Http всё⁠⁠

EV не понимаю почему убрали. Это как раз помогает отличить мошенников от нормальных контор, т.к EV требует очень серьезной верификации компании и просто так его не дают (насколько знаю)

@mandalala вы явно не понимаете целей этого перехода

Посрать всем заинтересованным на безопасность

Сертификаты новое средство выколачивать деньги

Хостинг из-за конкуренции подешевел но рынок сертификатов практически монополен

Думаете летсекрипту дадут демпинговать?

Атака на него началась ещё несколько лет назад и не надо быть вангой чтобы предсказать что браузеры перестанут принимать любые бесплатные сертификаты уже в ближайшие годы.

Но можете продолжать медленно варится как лягушка и квакать в поддержку нагревающих воду

А говорите проблем не было. Править чужие скрипты это проблема, заняться больше нечем что ли. Летсенкрипт не знаю, вроде серъёзная контора, но всё как-то по-хипстерски. Ломать обратную совместимость в рамках минорных версий это вообще мудачество, ну либо просто неследование семверу. Решил что подожду когда устаканится у них, щас пока прооще платить

Большое спасибо!

Его. Проблемы начались год назад примерно. Без проблем прошло только предыдущее обновление. Последнее на дебиан 8 вообще ни в какую, не стали обновлять что-то в его репах, пришлось вручную искать какие-то файлы и руками чё-то собирать чтобы обновить его. Хотя 8-й должен до весны 2020 поддрживаться. На этом моменте я окончательно закипел, в гробу видел такую "автоматику"

Мне одному кажется что от летсенкрипта гемороя больше чем пользы? Уже дошел до того что покупаю сертификаты. Летсенкрипт просто заебал своими постоянными обновлениями. Что это за автоматика такая, всё по идее должно обновиться само, но не обновляется потому что сам летсенкрипт устарел а самообновиться не смог потому что там теперь всё совсем по-новому. Каждые 90 дней убиваю целый день чтобы разобраться что на этот раз. Документация большая и тоже меняющаяся, есть вещи поинтереснее для изучения. Гуглежка не помогает с первого раза, так как ответы даны для хз какой из предыдущих версий энкрипта этого. Плюс косячит еще, то конфиг запорет, то инфу от одного из сертификатов повтыкает во все остальные на сервере (с коммон неймом такое случилось, на 10 сайтов прописался один технический субдомен 4-го уровня). То ли дело купил, положил, путь прописал - всё.

В интернете в основном только восхваление летсенкрипта вижу. Я один такой?

Недоступность сайта из-за ошибки в сертификате = его неработоспособность для посетителя.

с каких пор рукожопие людей стало проблемой технологий?

Вот этот околоайтишный снобизм очень вреден.

Никто не обязан разбираться в технологиях кроме тех, кто с этим работает.

Далеко не каждый молодой обладатель сайта разберётся, а пожилых создателей контента тоже много - не нужно ставить им палки в колёса. То, что человек не шарит в IT, не значит, что его знания бесполезны и не нужны человечеству (как бы айти-снобам обратное не казалось).

А для сайта без авторизации (рецепты, советы, бложик) и каких-то оплат на сайте https вообще особо не нужен ради этих целей псевдобезопасности (про изменение трафика провайдером и http/2 не говорим).

Вот что интересно, сделал именно это, в /etc/hosts прописал 127.0.0.1 и там фласковый сервер запустил, и браузер на http://googl.com мне открыл мой сайтик!

А потом почитал вики по HSTS (Вы неоднократно написали HTST, кстати), и там "The initial request remains unprotected from active attacks if it uses an insecure protocol such as plain HTTP or if the URI for the initial request was obtained over an insecure channel."

Так что контекст этой фичи - именно ограничить загрузку всяких ресурсов самим сайтом уже. Сайт говорит, что, например, все хостит на своих серверах и все должно идти через HTTPS, и при рендере страницы браузер проигнорирует весь незащищенный контент.

Хм... я был уверен, что на сайте с HSTS браузер запретит впредь открывать эту же страницу с HTTP. Но, кажется, это не так. Наверно с чем-то путаю.

https едва ли защитит от фишинга. Отправлять юзера на http://facebook.com, подменять трафик на свой и угонять так аккаунт - слишком геморно, и как где-то тут уже давали ссылку на исследование, 85% пользователей не заметят подмены, если в заголовке сайта будет не mail.google.com, а mail.google.com.someshit.com. Так что зачем заморачиваться? Отправляешь на вообще левый домен, там контент маскируется под реальный сайт, даже с https, что даже недавно отображалось браузерами как зеленый замочек и внушало ложное чувство безопасности.

Плюс это не сработает на нормальных сайтах из-за включенного HSTS, если в этом браузере этот сайт хоть раз открывали.

Не задумывался, честно говоря. Где бы просветиться на эту тему?

Далеко не все сайты требуют кредитки и пароли

Так суть https не только в шифровании, еще и в верификации узла. Гост будет, трафик будет шифроваться. А как проверить подлинность сайта?

В родном хроме с нового года точно предупреждение про http.
Кстати в файрфоксе 71 очень много что нового запретили. Имеют место быть траблы cdn некоторыми

Это можно реализовать и без центров сертификации

Поголовно забугорных центров к слову

Интересно задумывались ли об этом проектировщики "автономного интернета".

Вообще весь современный интернет стек нужно выбросить на помойку потому что достигнута критическая концентрация костылей и Легаси.

Но это никому кроме пользователей не выгодно и поэтому маловероятно

в хромиуме давно уж.

там ещё просто так в исключения левый сертификат не добавить.