Vlákno názorů k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od Dr.Str. - Nevím, který kokos s tímhle přišel, ale je...

Nevím, který kokos s tímhle přišel, ale je to jen otravná habaďůra, co má z lidí tahat prachy. Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě? Co je špatného na samotném HTTP? Apropo dřív si mohl zbastlit stránky skoro každý sám. Třeba ve wordu, ale sám. Teď je na to potřeba specialista na CSS, PHP a databáze a to prosím jen v případě, kdy chci rozjet blbej wordpress a vypadalo to trochu k světu.
A aby to nebylo všechno, tak po mě chtějí, abych zaváděl něco, co vůbec není potřeba. Kvůli tomu, aby si mohli v Google chodit bezpečně na porno, otravují normální lidi. Tohle bude konec civilizace. Ne politici s jejich cenzurou pokeru, ale Google, který přes monopolní požírač paměti bude zakazovat v přístupu ke stránkám normálních lidí.

Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%.

Protože děláte stránky ve Wordu :-) My ostatní už používáme Let's Encrypt, který je zadarmo. Placené certifikáty jsou potřeba jen pro wildcardy a EV a ani jedno ten váš kámoš určitě nepotřebuje.

"Protože děláte stránky ve Wordu"
Úplně cítím to opovržení. Ne, nedělám stránky ve wordu. A nemám přehled o všech certifikačních autoritách. Stránky běžně nedělám. Prostě za mnou přišel člověk, který potřeboval udělat stránky, protože jsme kamarádi, tak jsem mu udělal wordpressové stránky. Nic víc, nic míň.

> Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě?

Protože nemáš. Jak se dá na takovou otázku odpovědět? Pořiď si Let's Encrypt nebo si tam dej selfsigned.

> Co je špatného na samotném HTTP?

Pasivní útočník po cestě si může číst obsah komunikace.

> Apropo dřív si mohl zbastlit stránky skoro každý sám.

A teď to jako nejde? Co se změnilo? HTML 4.01 a CSS2 pořád všude normálně funguje.

> A aby to nebylo všechno, tak po mě chtějí, abych zaváděl něco, co vůbec není potřeba.

Je to potřeba, například leaky z NSA ukázaly, že masivní sniffování komunikace je běžné.

> ale Google, který přes monopolní požírač paměti bude zakazovat v přístupu ke stránkám normálních lidí

Oni budou HTTP zakazovat?

> Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%.

Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy…

Modelova situace: Jsme firma. Mame VPN a vlastni servery ve vlastni sprave. Pouzivame vlastni DNS s vlastnimi tld (.kosice, .intra, .dev, .gsm) aby bylo zajisteno ze i kdyz tupy zamestnanec jinemu tupemu zamestnanci posle link http://zakaznik526.kosice/sluzba.php?polibte-mi-s-povinnym-https-na-intranetu=yes rekneme pres FB messanger, takova externi sluzba nevi kam si pro obsah jit). Pouzivame tuto VPN i servery pro interni veci a to v docela velkem meritku pro pracovni ucely z domova, ze zahranici, z firmy, odkudkoliv. VPN mi po cele ceste sitoveho spojeni zabezpecuje sifrovani nejen HTTP ale treba i FTP, POP3, cokoliv, takze v tomto prostredi se takove zakladni protokoly neobavam pouzivat i kdyz neni pouzita jejich sifrovana varianta. K cemu mi v takovem pripade bude vnucovani HTTPS prohlizecem? K plizivemu snizovani efektivity prace a mensimu soustredeni zamestnancu na konkretni ukoly nutnosti klikat na demence prohlizece, ktery si mysli, ze udelal to nejlepsi co mohl?

Migrovat kus firmy (rekneme 500 zamestnancu) uzivajici chrome na jiny neobtezujici prohlizec, nebo vyhodit penize a cas nasich vyvojaru za ucelem znasileni chrome a beztak provest predchozi zminenou upravu u onech 500 zamestnancu, pokud chceme aby dal pouzivali chrome?

Babo raď.

Udělejte si interní CA a její kořenový cert rozdistribuujte mezi zaměstnance. A nebo nepoužívejte domény .intra, .dev a .gsm (stejně mi není jasné, jaký z toho máte užitek), ale normální TLD. Problem solved.

Fascinuje mě, jak si každý myslí, že se kvůli jeho specialitě bude všechno přizpůsobovat jemu. Ve výsledku by se nezavedl bezpečnostní prvek jenom kvůli tvému rozmaru.

Když ti přijde zbytečné používat HTTP ve VPN tunelu, tak to ti asi přijde zbytečné používat ve VPN tunelu SSH a vesele používáš telnet, žejo?

PS: Používání nestandardních privátních TLD je prasárna, byť široce používaná.

Google nemůže za vaši zprasenou síť.

Lichy argument o SSH jsem cekal. v mc sshfs pres telnet asi moc nebude pruchozi. U SSH je to fakt trosku jinak. Telnet tak nejak neni pro urcite veci implementovan pro okamzite pouziti.

Inu no nic.. Je to tu jak s debilama.

Nechapu proc firemni sit, ktera nadherne funguje na dlouho uzivane VPN ku spokojenosti vsech mame prekopavat a otevirat svetu. To jsou argumenty jak noha.

"stejně mi není jasné, jaký z toho máte užitek" .. popsal jsem, ale pokud neumite cist, tak je to marne.

Lovu zdar :)

Koukam, ze ty vo tom vis lautr hovno ... a neumsi si ani precist post, na kterej reagujes.

> Postupně to eliminuje útoky založené na tom, že se útočníkovi podaří místo na HTTPS vás dostat na HTTP.

Mohl byste mi vysvětlit, proč hypotetický útok dostávající mě z HTTPS na HTTP je argumentem pro vypnutí HTTP, ale hypotetický útok umožňující bypass autentizace s sshd není argumentem pro zakazování přihlašování na roota?

Jak si takový útok na HTTPS, který vás přesměruje na HTTP, představujete?

Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy

Kdyby to bylo jednorazove, je to fajn, potiz je trochu v tom, ze ty prikazy je nutne zadavat opakovane.

V posledni dobe cim dal tim casteji narazim na stranky, kde nekdo placnul nejakou dokumentaci, specifikaci nebo neco z podobneho soudku, s tim, ze to muze byt nekomu uzitecne a muze to tam lezet bez ladu a skladu libovolne dlouho. Pricemz v dobre vire k tomu dal LE certifikat, ale uz ho zapomnel obnovovat, takze pokud si chce nekdo neco precist, musi rucne provest downgrade na HTTP, ... pokud ho to napadne.

> Kdyby to bylo jednorazove, je to fajn, potiz je trochu v tom, ze ty prikazy je nutne zadavat opakovane.

Ano, také jsem je dal do cronu.

"Protože nemáš. Jak se dá na takovou otázku odpovědět? Pořiď si Let's Encrypt nebo si tam dej selfsigned."
Jinými slovy: dej si tam něco, co místo červenýho řádku udělá novou úvodní stránku, která NEDOPORUČUJE pokračovat dál. Bezva. Fakt bezva. Ale zase na druhou stranu dík, na ten lets encrypt mrknu.

"Pasivní útočník po cestě si může číst obsah komunikace."
Tohle je geniální. Takže děkuji. Pane pasivní útočníku, mohl byste si prosím přečíst moje stránky o biopalivu? Jak jsem psal, je to jen prezentace. Nic víc, nic míň.

"A teď to jako nejde? Co se změnilo? HTML 4.01 a CSS2 pořád všude normálně funguje."
Nefunguje, protože teď je tam tuna bordelu okolo. Především právě přechod na HTTPS, což je obal navíc, který značně komplikuje amatérskou tvorbu stránek.

"Je to potřeba, například leaky z NSA ukázaly, že masivní sniffování komunikace je běžné."
Znovu - já se nebavím o používání elektronických peněženek, přeposílání lechtivé komunikace a šíření dětskýho porna. Já se bavím o webové prezentaci. Američani si můžou očichávat jak chtějí.

"Oni budou HTTP zakazovat?"
Technicky vzato ano, protože budou zobrazovat stránku s varováním. Nevíte, jak funguje strach? Dokonalý zákaz není ten, který nejde porušit. Dokonalý zákaz je ten, který lidé přijmou jako přirozenost. Například když někam dáte cedulku, že je tam minové pole. Normálního člověka ani nenapadne, že by tam měl jít. A stejně to bude s varováním ohledně HTTP.

"Nemůžu za to, že někdo nedokáže stáhnout klienta pro Let's Encrypt a zadat ty čtyři příkazy…"
Nemůžu za to, že Let's Encrypt nemá dost koule na to, aby se na google dostalo do top odkazů. Jo bezva, teď když už jsem si jejich stránky vyhledal, tak google je jako zázrakem zařadil pod heslem "https certificate" hned na páté místo.
Každopádně až tady jsem se dozvěděl, co to vůbec je. Za to dík. Mrknu na to. To ale samozřejmě neznamená, že se můj názor na šifrování prezentačního webu mění.

> Jinými slovy: dej si tam něco, co místo červenýho řádku udělá novou úvodní stránku, která NEDOPORUČUJE pokračovat dál. Bezva.

→ místo nadávání na znedůvěryhodnění HTTP nadávejte na nesmyslné obstrukce browserů při selfsigned.

> Tohle je geniální. Takže děkuji. Pane pasivní útočníku, mohl byste si prosím přečíst moje stránky o biopalivu?

Jde spíš o to, že pasivní útočník vidí, jaké stránky čtu. Že si je může stáhnout je jasné, ale že profiluje čtenáře, o to jde.

> Nefunguje, protože teď je tam tuna bordelu okolo.

Nevěřím. Moje první stránky co jsem dělal před 11 lety se v současném browseru zobrazují. HTML4.01 a CSS2 používám pořád a prostě to funguje.

Mohl byste uvést příklady? Rád se nechám vyvést z omylu.

> Znovu - já se nebavím o používání elektronických peněženek, přeposílání lechtivé komunikace a šíření dětskýho porna. Já se bavím o webové prezentaci. Američani si můžou očichávat jak chtějí.

Já nechci aby nějaká NSA věděla kdy jsem stáhnul jakou stránku.

> Nemůžu za to, že Let's Encrypt nemá dost koule na to, aby se na google dostalo do top odkazů.

Nemůžu za to, že někdo spravuje webserver a nesleduje novinky v oboru. Minimálně tady na Rootu o tom bylo asi deset článků.

@Dr.Str.

"Teď mě omluvte, musím jít kámošovi vysvětlit, že roční náklady na jeho stránky (doména+hostin­g+SSL) vyrostly o 150%."

letsencrypt.org?

A i kdyby LE nebyl, je snad kámoš taková socka, že nemá 300 (nikoli 1000) ročně na certifikát?

Jinak důvody proč používat HTTPS místo HTTP byly popsány snad milionkrát. W3C taky doporučuje upřednostňovat HTTPS. Stejně tak to doporučují kapacity v oblasti internetové bezpečnosti, jako je třeba Bruce Schneier.

> A i kdyby LE nebyl, je snad kámoš taková socka, že nemá 300 (nikoli 1000) ročně na certifikát?

Jde za 300 sehnat i wildcard? Kámoš může mít spoustu subdomén.

Wildcard potřebujete, jen pokud chcete subdomény generovat on-the-fly. S LE může mít spoustu subdomén, jen je musí uvést.

Začal jste někdy s podnikáním, kdy otáčíte každou korunu? Ne? Výborně. Proč si myslíte, že mu dělám stránky zadarmo? Vy říkáte "300", já říkám "a všude?".

"Začal jste někdy s podnikáním, kdy otáčíte každou korunu?"

Jo milej zlatej, holt nemůžeš začít podnikat s holou řití. Jestli ono spíš kamarádovo podnikání nedojede na tom, že bude za každou cenu škudlit.
Ať se na mě nikdo nezlobí, ale pokud nemá 300 Kč na investici do něčeho, co mu bude vydělávat, tak by nejspíš podnikat neměl.
První nečekané vydání, první nezaplacená faktura a přijde na bubem a samozřejmě to bude vina HTTPS.

"Proč si myslíte, že mu dělám stránky zadarmo?"
Já nevím, proč mu je děláte zadarmo. Asi vaše práce nemá hodnotu, aby za ni někdo platil.

"První nečekané vydání, první nezaplacená faktura a přijde na bubem a samozřejmě to bude vina HTTPS."
Tohle je absurdní argument.

Každopádně myšlenka je taková, že pro webovou prezentaci prostě není potřeba šifrování. A teď si představte situaci, kdy poskytovatel webhostingu poskytuje sdílený webhosting pro (deseti)tisíce stránek a možnost SSL nabízí jenom pro IPv4, za kterou si samozřejmě musí zákazník připlatit. A teď si představte, že nikdo není socka a všichni si zaplatí. A nejenom na tomto webu, ale i na všech po celém světě. Prostě dojdou IP adresy.
Tohle je neudržitelné. Samozřejmě, teď můžete plácnout něco o tom, že se má použít IPv6 nebo tak... Takže výsledek bude ten, že v případě, kdy budu na sdíleném webhostingu, mi půlku zákazníků odradí pitomá hláška od Chrome, v druhém případě, kdy využiju nový způsob adresace, se mi na stránky nedostane 90% lidí, protože doma nemají kompatibilní rooter, nebo to nepodporuje poskytovatel připojení, nebo prostě mají v počítači z jakéhokoli důvodu IPv6 vypnuté.
Myšlenka HTTPS je možná dobrá, ale provedení je prostě špatné, protože stojí na využití omezených zdrojů nebo globálně nepoužitelného řešení. Teď do toho přijde google, který mě bude tlačit do jedné varianty, která bude drahá, a nebo do druhé, která bude k ničemu, tedy prozatím než bude použitelné třeba za dvacet let.

Já nevím, ale mám pocit, že někteří lidi tady žijí v bublině, ze které nevidí ven. Je jedno, kolik článků na rootu bylo napsáno o nástupu HTTPS. To, co dělá google, prostě buďto odpálí miliony stránek po celém světě, nebo naučí uživatele ignorovat jakékoli zabezpečení, pokud se budou chtít dostat k obsahu.

V tvojom prispevku uz chyba len zmienka o zidomediach a vrahoch z volstrytu :-D

Rada navyse: nerob veci ktore evidentne nevies robit, tvoji kamarati zbytocne prichadzaju o peniaze :-D

Ano, jistě, teď jsi to zabil. Hlavně že bude víc kšeftu pro tebe. Tůdle.

"Proč mám jako provozovatel stránek, která zobrazuje jen informace pro zákazníky, platit ročně přes litra nějaké certifikační autoritě?"

Protože:
1. Platit nemusíš, dá s i zadarmo. Nebo si to prostě odepsat z daní v kolonce "IT".
2. Protože bez šifrování nesplníš povinnosti daný ze zákona - ochranu osobních údajů zákazníka atd., a můžeš se snadno dostat do rozporu se smlouvou se zákazníkem.
3. Protože může jít o právně závazný informace a u soudu nijak neprokážeš, že se jeho informace shodují s tvýma?
4. Protože data cestou může někdo číst a třeba konkurence může na základě sniffnutých dat tomu tvýmu zákazníkovi nabídnout jenom o chlup lepší službu, než ty? Co když to udělá u 80% zákazníků?
5. Protože kdokoliv může data nejenom číst, ale i měnit? Pokud takto provozuješ e-shop, není nic jednoduššího, než nechat zákazníka objednat za zlomek ceny, nebo nafejkovat trojnásobný ceny proti konkurenci...

Ale je to tvoje volba. A jenom doufám, že ten moula má ve smlouvě ošetřený, že právní následky škod, způsobený nefunkčností nebo špatným návrhem webu, jdou na tvoje triko...

Když na ten web dám něco vy smyslu plakátu, co vylepím na všechny sloupy ve městě, tak tam je pro mne patlat se s nějakým šifrováním prostě zbytečně vynaložená energie. A radši jí věnuju něčemu užitečnějšímu. Ale teď přijde nějakej chytrolín (třeba z Google) a bude mi vysvětlovat, že to šifrování nutně potřebuju, musím ho mít a bez něj to nepůjde, protože on si prostě neumí představit situaci, kdy je skutečně nějaké šifrování a ověřování na dvě věci a zbytečná práce.

Prostě někdo ví lépe než já, co potřebuju i když umím zvážit rizika a rozhodnout se, jakým potřebuji čelit a na co je zbytečné vyhazovat energii. Co mi to připomíná?

Tady je vidět, že ta banda mamlasů výše ani nedokáže přečíst to, na co odpovídají. Díky za podporu. Žel bohu, budu se muset podřídit retardovanýmu Chrome.