Как и в Firefox в Chrome планируют скоро прекратить поддержку протоколов TLS 1.0 и TLS 1.1, которые находятся в процессе перевода в разряд устаревших и не рекомендованных организацией IETF (Internet Engineering Task Force) для использования. Поддержка TLS 1.0 и 1.1 будет отключена в Chrome 81, намеченном на 17 марта 2020 года...Подробнее: https://www.opennet.me/opennews/art.shtml?num=51599
Да они молодцы:
Site administrators should immediately enable TLS 1.2 or later.
Подстраивайтесь все под наш браузер.
Не понятно только одно, через год они с концами выпилят старые версии?
For enterprise deployments that need more time, this same policy can be used to re-enable TLS 1.0 or TLS 1.1 and disable the warning UIs until January 2021.Кончится тем что итшники будут пару месяцев старые броузеры всем обратно накатывать. Пока сайт не "починят".
При условии что ITшникам будут обновлять устаревшие сертификаты на древние протоколы .
> При условии что ITшникам будут обновлять устаревшие сертификаты на древние протоколы .эксперты опеннета подтянулись. Сертификаты - они, оказывается, на протоколы.
Приписывать оппонентам свои слова , а потом с азартом опровергать - главный метод троллей . Догадываюсь из какой , озабоченной , конторы . Активизировались с новыми законами .
Так почитаешь про таких айтишников и хочется для них, болезных, бананов запасти ящик..
> Так почитаешь про таких айтишников и хочется для них, болезных, бананов запасти
> ящик..ящик мы уже скормили мурзилиным разработчикам, и своим - четыре.
> Да они молодцы:
> Site administrators should immediately enable TLS 1.2 or later.
> Подстраивайтесь все под наш браузер.иначе как заставить тебя выбросить, наконец, немодную мобилу и купить - модную, вдвое дороже?
> Не понятно только одно, через год они с концами выпилят старые версии?
чего непонятного? Да, будут вместо сайта выдавать пустую белую страницу полную бессмысленной хни без кнопки "продолжить" - мы заботимся о вас и вашей безопастносте, пчелы против меда, гугель против АНБ.
> Кончится тем что итшники будут пару месяцев старые броузеры всем обратно накатывать.
не будут - на это у них другая штука есть, голо-сувание называетцо...ой, простите, перепутал окошко. На это у них есть новые нескучные "платежные api" и ES99, изменяемые и улучшаемые в каждой ежемесячной версии браузера, а у разработчиков божественного vue.js - много свободного времени для их запихивания, ведь без них ну никак невозможно нарисовать форму с единственным полем "login". Поэтому пред-пред-последней версией браузера тот же самый сайт ТОЖЕ открываться не будет, потому что скрипты (прямо из внешнего cdn'а) нужно ж брать самой наираспоследней версии, а не этой, вот, уже на неделю устаревшей.
Поэтому в старом браузере он будет открываться, но после ввода пароля кнопка login подсветится и...не нажмется (привет, вебмакаки из ВТБ). А в новом - белая страница, полная бессмысленной хни.
Ничё, соберём boringssl из исходников.
а причем тут версия ssl? У мурзилы вон вообще отдельный libnss. Из него, причем, может и не выпилят вообще никогда (по некоторым признакам, оставшиеся там полтора разработчика - вменяемы) - но внутри мурзильного кода есть забавная табличка, какие именно протоколы можно поддерживать. Нет, просто вернуть туда пару строчек не получится, к сожалению - там калбэки, которые тоже придется возвращать и самому поддерживать.
Мозилла хоть и пишет NSS как внутренний продукт не является его единственным потребителем. Там и red hat и всякий интерпрайс среди пользователей есть, возможно иденег на разработку подкидывают, так что очень вряд ли устаревшие протоколы удалят, как минимум, вот так сразу.
> иначе как заставить тебя выбросить, наконец, немодную мобилу и купить - модную, вдвое дороже?Не, с пользователями всё ясно. Тут уже про админов сайтов речь. should immediately - етит их колотит.
Шифруйся ГОСТом, получи свою 0 человек аудиторию.
аудитория должна быть только у гугля, именно так.
Мощила сделала, охватила, а потом и гугля подоспел.
Так я и говорю: гугл отстает от мозиллы лет так, скажем, на 7-11. К примеру, защиты от майнеров в хроме нету до.Сих.
Пор.
В Опере то есть уже давно. Гугл не делает этого, потому что это помешает нагибать пользователей, а это не в политике корпорации зла мешать нагибать пользователей.
> Мощила сделала, охватила, а потом и гугля подоспел.вы так говорите, как будто не наши деньги они и гуляют.
мурзила проверила реакцию - ну как обычно, шибкоумные повыли, большинство радостно чирикает "как классно они о нас заботятся, выбирая за нас какие сайты нам не открывать, ведь это защищает-защищает нас от страшной и ужасной downgrade attack [что это такое и чем ужастно они вообще-то не в курсе, но что ужастно - им мазила рассказала]" - ок, значит и нам можно.
Rzd.ru работает только на tls 1.0
И так сойдёт!
Ничего, их задолбают вопросами "почему не открываются", они пропишут в требованиях, чтобы ходили только через IE и все.Несколько недель назад на сайте Seagate хотел продукт зарегистрировать. Так он мне при попытке идти туда фоксом заявлял, что мол "что вы тут за фигню суете, к нам только IE 8.0 или выше!".
> Ничего, их задолбают вопросами "почему не открываются", они пропишут в требованиях, чтобы
> ходили только через IE и все.на сегодня для вменяемых людей это вполне разумное требование.
(а для пользователей мабилок - вот вам нескучное приложение, не забудьте предоставить ему доступ к контактам, sms, последним звонкам и файлам на флэшке, чисто случайно так поинтересоваться)> Несколько недель назад на сайте Seagate хотел продукт зарегистрировать. Так он мне
> при попытке идти туда фоксом заявлял, что мол "что вы тут
> за фигню суете, к нам только IE 8.0 или выше!".пользователи 1% десктопов и должны же ж страдать.
И камере с микрофон конечно, как ты мог забыть? Ну и жпс, как же иначе.
Ты будешь смеяться, но РЖД вняло твоему совету и включило SSL v3.
Теперь можно гордо заявить, работает на explorer 6
Оно и правильно, не терять последних полтора пользователя. Эти последние полтора пользователя -- песнионеры с древним ослом и в лучшем случае икспишечкой. Для остальных поезда это слишком дорого и неэффективно.
Кстати вы видели новые вагоны для карликов? Просто отлично я считаю. В Китае, где натуральные карлики большинство населения, в поездах комфортно человеку 2 метра ростом.
ну ясен же ж пень - в китае большинство населения сидит в своей деревне и работает по 20 часов в сутки, зачем им в поездах-то ездить?
Для немногих оставшихся делают большие удобные места в вагонах - потому что как раз эти-то китайцы обычно на две головы выше и вчетверо шире 20часового раба.А вы - этими перетопчетесь. По нашей задумке в современный двухэтажный вагон должен помещаться кошелек пассажира и, если не толстый - сам пассажир (опционально).
Кстати, багажные вагоны мы тоже отменили. Для вашего большего удобства.
Личный кабинет Sumtel вообще только по http
P.S. Проверил сайт Р/Д он тоже теперь тупо на http редиректит.
ну в целом - логичное решение, и пока - работающее.ждемс когда и http выпилят, вместе с поддержкой http/1.0 и 1.1 - браузер не для лазания по всяким там вашим сайтам, браузер - для открывания гугля, гугля, и гугля.
Не только РЖД. Промсвязьбанк psbank.ru тоже отжигает. Gри этом их интернет-банкинг поддерживает TLS 1.2Я смотрю подобная хрень вообще характерна для гос. контор.
Собственно, а что они ещё все должны делать, если EOL OpenSSL 1.0.2 уже на этот новый год приходится
Слава Богу, надо от старья избавляться, а то атаки с понижением версии же
Ещё бы TLS 1.2 deprecated побыстрее признали ! TLS 1.3 наше всё !
Владельцы сайтов озабоченные безопасностью сами перейдут на новые протоколы. Выгода от таких мер как-то не очевидна.
Не все владельцы сайтов - разрабы и читают новости про безопасность очевидно же
владельцы сайтов, озабоченые безопастностью, а не следованию модным трендам, внезапно, могут что-то понимать в этой безопасности, и не стремиться обмазаться наисвежайшим.Поэтому надо щастье им всем засунуть принудительно. И по гланды, чтоб никто не ушел.
Выгода очевидна - интернет принадлежит гуглю.
Но ведь TLS 1.1 считается безопасным! Обновиться не мешает, но заявлять, что скомпрометирован, не предоставив пруфов - это клевета.
Пусть оклеветанный протокол подаёт в суд.
> По данным Google в настоящее время около 0.5% загрузокесли гугель пропихивает это, он ещё и не такую статистику нарисует.
Как админ сайтам могу сказать одно - наличие кучи разных TLS приводит к конфликтам.
Использование одного - легче, и вот разрабы хрома и толкают одну версию.
пример конфликта пожалуйста, хоть один
Что за тоталитаризм - запретить. Пусть работает, кому надо, но не запрещать.
А если на сайте подключен и TLS 1.2, и TLS 1.0/1.1, все равно браузеры будут блокировать сайт? И будет ли предупреждение в этом случае "Not secure"?