Názory k článku
Chrome opět přitáhne šrouby nezabezpečenému HTTP

Ano, vím, že je řešení, aby si každý zákazník rozchodil vlastní certifikační autoritu
Ne, to není řešení, to je nesmysl. Řešení je přestat používat lokální adresy, protože to je jen ošklivá záplata na nedostatek veřejných adres. Nikdo nechce v prohlížeči používat lokální adresy, všichni chtějí používat DNS. Ale i s tou ošklivou záplatou vám to bude fungovat – certifikát si necháte vydat na veřejný DNS název, a v DNS ten záznam povede na tu lokální adresu (přičemž tenhle záznam ani nemusí být ve veřejném DNS).

Nebo že si každá domácnost má zaplatit profesionálního admina?
Tuhle službu by spíš měli mít v ceně od ISP nebo dodavatele routeru. A právě proto, že domácnosti nemají profesionálního admina za zadkem, který jim bude říkat, kdy mohou výjimku odkliknout a kdy ne, to musí fungovat a být bezpečné bez nějakého odklikávání výjimek.

A pro validaci takového DNS záznamu pro neveřejné sítě radíte co
Vystavit validační DNS záznam na veřejném DNS serveru.

Nebo po validaci cpát do toho veřejného DNS lokální adresy, které tam nemají co dělat?
Sice tam nemají co dělat, ale ony nemají co dělat nikde… Navíc ten DNS záznam nikdo nezná, takže když nepovolím přenos DNS zóny, ani se o něm nikdo nedozví. Takže by mi vůbec nevadilo ho nechat i v tom veřejném DNS.

kdyby je BFU byli schopní nainstalovat
Proč by to instaloval uživatel? Zkuste se inspirovat třeba tady.

Takže každá domácnost bude povinna vlastnit veřejnou doménu
Tu doménu klidně může vlastnit ISP nebo dodavatel routeru. Dneska taky není každá domácnost povinna vlastnit blok IP adres, přesto domácnosti IP adresy používají.

umět k ní nastavit záznamy
Proč by to měl někdo dělat ručně? DNS záznamy se běžně nastavují bez zásahu uživatele. Podobně jako ty IP adresy.

aby mohla používat konfigurační rozhraní na printserver
Mně teda připadá mnohem jednodušší napsat do adresního řádku prohlížeče „tiskárna“ nebo v horším případě „canon-mg2550s“, než se přihlašovat do konfigurace routeru, tam hledat, jakou má tiskárna přidělenou IP adresu, a pak se konečně dostat k tomu konfiguračnímu rozhraní tiskárny.

Takže navrhujete rozbít uživatelům bezproblémové HTTP
HTTP nikdy nebylo bezproblémové a nerozbité.

nutit k přechodu na rozbité HTTPS
Co je na HTTPS rozbitého?

kdy to ani nemají možnost udělat (chybějící HW podpora a dostupnost IPv6)
Jakou HW podporu k tomu potřebujete? Jak jste přišel na to, že je k tomu nutné IPv6?

Pane Jirsáku, jste velmi vytrvalý v obhajování svých názorů, ale nejsem si jistý, jestli je máte podepřené byť jen špetkou zkušeností z reálného světa.
Např. moje krabičky se vždy hlásí u DHCP serveru jménem a žádají ho, aby to jméno (uživatelsky konfigurovatelné) zanesl do místního DNS, aby uživatel mohl do prohlížeče napsat, jak sám navrhujete, jen třeba "tiskárna".
No a hádejte co? Drtivé většině uživatelů to nefunguje a musí použít přístup přes IP adresu. Proč tomu tak je nevím, to budou vědět administrátoři jejich domácích sítí (pokud nějaké mají - nejspíš ne), ale tipuju, že domácí routery v tom propojení DHCP a vlastního DNS pokulhávají na obě nohy (pokud vůbec vlastní DNS mají).
Tudíž bych tímto vaši celodenní snahu v této diskusi smetl ze stolu. DNS nepojede, certifikát jim nikdo vystavovat nebude, HTTPS tak nebude použitelné. To je současný stav, a bude stejný i na podzim tohoto roku, kdy prohlížeče začnou upozorňovat na nebezpečí při připojení na domácí krabičky (routery, tiskárny, modemy, telefony, ...). Uživatelé budou mít jedinou možnost - zvyknout si na tu hlášku a začít ji ignorovat. A budeme tam, kde jsem to v prvním příspěvku napsal.

Je potřeba rozlišovat mezi tím, co je, a tím, k čemu se chceme dostat. To, že se domácí krabičky dokáží samy zaregistrovat, nechají si přidělit DNS jméno a vystavit certifikát, je stav, ke kterému se chceme dostat. Netlačí na to jen prohlížeče s omezováním nezabezpečeného spojení, ale třeba také IPv6 – protože uživatelům se opravdu nebude chtít opisovat do adresního řádku prohlížeče IPv6 adresy.

Ještě malá odbočka k té registraci – mám tady zrovna před sebou krabici s webovou kamerou. V návodu je napsáno „v prohlížeči otevřete http://www.mydlink.com, přihlašte se, vyberte si ze seznamu zařízení svou kameru a uvidíte živý pohled z vaší kamery. Když tu adresu do prohlížeče zadám, skončím na stránce s validním certifikátem od COMODO. Takže prohlížeč na podzim žádné varování vypisovat nebude, a pokud by někdo do manuálu přidal to jedno „s“, fungovalo by to i tehdy, kdyby prohlížeč vůbec nešifrované HTTP nepodporoval. Synology používá http://quickconnet.to/ID, opět nic, co by nešlo snadno změnit na HTTPS.

A teď k tomu, co se stane na podzim. Dneska má uživatel, když je ve webovém rozhraní té domácí krabičky, na začátku adresního řádku prohlížeče íčko v kroužku, když je na nějakém webu přes zabezpečené spojení, má tam zelený zámeček a text „zabezpečeno“. Ti poučenější uživatelé už si toho všimnou a vědí, že ten zelený zámeček je správně, a když tam není, měli by si dávat pozor, co na webu zadávají. Od podzimu se změní jenom to, že vedle toho íčka uživatel uvidí text „nezabezpečeno“, pokud bude v tom webovém rozhraní něco měnit. Uživatelé, kteří dnes nerozlišují íčko a zámeček, si toho vůbec nevšimnou. Bystřejší z těch, kteří vědí o zeleném zámečku, si toho možná všimnou, někoho se třeba zeptají a dozvědí se, že ten jejich bezpečný router zas až tak bezpečný není, když nechrání webovou administraci HTTPS protokolem. A třeba to i nějakého výrobce popostrčí, protože se jim přeci jen bude hůř prodávat „super-bezpečný router s ultra-zabezpečením“, u kterého prohlížeč bude hlásit „nezabezpečeno“.

Pokud dneska uživatel klidně vleze do „banky“ přes HTTP, protože ve webovém rozhraní také nemá zelený zámeček, takže se to naučil ignorovat, na podzim už se pro něj situace nezhorší. A velmi pochybuju o tom, že dnes nějaký uživatel íčko od zámečku rozlišuje, ale na podzim s tím přestane, protože se mu u adresy jeho domácího routeru někdy objeví „nezabezpečeno“. Navíc – ruku na srdce – jak často domácí uživatelé něco editují ve webovém rozhraní svého routeru nebo podobného zařízení?

Mimochodem, je to velmi podobné situaci s firmware těchhle „krabiček“. Donedávna se to prakticky vůbec neřešilo. Ale v poslední době se na to upozorňuje různými způsoby, medializací, občas na to upozorní nějaký hacker vypuštěním červa – a lidé se o to pomalu začínají zajímat, musejí se tím pomalu začít zabývat i výrobci a vypadá to, že by se to postupně mohlo zlepšit a že si třeba v budoucnosti výrobci nebudou moci dovolit uvést na trh zařízení s děravým firmware, který nejde nijak zaktualizovat. Vy byste asi řekl, že je špatně na ten děravý firmware upozorňovat, že to jen zbytečně děsí uživatele a že když zjistí, že je děravý firmware routeru, začnou ignorovat i aktualizace Windows. Já si naopak myslím, že medializace těch případů je správná, a že je správné, že lidi budou pomalu tlačit na výrobce a dodavatele služeb, aby dodávali bezpečná zařízení (nebo pro začátek alespoň ne totálně děravá).

To jako prosazujete zákaz LAN?
Ne, ani náhodou. Z toho textu nic takového vůbec neplyne, ani náznakem.

Chápu to tak, že jako bezpečnější považežujete scénář, kdy moje zařízení bude dostupné z celého interneu
To chápete úplně špatně. O dostupnosti toho zařízení vůbec nebyla řeč. Psal jsem jenom o DNS záznamech.

běžné domácí soho routery dns záznamy přes dhcp moc neumí
A musí to tak být navždy?

provozovat lokální nameserver je hodně hard core pro domácí uživatele
Za prvé ho nemusí provozovat domácí uživatel, za druhé, když domácí uživatel může provozovat DHCP server (prostě zapne router), může stejně provozovat i DNS server (prostě zapne router).

budeš je muset nějak ručně aktualizovat
Proč nějak ručně? Certifikáty by se aktualizovaly úplně stejně, jako by se na začátku vytvořily – automaticky. Mimochodem, třeba takové Synology NAS si umí certifikáty Let's Encrypt obhospodařovat už dnes. Asi jste jim zapomněl říct, že to nejde.

Proč tady trolíš do něčeho, v čem nemáš naprosto žádnou praxi? Jsi odtržený od reality a propaguješ tady svoje nábožeství založené na teoretické znalosti z internetu.
Proč vy si vymýšlíte? Když jsem popisoval současný stav, napsal jsem snad něco špatně? Když jsem psal, co by se mohlo změnit, napsal jsem snad něco, co by nemohlo fungovat?

v tom případě musí být ty zařízení v internetu
Nemusí.

popíráš s tím svoji odpověď otázku na to "jestli prosazuješ zákaz lan"
Cože? Vy taky nevíte, co je to LAN? LAN je „Local Area Network“, místní (počítačová) síť. Nechápu, co by měl znamenat „zákaz LAN“, nechápu, kdo by mohl zakázat LAN. Kdyby byly zakázané LAN, nebyl by k ničemu Internet, protože Internet právě propojuje různé LAN, takže bez LAN by byl k ničemu. Navíc LAN je 2. vrstva síťového modelu OSI, my se tady bavíme o HTTPS a DNS, což je 7. vrstva.

bez internetu pracovat s certifikáty a dns v současné době nejde (pro domácí uživatele)
Pokud tím „bez internetu“ myslíte vnitřní síť, která není z internetu přímo adresovatelná (což ale není LAN) – s certifikáty v takovém případě pracovat lze, zrovna minulý týden jsem vystavoval LE certifikát pro server, který je dostupný jenom ve vnitřní síti a není nijak dostupný z internetu. Stejně tak lze v tomto případě používat DNS, opět se to běžně používá. Ať už ve formě vlastních domén (třeba .local), které jsou problematické a vznikly prakticky jen kvůli NATu a nedostatku IPv4 adres a doufám, že skončí rychleji než IPv4. Nebo ve formě veřejných domén (které mohou mít část určenou pro vnitřní síť, ale to je pořád jen zbytečná komplikace související s NATem). Na ty první všeobecně uznávané certifikáty vydávat nelze (což je jen jedna z mnoha jejich nevýhod), na ty druhé lze – a do internetu kvůli tomu nemusí být vystaveno nic jiného, než jeden DNS záznam v té veřejné doméně.

Samozřejmě se routery mohou v budoucnu naučit více věcí, ale obhajovat tím svůj názor, když není jediná indície k tomu, že se tak stane?
Já jsem tím neobhajoval svůj názor, psal jsem to jako možnost, k jakým změnám v budoucnosti dojde. Můj názor je, že se něco takového stát může.

Když mluvíš o router s DNS, určitě nepopisuješ dnešní stav
Asi jste myslel s autoritativním DNS serverem pro nějakou veřejnou doménu. Ano, to není současný stav. Nicméně pro vydání certifikátu to není nutné, je to jenom ulehčení pro uživatele a automatizace. A mimochodem, k něčemu takovému se dostaneme i bez HTTPS – to, že dnes uživatelé musí znát nějaké IPv4 adresy a zadávají je do webového prohlížeče, není normální. DNS vzniklo před více než 30 lety, aby (už tehdejší) uživatelé nemuseli používat technické IP adresy, ale mohli používat srozumitelnější DNS názvy. A dnes uživatelé, kterých je řádově víc než tehdy a tedy je mezi nimi mnohem víc těch, kteří nemají odpovídající technické znalosti, stále používají IP adresy… Naštěstí s IPv6 už si snad výrobci routerů nebudou moci dovolit ignorovat DNS.

A zbytek věcí je podobných, máš drobné zkušenosti a snažíš se je generalizovat a logicky vztáhnout i na širší oblast, ale vyznívá to komicky.
Netrápí mne, že to vyznívá komicky pro někoho, kdo neví, co je LAN, jak funguje DNS a jak je možné vystavit HTTPS certifikát. Pro tuhle debatu se celkem hodí tyhle věci znát.

Tomáš2, 9:03:
Záleží na tom, co myslíte tím „nepřístupný internet“. Pokud tím myslíte nějakou ostrovní síť třeba v jaderné elektrárně, která fyzicky nemá žádné spojení do internetu – ano, tam by automatické vystavování certifikátů pro veřejné DNS nezajímalo. Jenže v takové síti taky vůbec nebudou řešit webový prohlížeč, když nemají přístup na web… A když už by tam na něco měli webový prohlížeč, bude snad mít taková síť administrátory, kteří budou schopni provozovat interní certifikační autoritu a její kořenový certifikát nainstalovat do těch prohlížečů.

Pokud tím „nepřístupný internet“ myslíte, že to mé zařízení, pro které vystavuju certifikát, není přímo dostupné z internetu, pak se mýlíte. Už jsem vám to psal, že jediné, co musí být dostupné z internetu, je DNS záznam pro ověření toho doménového jména. Jediný další „přístup na internetu“, který k tomu potřebujete, je umět navázat spojení protokolem HTTPS s certifikační autoritou, kterým požádáte o vystavení certifikátu a pak si vystavený certifikát stáhnete. Když budete mít DNS server mimo tu chráněnou síť a jeho administrace bude dostupná třeba přes nějaké HTTPS REST API (což je dnes běžné), postačí vám, když v té chráněné síti máte jedno zařízení, které může navázat ven HTTPS komunikaci. Když řešíte webové prohlížeče, asi tam ve skutečnosti takových zařízení budete mít mnoho.

I z tvojí další odpovědi je patrné, že nemáš řešení, jak aktualizovat https certifikát bez internetu a bez ručního překopírování po seriové (či jiné) lince.
Z mé další odpovědi je patrné, že jsem takhle zrovna minulý týden na jeden server nedostupný z internetu certifikát vystavoval. Ten server shodou okolností sám spojení do internetu navazovat může, což ale v tomto případě nebylo potřeba. Ručně bylo potřeba zadat validační záznam do DNS, protože to ještě nemáme zautomatizované. Ale tyhle záznamy, ke kterým potřebujeme vystavovat certifikáty, jsou schválně vystrčené do samostatné subdomény, kterou bude obsluhovat jiný DNS. S tím bude komunikovat robot obnovující certifikáty a hlavní DNS server si od tohoto serveru bude stahovat už hotovou zónu (klasické master-slave uspořádání).

Pokud budou prohlížeče (Chrome) postupovat takhle represivně
Zobrazovat v adresním řádku místo slova „zabezpečeno“ slovo „nezabezpečeno“ je opravdu hrozná represe a šikana.

myslím třeba domácí tiskárnu s wi-fi, na kterou se připojím pomocí mobilu, IPP je http a zabezpečené IPP je https
Myslíte si, že jsou si toho uživatelé vědomi, že kdokoli v okolí může zjistit, co tisknou? To je pořád argumentů, jak je to nezajímavý teploměr připojený drátem, a najednou je z toho tiskárna na wi-fi.

Všechny tyhle bez https vyhazují v prohlížeči ošklivou chybu.
Ve kterém prohlížeči a jakou ošklivou chybu?

pro řadu případů to uživatele mate
Jediné, co uživatele mate, je to, že mají neustále vyhodnocovat, kdy připojení může být nezabezpečené a kdy by mělo být zabezpečené. Až bude zabezpečené všechno, celý tenhle zdroj zmatení odpadne.

Nikdy jsem nemluvil o nepřístupné zařízení z internetu, o tom mluvíš pouze ty
Protože se pokouším uhodnout, co jste asi tak mohl myslet „zákazem LAN“.

vždy jsem psal, že internet ze zařízení není přístupný, v tom případě musíš certifikát aktualizovat svépomocí a ručně.
Už jsem vám to psal několikrát, že to ručně aktualizovat nemusím. Že to musíte dělat ručně vy, protože to jinak neumíte, je váš problém.

Je nepodstatné, kdo co z nás dokáže udělat, většina z nás se s tím nějak vypořádá, ale typická cílovka výchozího nastavení prohlížečů a routerů si s tím neporadí a akorát se jim zhoršuje komfort a bezpečnost.
Komfort a bezpečnost se snižuje jenom tím, že se vůbec ještě nějaký nezabezpečený protokol používá. Komfort není v tom, že uživatel neustále musí sledovat, jestli je na zabezpečeném nebo nezabezpečeném připojení – komfort je právě naopak v tom, že se o to starat nemusí. Bezpečnost není v tom, že neustále hrozí útok downgrade na HTTP, bezpečnost je v tom, když se tahle nebezpečná možnost úplně odstraní.

Na tohle upozornění s nezabezpečeným http si akorát zvyknou, protože jim to doma běžně zobrazuje a na webu tomu nebudou věnovat takovou pozornost, jakou si to zaslouží.
V tom případě je ale problém s celým HTTP, protože uživatelé si akorát zvyknou, že se jim doma běžně zobrazuje jenom íčko v kroužku místo zeleného zámečku, a na webu tomu nebudou věnovat takovou pozornost, jakou si to zaslouží.

prohlížeč vyhodí hnusnou hlášku
Ptám se znova – který prohlížeč a jakou hnusnou hlášku?

V současné době zabezpečit vše nelze
Přičemž to tak zůstane navždycky, pokud bude hodně lidí jako vy a budou prosazovat nezabezpečení. Zabezpečit to půjde jedině tehdy, pokud k zabezpečení výrobce těch zařízení někdo donutí. Kdyby na to autoři prohlížečů netlačili, tak pořád ještě používáme certifikáty podepsané MD5 a SSLv2, protože tam také byla spousta argumentů, proč to jinak nejde.

dobré https zabezpečení vyžaduje připojení k internetu
To je jenom váš výmysl, vyvrátil jsem to tady už několikrát. Navíc tady pořád řešíte domácí síť, a ukažte mi nějakou domácí síť, kde nemají všechna zařízení přístup k internetu.

To, že si sám umíš nechat podepsat certifikát a poté nahrát na zařízení neznamená, že to tak bude dělat každý a přesně v tom vidím obrovský problém.
Já v tom taky vidím problém, proto vznikají věci jako ACME, které umožňují to zautomatizovat, a pak už to nikdo ručně dělat nemusí. Jak už jsem psal, třeba zařízení od Synology už dnes certifikáty od Let's Encrypt získávat a obnovovat automaticky umí.

Ke každé krabičce si pořídím ještě doménu.
Domény jsou hierarchické. Nemusíte si pořizovat doménu ke každé krabičce, stačí si pořídit jednu. Nebo si jí může pořídit výrobce krabiček.

To byste nejdřív musel napsat, co si představujete pod pojmem „validní certifikát“. Napadají mne dvě základní možnosti, přičemž v jednom případě je konfigurace triviální, v druhém případě požadujete nemožné.

Já ti řeknu, s čím bych byl spokojený - s tím, kdyby ta krabice do DNS (optimálně automaticky) přidala fingerprint vygenerovaného certifikátu (jakéhokoliv, klidně self-signed, pro jakoukoliv doménu, třeba splachovadlou­hajzliku.pepi­kova.lan) a ten prohlížeč si to ověřil a prostě držel hubu.
Konečně něco, s čím se dá souhlasit.
Já bych si to představoval tak, že si přinesu zařízení domů, zapojím ho do sítě, půjdu do konfigurace domácího routeru a tam na mne bude čekat oznámení, že do sítě bylo připojeno nové zařízení a zda ho chci autorizovat. Já to potvrdím, nastavím mu DNS jméno, případně jméno zařízení, umístění nebo nějaké další údaje, které mohou být užitečné, opíšu nějaký kód ze zařízení, abych ověřil, že je to opravdu ono, a router se postará o zaregistrování v DNS, přidělení IP adresy a vytvoření certifikátu. Prostě takové DHCP+DDNS+UPnP na steroidech.
Jenže nic takového se nevytvoří samo. Když dneska tvůrci těch zařízení mohou vše udělat přes HTTP, proč by se obtěžovali něčím takovým, jako registrací zařízení. Takže jediná cesta je tu možnost používat HTTP jim zkomplikovat, pak konečně budou donuceni hledat nějaké lepší řešení. Není věcí autorů webových prohlížečů, aby řešily, jak se má IoT zařízení registrovat do domácí sítě – to si musí vyřešit autoři těch IoT zařízení. Na straně prohlížečů už dnes mají vše, co je k tomu potřeba (v tom výše uvedeném postupu je možné použít Let's Encrypt certifikát, takže podpora DANE v prohlížečích pro to potřeba není).

Pořád je to ale stokrát lepší, než současný stav. Takže už aby to bylo takhle, a pak můžeme řešit nějaká vylepšení. Když budeme čekat na ideální implementaci, nedočkáme se nikdy.
Jinak LE standardizuje protokol ACME pro vydávání certifikátů, takže by neměla vzniknout závislost na jednom dodavateli (nechme teď stranou současný stav, kdy LE implementuje trochu něco jiného, než aktuální standard ACME, a že jediná další implementace ACME, o které vím, je StartSSL, od kterých bych tedy certifikáty fakt nechtěl).
Na provozovateli dynamického DNS by to záviset nemělo, router by měl mít delegovanou vlastní doménu, pro kterou bude autoritativním DNS serverem.

Bez pravidelných aktualizací se to rozbije.
To v IT platí úplně o všem. Rozbité je to, co s aktualizací nepočítá nebo se aktualizuje obtížně.

Nesmyslná nutnost povolovat té krabici přístup k internetu
Které krabici, domácímu routeru? Přístup na internet byla první funkce, kterou domácí routery měly.

Zkus si znova přečíst, co bylo požadováno.
Problém není ve čtení, ale v tom, že jste váš požadavek formuloval vágně (i na druhý pokus). Sice jste napsal, že při návštěvě stránky má prohlížeč bez dotazů zobrazit stránku, ale nenapsal jste, zda je možné nějak předem nakonfigurovat prohlížeč, nebo zda to má být výchozí instalace nejrozšířenějších prohlížečů.

Čím to je, že já požadavek pochopil už na první pokus a očividně nejsem sám? ;)

Akorát aktivistický blbec nejdřív "páchá dobro" a pak se hrozně diví následkům a tomu, že zase něco rozbil.

Na to existuje stará lidová moudrost: Cesta do pekla je dlážděna dobrými úmysly.

Proč bych měl kvůli své krabičce, co měří teploty a ani není z internetu dostupná...

... zapínat webový prohlížeč?

Když jsem si naposledy hrál s nějakým i2c, tak stačilo udělat cat /sys/cosi a bylo.

Http fakt není jediný protokol na světě.

Ano, zastaralé a nebezpečné protokoly se postupně opouštějí. To není žádná novinka, i webové prohlížeče takhle přestaly podporovat dost protokolů.

§ 356 Podněcování k nenávisti vůči skupině osob nebo k omezování jejich práv a svobod

(1) Kdo veřejně podněcuje k nenávisti k některému národu, rase, etnické skupině, náboženství, třídě nebo jiné skupině osob nebo k omezování práv a svobod jejich příslušníků, bude potrestán odnětím svobody až na dvě léta.

Přeji pěkný den.

Proč by to měl rozlišovat prohlížeč? Uživatel je nesvéprávný?
Protože jinak to nebude fungovat. Uživatel není nesvéprávný, uživatel tomu jenom nerozumí. Uživatel neví, že když mu různí „odborníci“ jako Petr Stehlík, Lol Phirae nebo muf tvrdí, že o nic nejde a že si to má vypnout, říkají mu to špatně. A že tu odpovědnost svalují na někoho jiného, protože to neumí nebo nechtějí udělat bezpečně.
Podívejte se třeba na situaci s děravými domácími routery nebo IoT zařízeními – myslíte si, že je to chyba všech těch uživatelů? Dokážete zajistit, aby miliony uživatelů znaly detaily bezpečnosti sítí a certifikátů natolik, aby se dokázaly kvalifikovaně rozhodovat? Až to zajistíte, pak se klidně může to rozhodování přenést na uživatele. Ale dokud to neplatí, budou to muset zajistit ti, kteří by tomu měli rozumět, tedy autoři webů a prohlížečů.

Mezi základní předpoklady, než se někdo posadí k PC, patří, že ví, že když je to web, kde se musí přihlásit, nebo kde zadává číslo karty, nebo něco osobního, že by měl zkontrolovat zelený zámeček a url adresu.
Jenže když ponecháte jenom tuhle podmínku, a zároveň uživatele naučíte, že mají při každém problému přidávat výjimku (jak tady někteří navrhují), bude veškerá bezpečnost ta tam. Protože uživatel se dostane na nějaký web, vyskočí na něj upozornění, podle rad zdejších přispěvatelů si nakliká výjimku – a pak už bude postupovat podle vašeho návodu, zkontroluje, že má správnou adresu a zelený rámeček, a bude mít pocit, jak je to bezpečné.
Navíc uživatel chce pracovat s webem, nechce neustále řešit, jestli teď zrovna může nebo nemůže být web nezabezpečený.

Prohlížeč pozná, zda je na webu pole pro zadávání uživatelského hesla a neměl by být problém, aby řval vždy, když je snaha uživatele cokoliv zapsat do formuláře na nezabezpečeném webu, nebo na webu s nevalidním certifikátem. To je úplně triviální
A přesně to také budou prohlížeče dělat, je o tom zprávička, pod kterou diskutujete.

Zelený zámeček kontrolovat by měl např. při nakupování nebo při přihlašování kontrolovat i BFU. Naučit ho to není tak těžké, jak nás přesvědčil Petr Krčmář (prý nějaké ženské vysvětloval, že nakupovat je bezpečné, když tam vidí "zelenou nákupní tašku". To je jen půl bezpečnosti, další věc je, že samozřejmě se uživatel musí podívat na tu url, a to musí vždy, ať už prohlížeč řve, nebo ne, důvod - například intenet banking a možnost mít dnes validní certifikát od Lets Encrypt na phishingových stránkách s podvodnou doménou (která může být podobná té, ke které se běžně přihlašuje). Ne, to prohlížeče neřeší a proto se na ně nelze v tomto spoléhat, musí to vědět ten uživatel. Řídit auto taky může jen ten, kdo má řidičák. Počítač by měl obsluhovat taky jen ten, kdo na to má alespoň základní znalosti.

Jenže když ponecháte jenom tuhle podmínku, a zároveň uživatele naučíte, že mají při každém problému přidávat výjimku (jak tady někteří navrhují), bude veškerá bezpečnost ta tam.
--- Já nejsem příznivcem výjimek. Neodklikávat. Samozřejmě jsou situace, kdy to musím dělat i já, jako třeba když se přihlašuji do webmailu na c4 hosting, protože tam sice nasadili lets encrypt, ale na webserverech, který servírují obsah uživatelům, ale ne už třeba na webmailu pro správce webů, tam je vydaný certifikát pro jinou doménu (skok.cz).

A přesně to také budou prohlížeče dělat, je o tom zprávička, pod kterou diskutujete.
--- ne, o tom ta zprávička není. Viz obrázek. Nerozlišují, zdali je tam formulář, nebo jestli uživatel je jen čtenář nějakého blogu.

Zelený zámeček kontrolovat by měl např. při nakupování nebo při přihlašování kontrolovat i BFU.
Ano, měl. Akorát že ten zelený rámeček by měl obsahovat text z OV/EV certifikátu. To, že komunikuje bezpečným kanálem s webovým serverem, jehož adresa je v adresním řádku prohlížeče, nemá kontrolovat uživatel, ale webový prohlížeč – když to tak není, prohlížeč funguje špatně.

Řídit auto taky může jen ten, kdo má řidičák.
Ano. Ale po řidiči také nechcete, aby pokaždé kontroloval, jestli kola zatáčí podle toho, jak točí volantem. To je považováno za základní funkci auta, že když dávám pokyny pomocí volantu, auto je vykoná – natočí správně kola. To samé platí v prohlížeči – když dám pokyn k zobrazení nějaké stránky (adresa je zadaná v adresním řádku prohlížeče), prohlížeč má zobrazit tu stránku, a ne žádnou jinou. Stejně, jako řidiče nezajímá, jak si to auto zařídí, aby se pokyn od volantu dostal až ke kolům, nezajímá uživatele, jak si prohlížeč zařídí, aby zobrazil tu správnou stránku a ne stránku nějakého podvodníka.

Já nejsem příznivcem výjimek. Neodklikávat.
My dva se na tomhle shodneme. Ale jsou tu v diskusi jiní, kteří chtějí, aby bylo pro uživatele co nejsnazší výjimku odkliknout.

ne, o tom ta zprávička není. Viz obrázek. Nerozlišují, zdali je tam formulář, nebo jestli uživatel je jen čtenář nějakého blogu.
Ale je: „Jako nezabezpečená se označí každá stránka bez HTTPS, když do ní uživatel začne vkládat nějaká data.“ Na obrázku je to vidět také, rozlišují načtení stránky a vkládání dat.

Aha, jsem nepozorný. Každopádně mne prohlížeče ukazují v aktuálním stavu jako nezabezpečené i blogy na bloggeru na vlastní doméně, kde žádný formulář pro vkládání dat není (nevím jestli všechny, ale typicky google chrome).

To určitě není tento případ – ta změna bude v Chrome ve stabilní verzi až v říjnu. Můžete dát konkrétní odkaz a co konkrétně vám Chrome zobrazuje? Protože dnes zobrazuje u webů na HTTP Chrome z adresním řádku „i“ v kroužku a po rozkliknutí zobrazí detaily nadepsané „Spojení s tímto webem není bezpečné“. Od té verze 62 ale bude navíc zobrazovat „Nezabezpečeno“ i v adresním řádku vedle „i“ (v tom případě zadání dat nebo v anonymním módu).

To ukazuje i kvůli úplným pitomostem, jako je mixed content.

To není pitomost. Mnozí webdesignéři si zvykli na to, že https musí být jen login, page nebo přinejhorším html a zbytek (css obrázky apod.) může být klidně http.

Jenže potom útočník nemusí útočit na https, stačí jen změnit styl a do nějakého obrázku vyrenderovat jeho text.

Tzn. na "zabezpečeném" webu jsou náhle nezabezpečené informace podstrčené útočníkem. https by mělo být na celý obsah.

Kde tvrdím, že je uživateli třeba poradit, že "si to má vypnout a o nic nejde?"

„Úplně by mu stačila možnost stupidní "bezpečné" chování browseru vypnout nebo vyřadit pro vyjmenovanou množinu adres. Komunikace s IP adresou domácího skleníku je pro něj jistě bezpečná“

„Prostě to nechce podléhat davové hysterii a módním vlnám a trochu myslet.“

@muff

+1

Možná jak které. Ono by bylo nejlepší, kdyby prohlížeč řval při pokusu vyplnit cokoliv do jakéhokoliv políčka na webu (třeba kde se vyskytuje </form>. Protože tam, kde se zadává cokoliv a není to zabezpečené, je možné odchytit.

Zůstane jim to, že se budou muset smířit s tím, že prostě zabezpečená komunikace nebude a nebudou prohlížečům věřit. Zabezpečovací upozorňování v prohlížečích je fajn, ale bojím se, že právě liknavost správců, nedořešenost některých věcí dělá těmto snahám medvědí službu. Zjednodušeně: „Budou klikat na ‚je to v pořádku‘ i když to v pořádku nebude...“

Na jednu stranu se mi snaha Google líbí. Je to prostě pokus o cestu zabezpečení internetu. Na druhou stranu už teď vidím kam to povede, ale nejsem schopen navrhnout lepší cestu...

Tohle jste psal v 17:36. Teď je 18:13, tak kde máte ten certifikát?

Telnet jsme již vyřešili. Nikdo nic nezaříznul, stále lze bez problémů nainstalovat.
Telnet? Během chvíle jej tam mám, pokud jej potřebuji. A o to jde.
Tak co tady řešíte? wget jde pořád nainstalovat a nikdo vám jej nebere.

Když máte krabičky v ceně desítek tisíc dolarů, snad není takový problém dát před ně HTTPS proxy, když je chcete spravovat z webového prohlížeče ve své pracovní stanici, a nebo naopak vyhradit nějaké zařízení s potřebným softwarem pro správu těchhle zařízení.

Tak jeden by řekl, že když máte na krabičky za pár tisíc $, tak už vás nějaký support nerozhodí.

Tohle je prostě fascinující. To, že si někdo koupí krabičku za pár korun (doslova), která je zmršená od počátku do konce bych ještě pochopil. Taky jich mám pár doma (na hraní) a ne, rozhodně k vůli tomu nechci měnit prohlížeče, protože vím, že ty krabičky jsou prostě zmršené.

Na produkční "krabičky" si už ale dávám pozor. Takže třeba kupodivu nemám žádný problém s krabičkami, kterým táhne na 11 rok, jsou pro ně stále updaty a nemá to problém ani s aktuálním https. Prostě to někdo udělal dobře a někomu na tom záleželo.

U krabiček za ceny v desítkách tisíc dolarů jaksi předpokládám jistou znalost situace a jistý odborný přístup k věci. Jinými slovy, pokud máte problém s krabičkami za tyto peníze, tak jste někde něco zanedbali.

Nehledě na to, že zrovna za tyhle peníze si klidně můžete najmout proga a nechat si ten http prohlížeč splácat z existujících komponent. To šlo i v Delphi (blahé paměti).

Vhodne prirovnani - mam Mercedes a resim jestli ma byt volant cervenej (https/sslv3) nebo zelenej (tls). Na funkci to nema vliv.

Nemá? sslv3 je prolomené, tzn v automobilovém přirovnání je to jako kdyby někdo postavil silnici se zatáčkami, na které ten volat prostě nebude fungovat a ty vždy vyletíš z cesty. Já bych si tedy takový volant nechat opravit.

Jo a http neni urceny pro management? Aha? Rekl to nekdo treba takovemu VMware?

A suprově dobře se to používá. Najít prohlížeč, kde to funguje, je umění samo o sobě. Potom to stejně funguje blbě, protože prohlížeč prostě není nativní aplikace. Nedá se tomu do virtuální konzole poslat ani ctrl+c a když jsem minule chtěl poslat ctrl+w, tak mi to pro jistotu zavřelo celý tab (protože kromě toho, že je to zkratka v shellu, tak je to zkratka i toho prohlížeče). Geniální řešení.

Ještě že stále funguje tlustý klient, alespoň pro virtuální konzoli.