https://mobile.opennet.me/openforum/vsluhforumID3/112799.html По статистике (https://nettrack.info/ssl_certificate_issuers.html) NetTrack более 36% HTTPS-сайтов в сети используют сертификаты, выданные некоммерческим удостоверяющим центром Let&#8217;s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. На текущий момент службой Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов, охватывающих около 60 млн доменов. На втором месте удостоверяющий центр COMODO (19%), а на третьем GeoTrust (11%).<br><br><br><br><br><br><br>Общая доля запросов страниц по HTTPS составила 65%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, два года назад при запуске проекта Let&#8217;s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.По статистике (https://www.google.com/transparencyreport/https/metrics/?hl=en) Google доля страниц, открытых по HTTPS, составляет от 68% до 86% (ChromeOS - 86%, macOS - 84%, Linux - 82%, Windows - 80%, Android - 68%). <br><br><br><br><br>Дополнительн https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#101 Mon, 27 Nov 2017 14:23:10 GMT Сейчас без SSL практически никуда. Если уж онлайн-бизнес, то тем более нужны SSL-сертификаты. Терять посетителей только из-за того, что Chrome выдает Not Secure в адресной строке - нет уж, спасибо. Плюс ко всему, если брать EV'шки, то можно еще и доп. бонусы получить по типу вывода названия организации в адресной строке браузера - жирный плюс к пользовательскому доверию. Let's Encrypt не выдает EV. Потому лучше брать SSL у доверенных центров - Comodo, Symantec и т.д. А чтобы выгоднее было, то обращаться к реселлерам. Мы покупали в leaderssl.ru.<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#100 Fri, 24 Nov 2017 14:16:17 GMT &gt; Однако если MITM подсунет свой самоподписанный сертификат - отличить его от правильного<br>&gt; невозможно, кроме случая когда ты можешь проверить параметры сертификата где-то сбоку.<br><br>возможен простой и банальный вариант - ты не в первый раз заходишь на этот сайт.<br>Более того, этот вариант правилен и с "честно" заверенным CA любым другим сертификатом. Поскольку страхует тебя от нечестности CA. Но, разумеется, при условии что он перевыпускается редко.<br><br>&gt; А LE проверяет что сервер фактически контролируется тем кто запросил сертификат.<br><br>еще хуже - что домен им контролируется (а сервер могли и свой подсунуть) или частично контролируется.<br>Что было бы вполне допустимо, будь они нормальным CA и выдавай нормальные сертификаты, а не скоропортящийся вторпродукт.<br><br>&gt; LE показывает что сертификат выпустил владелец сайта<br><br>а вот это - нет. Забавно, что это нужно, оказывается, разъяснять.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#99 Fri, 24 Nov 2017 05:24:50 GMT &gt; certbot на питоне, фу такими быть!<br><br>Да там полно клиентов на всем чем угодно понаписано. Завяжи гадюке хвост бантиком и спи спокойно.<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#98 Fri, 24 Nov 2017 05:21:54 GMT &gt; да че там думать, съ..ть пора!<br><br>На что интересно? Кривой комод, прославившийся мутными историями и поломаный комодохакером? БезопасТнички. Или ты с барского плеча спонсируешь покупку сертификатов всем желающим у верисайна?<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#97 Fri, 24 Nov 2017 05:19:30 GMT &gt; Даже мне, криворукой макаке, удалось настроить скрипты автообновления без особых проблем. <br>&gt; А уж если вы профессионал, можете сервер поднять и сайт настроить, <br>&gt; то сложностей не возникнет.<br><br>Устами криворукой макаки глаголит истина! Фэйспалм!<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#96 Fri, 24 Nov 2017 05:16:29 GMT &gt; Так это надо разобраться, а комоду по кривому howto, написанному другим школьником, <br>&gt; можно прикрутить быстро.<br><br>Для let's encrypt таких хаутушек уже весь гитхаб.<br><br>&gt; Правда, настроить бесплатный cloudflare и в нем включить https - еще проще, <br>&gt; кажется. Для сайта школы хватит!<br><br>Есть только одна проблема: cloudflare видит весь трафф. Расшифрованным. И вот это не очень хорошо.<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#95 Fri, 24 Nov 2017 05:14:30 GMT &gt; Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть <br>&gt; новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно. <br><br>Обычно это означает что кто-то не в меру хитрозадый пытался подсунуть тебе что-то левое. И скорее всего вредное для здоровья твоего компьютера. Шифрование редко ломают с хорошими целями. Так браузер по крайней мере хрюкает, а без шифрования просто схарчил бы и не пикнул, потому что там вообще не понятно от кого исходят данные.<br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#94 Fri, 24 Nov 2017 04:50:38 GMT &gt; Самоподписанный сертификат даже лучше, потому что юзер принимая самосертификат видит кто <br>&gt; его выпустил.<br><br>Однако если MITM подсунет свой самоподписанный сертификат - отличить его от правильного невозможно, кроме случая когда ты можешь проверить параметры сертификата где-то сбоку. А LE проверяет что сервер фактически контролируется тем кто запросил сертификат. Теоретически наверное можно попытаться надуть LE и завернуть его на левый сервер. Практически это однако сложно в реализации и малоэффективно из-за короткого времени жизни сертификата. А в случае самоподписанного сертификата - препятствий к всучиванию левого сертификата ноль, да еще браузер орет.<br><br>&gt; LE создает иллюзию безопасности и мозг юзера вообще не выходит из комы. <br><br>LE показывает что сертификат выпустил владелец сайта который фактически контролирует сервер, а не какой-то левый MITM, с левым сервером, претендующим на то что он - тот сайт.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/112799.html#93 Fri, 24 Nov 2017 04:34:57 GMT &gt; А то денех-то в ресурсной федерации на занос гуглю и мазиле должно еще быть.<br><br>А потом придет очередной comodohacker и "цифровая экономика" у кое-кого всем скопом завалится. Удобно, однако.<br>