stránkách si zjistit, jak to přesně funguje?Nebo si fakt myslíš, že jsou lidi z Mozilly banda tupců?Link pro přechytralé lenochy: https://letsencrypt.org/howitworks/technology/...
Ech, zrovna příklad s mbank byl dost špatný. Schválně si zkus zajít na https://www.mbank.cz/.... Cannot find server. Svou hlavní stránku mbank prostě není ochotna šifrovat.
Co viem, tak zakladne SSL certifikaty (a nielen tie) uz dlhu dobu dava zadarmo sluzba startssl. Takze nic nove pod slnkom. Mozno keby davali wildcard certifikat na vsetky subdomeny...
https://raim.codingfarm.de/blog/2014/04/12/distrusti... ...
Tak neviem, z toho blogu mi to pride, ze jedine co sa tomu jedincovi nepaci je spoplatnene revokovanie certifikatov. Co ja za taky velky problem nepovazujem, ked mozem usetrit nejakych 100E rocne. Samozrejme, ze StartSSL asi nie je vhodny na zabezpecenie nejakych velkych projektov, ale na to, aby som si dal na moju osobnu stranku/blog/forum/... SSL certifikat je to uplne dostacujuce.
Ja som tam videl 2 veľké problémy.1. tie spomínané revokácie. V súvislosti s Heartbleedom to je dosť zásadné.2. problém je aj to, že sa certifikát dá predĺžiť iba ak ti predošlý vypršal. Čo pre web server dosť blbé, pretože určitú dobu by musel bežať na vypršanom certifikáteAk ty v tomto problém nevidíš, tak OK. Ja v tom problém vidím.
Jo a vetsi potrebni vypoctova sila na servery a tym padem rust nakladu je jen nepodstatna zalezitost ze ano, co se projevi spomalenim stranek, spoplatnenim sluzeb nebo zvysenim poctem reklam. Krom toho SSL stranky maji take sve problemi, prave skrz to sifrovani. Lide mi uz s tou prehnanou ochranou soukromi lezou na nervy.
Názor byl 1× upraven, naposled 20. 11. 2014 10:43
spomalenim?spoplatnenim?problemi?My nerozumět řeči tvůj kmen!
Tak jestli tomuhle nerozumíš, tak si asi ještě méně inteligentní než on. B-]
Vážně jsi tak blbej, že jsi nepochopil, na co reaguji?
😁 lol
Bezva certifikaty zdarma. To ted bude mit kazda podvodna strance certifikat a bude pro mene zkusenejsi uzivatele hure rozpoznatelne, ze to neni ten spravny web.
Méně zkušenějším to bude nejspíš úplně jedno, jen ti co o tom někdy slyšeli si budou muset nastudovat typy certifikátů a co všechno musí vlastník udělat pro ověření.
Já mám certifikát na svém webu taky zdarma:) Jen prohlížeče se děsí a podezřívají https verzi více než http:/ Naprosto nechápu, proč varování před nešifrovaným http chybí, když logicky by mělo být mnohem důraznější než varování před vlastním certifikátem:/
Asi proto, ze self-signed certifikat budi zdani bezpecnosti, ale bezpecny je pouze v konkretnich pripadech uziti. Na "verejny" web nepatri, pac se velmi jednoduse provadi man-in-the-middle utok.
To je samozřejmě pravda, šlo mi spíš o to, že provést Man-in-the-middle útok je ještě snazší přes http, které prohlížeč nevnímá jako hrozbu.
Pokud něco podporuje http i https, tak se na http často dělá redirect na https. Pokud něco běží přes https s neplatným certifikátem, tak je to podezřelé, pokud to jede přes http, tak prohlížeč nemůže vědět, jestli vůbec existuje nějaká verze na https.
To samozřejmě prohlížeč neví, ale i tak by měl uživatele varovat před komunikací v http, která je imho rizkovější, než neplatný certifikát. Neplatný certifikát si zaslouží pozornost uživatele, ale podle mě komunikace přes http si zalouží té pozornosti více.
No a co ten uživatel bude dělat? On přijde na web, kam chodil léta a teď mu to začne psát, že je ten web podezřelý bez nějaké možnosti řešení. U https to prakticky takový problém není, protože ty certifikáty jsou většinou v pořádku (výjimkou je třeba náš firemní intranet, kde většina webů má certifikáty staré nebo vystavené pro jiné jméno 😁Třeba jsem našel atlas.cz/centrum.cz, které zůstanou na http. Existuje i https verze, ale atlas.cz používá certifikát pro centrum, takže to hlásí jako podezřelé.
Kdyby mel kazdy web https, nebyl by problem s nedostatkem ipv4 adres?
Nebyl. Vsechny adresy by byly tak sifrovane, ze by pocitace nevedely, komu ty data posilat 😀Ale ted vazne - kdyz se zasifruji data, pocitace stale znaji sve adresy 😝
Trochu by se to zkomplikovalo. Certifikát obsahuje třeba i více jmen, pro která platí, ale v podstatě každý server (i virtuální) používající SSL, musí mít vlastní IP adresu. Takže ty levnější hostingy, které mají web servery rozlišené jménem, budou potřebovat další IP adresy.Nebo bude pro takové servery potřeba vygenerovat certifikát pokrývající jména všech virtuálních serverů, tj. při každém přidání dalšího udělat nový certifikát.Ale IPv6 adres je dost 🙂
bejvávalo SNI FTW B-]
Proboha... Proc by tobbylo potřeba? 😃
Jde o to, že pokud běží na jedné IP adrese více webových domén, při navazování komunikace se webserverřídí doménovým jménem v požadavku a http požadavek tak odbaví. Tak může být např. na jedné adrese webhostingu tisíc domén.Pokud se ale nejprve navazuje SSL, webový server nemůže vědět, na který z více doménových jmen se klient chce dostat, proto mu může nabídnout jen jeden ssl certifikát. (Http se řeší samozřejmě až po navázání ssl.)V konfiguraci apache tedy buď nějaký defaultní, nebo první z množiny nakonfigurovaných virtualserverů. Pokud klient tedy nejde na tento první, je mu nabídnut certifikát pro jinou doménu a web nebude pro prohlížeč důvěryhodný. Klient musí řešit v prohlížeči nesedící certifikát, musí přidat vyjímku, ptát se podpory proč dostává vadný certifikát, prostě ho to prudí. Tedy pro https platí jeden webserver na jednu IP adresu.
bejvávalo...
Já myslím, že může být víc webů přes https na jedné ip adrese. Ale nemohou být na jednom portu, protože by se nevědělo, pro jaký web má klient dostat certifikát. Ale je fakt, že normální lidi by asi nemuseli chápat, proč mají do url webu dávat ještě čísla portů...
Achjo, uz to tu psal, precti si co je to SNI... Bezne se hostuje spousta webu na jedine IP a jednom portu. Doby, kdy musely mit weby se SSL svou vlastni IP a port jsou nastesti davno pryc, zapadnute v historii vyslouzilych IE&WinXP.
Nebyl. http://en.wikipedia.org/wiki/Server_Name_Indication...
Ano, ale tím odstavíte uživatel IE 6,7,8 s Windows XP. Možná to není úplně špatný přístup - tlačit je i takto,ať alespoň použijí jiný prohlížeč, když už z jakýchkoliv důvodů setrvávají u Win XP.
Zkoušel jsi kombinaci SNI + XP + IE? Tam to bohužel nejde a podíl XP s IE není nejnižší.
Názor byl 1× upraven, naposled 20. 11. 2014 08:41
Tak snad se už lidi toho xindlu zbaví, když jim nepojede žádný web 😀
Uzivatele kombinace XP+IE (coz znamena maximalne IE8) povazuju v soucasnosti za zaskodniky, kterym je vhodny nejen hazet klacky pod nohy, ale idealne je vzit i klackem po hlave. ;)Nic proti XP, ale IE8 je prehistoricka vykopavka, ktera je technologicky minimalne pet let pozadu a delat pro nej neco netrivialniho uz fakt neni radost. Cim driv zmizi, tim lip.
Aby v tom zas nebyl nekde zakopany pes 😀 jinak me je to sumak ja certifikat dostavam zdarma ke kazde domene, tak nemusim cekat na nejaky vesmirny projekt SSL zdarma do kazde rodiny 😀
Jen se nechlub, ono je to stejně v ceně. Nemůžeš být přece tak naivní, že někdo dává něco zadarmo ;o)
Proč by mělo být plýtváno výkonem na širfování informace, že si Jarda Novák přečetl, že nějaké "celebritě" vykoukla koza? :) Přijde mně to jen jako snaha na sebe upozornit.
...třeba proto, že co je komu do toho, co si čte Jarda Novák ? 😉
99,99% takove informace ani nevi spristupnit a zvysek si vzdy najde spusob, jde jen o zaminku.
alespoň na odeslání formuláře s heslem bych tím výkonem plýtval, odesílat heslo šifrovaně je asi bezesporu vhodnépokud nejde šifrovat takto selektivně, tak radší ten výkon věnuji na vše, on ten výkon na šifrování asi nebude nijak dramatický, nevím jeslti je nějaká studie ohledně potřebného výkonu na šifrování při načítání web stránek
Trochu pozdě ne... Většina webů kde se vyplňují citlivá data to má, dokonce i webové služby to hromadně nasadily a těch pár zbylých webíků znamená akorát nárůst zátěže na serverech...
Názor byl 2× upraven, naposled 20. 11. 2014 18:08
A mohu vědět v čem nemám pravdu? Nebo si snad myslíte, že když bude mít každej druhej blogísek certifikát pouze za účelem šifrování bude svět bezpečnější?
Ano bude bezpečnější. B-]
Proc ten HTTPS everywhere neni k dostani ve Firefox extensions?
To jsem se taky divil.. Ale myslím, že tady se dá v klidu udělat vyjímka a nainstalovat to z toho webu, mělo by to být bezpečné..
https://addons.mozilla.org/cs/firefox/addon/https-ev... ...
Tak šup Mladá fronto, není na co čekat 🙂 Jestli tu do večera neuvidím nahozené https tak si mě nepřejte B-]
Živě o nových technologiích rádo píše, ale jeho administrátoři je neimplementují. HTTPS není samo - ani IPv6 podpora tu není. Obojí je v roce 2014 smutné. B-]
hold co chces od stranky v dotnete? :)
I stránky v .Net mohou bez problémů jet na https. Ale co můžeme chtít od trouby, co ani nedokáže napsat holt.
Jaká je souvislost s .netem, ty tulo?
Asi tu jste mnohem chytřejší než já, ale můžete mi napsat rozumný důvod, proč by mělo živě jít za svým správcem a zaplatit mu za ty změny? Co by jim to přineslo?
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.