Тут очень много шума с этого http://pikabu.ru/story/esli_vyi_ne_paranoik_yeto_eshche_ne_z...

Надо прояснить. Затеряется в говне, ну да похуй. Комменты там посмотрел первую сотню, разоблачения не нашёл. Короче. В любимо ведре есть такая штука.

У красноглазиков такое тоже есть, но как всегда, с задродским оттенком (скрин не мой)

Что это? А это такая штука. Сейчас объясню. Зашли на любимый вк. А там у хрома такое жирное "Надёжный". Что это значит? А это значит, что передавая данные на этот сервер вы шифруете (возможно даже подписываете сверху своим) данные через его сертификат (на самом деле симметричным ключём, но это детали на пару статей).

UPD (сюда ибо логика)

Тут вроде непонятно нихрена. Ещё раз - вот зашифровали. Расшифровать вы НЕ сможете не имея приватного ключа. Ключ есть только у сервера, а сертификат - это способ доставки публичных ключей. Расшифровать не сможет никто. Абсолютно. Даже небо (нашей планете около 4 млрд лет, а для расшифровки надо где-то 20 их).

А здесь мы видим. Сертификат. И цепочку подписей. Так вот, в зависимости от политики вам надо доверять либо а) просто сертификату, б) корневому сертификату, в) предку сертификата. Понятно, что а) проще просто разослать домашний прон, б) и в) особо не отличаются, но вектора атак на б) проще чем на в).

К чему вообще этот осёл тут разорался? Да к тому, что человек чёт там опубликовал, а люди особо даже не удивились. Типа ну. Да. Всё возможно. Так вот, нихуя не всё возможно. Скорее даже нихуя не возможно. Что товарищу перед этим надо сделать, чтобы вообще магия стала возможна? Да очень просто - во все компы вставить по своему сертификату. В доверенные (первый скрин). Типа такого (снова чужая пикча)

Тогда я не я, корова не моя, браузер верно подчинится, а вы сольёте свои данные. Что делать, чтобы этого не произошло? Пара аббревиатур: BYOD, SSH, VPN. Ну и банальная внимательность. Живите дружно и защищайте свою приватность!

P.S. Я не спорю, что потенциально ЦРУ, ЗОГ и рептилоиды всё про нас знают. Однако это уже религиозная война, матан говорит, что если у вас в запасе 20 миллиардов лет, то можно. А так - нельзя. Ещё Шеннон сформулировал, а Ривест с Шамиром и Аделманом предложили рабочий вариант (до сих пор пользуемся).

Краткая хронология:
В августе 2014 Google заявляет о том, что безопасность пользователей для компании один из главных приоритетов и https-сайты, могут рассчитывать на дополнительный бонус при ранжировании.

В декабре 2015 года Google начинает по-умолчанию индексировать  HTTPS-версию страницы, если сайт доступен для индексации по обоим протоколам: http и https.

В январе 2016 года Google сообщает, что даже те HTTPS-сайтаы, которые косячно перешли на https - получают бонус в ранжировании.

С января 2017, браузер Chrome 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные, гугл об этом пишет в своём блоге.

Пока это страницы, где требуется ввод пароля (страницы логина/регистрации) или данных карты, но со временем все http-сайты будут помечаться как НЕбезопасные.

Так же Google в Google Search Console начал рассылать предупреждения о том, что на вашем сайте n-ные страницы признаны небезопасными.

Переходить или нет?

Переход на https критически важен для сайтов с конфиденциальной и личной информацией, с платёжными данными, это например, интернет-магазины.

Остальные сайты, в принципе, могут пока не париться.

Лично по моему мнению, переходить нужно всем, связано это не с паранойей, а с тем, что всё же, наличие https рано или поздно точно станет фактором ранжирования, можно будет собрать сливки по конкурентам.

Конкретно в моей тематике, есть уже два сайта аутсайдера, они прикрутили сертификат крайне криво. Умный читатель догадается куда ушла трафика с них.

Виды сертификатов

-С проверкой домена (DV или Domain Validated)

Подходит для физиков и юриков. Защищает только домен и гарантирует только то, что соединение с сайтом защищено. Стоит дешево, иногда даже бесплатно, максимум, что требуется для подтверждения - принять письмо или разместить на сайте текстовый файл или метатег.Получается быстро

-С проверкой организации (Organization Validated или OV)

Такой сертификат дают только юрикам или ИП, ну и госорганам, хотя они тоже к юрикам скорее относятся.

Проверяют документы, существование юрлица и права на домен.

Домен проверяется как в пункте выше, юрлицо могут пробивать вплоть до наличия во всяких разных справочниках "Жёлтых страницах", возможно, что это байка.

Получение данного сертификата это 1-3 дня, примерно. Если доки в порядке.

-С расширенной проверкой организации (Extended Validation SSL (EV SSL))

Это самый дорогой вариант сертификата. Проверяют всё и проверяют тщательно.
Из бонусов - название организации слева от адресной строки, а не просто зелёный замочек.

Обычно используется банками, платежными системами, крупными интернет-магазинами

Дополнительные фичи сертификатов

-Обычный сертификат - на один домен или субдомен, www входит по умолчанию. Отдельно для него не нужно приобретать.

-Wildcard - для нескольких субдомен одного домена

-С поддержкой IDN - для кириллических доменов, мерзость.рф, личная антипатия.

-Мультидоменный сертификат - выдаётся на несколько доменов одной организации

Сертификаты продаются на срок 1-3 года, как правило, если у вас не школохост, то можно у хостера приобрести сертификат,обычно, при покупке хостер его сам и устанавливает. Если у вас виртуальный хостинг. На VPS и дедиках могут и отказать, сказать, что за отдельную плату.

Раньше для https требовался выделенный IP, нынче, технологии дошли до того, что можно сидеть на общем IP и иметь сертификат. Технология называется SNI и поддерживается любым современным браузером, с седьмого ишака, кажись.

Продолжение следует

Работаю в хостинге: размещаем сайты пользователей на своих серверах.

Ввиду гигантского количества вопросов, которые нам задают и начинающие, и опытные пользователи, при помощи Пикабу хочу разъяснить некоторые принципы, аспекты и особенности этого ответвления IT-сферы. Не уверен, что количество вопросов от наших пользователей уменьшится, но попытаться стоит.

Даже если вы не пользуетесь хостингом, предположу, что эта информация может быть познавательна.

Сегодня, как я обещал ранее, речь пойдёт о типах SSL-сертификатов, которые можно создать самостоятельно, приобрести за деньги, получить бесплатно, и о разнице между такими сертификатами.

Итак, первый и самый простой способ получить сертификат для своего сайта — купить его. Для этого можно обратиться в любой центр по выпуску сертификатов и заказать сертификат у них, предоставив в процессе заказа информацию, по которой будет проведена проверка. В зависимости от целей и амбиций вы можете выбрать платный сертификат с различными типами проверки данных:

D — сертификаты с проверкой домена. При регистрации такого сертификата производится только проверка доменного имени. Это самый простой в оформлении и дешевый тип SSL сертификатов. Купить такой SSL сертификат может любая организация и любое физическое лицо. При заказе сертификата необходимо указывать "E-mail адрес для подтверждения" в сертифицируемом домене: на этот адрес будет приходить письмо для подтверждения "владения доменом". То есть, если оформляется сертификат на домен pikabu.ru, то серт. центр предоставит выбор из нескольких ящиков, который можно будет указать в проверочных данных, например info@pikabu.ru, admin@pikabu.ru и другие. Указанный адрес должен обязательно существовать, все письма с инструкциями сертификационного центра будут высылаться на этот E-mail. При этом оформление сертификатов на домены, в имени которых содержатся намёки на банк, финансы и прочие подозрения на "фишинг" невозможно. Если нужен сертификат для домена кредитной организации, то оформление такого сертификата только с проверкой организации. Сайт с таким сертификатом будет показывать в адресной строке браузера «зелёный замочек» (у разных браузеров по-разному).

D+O — сертификаты с проверкой домена и организации. В этом случае происходит не только проверка доменного имени, но и принадлежность домена к указанной организации. При посещении сайта защищенного таким сертификатом в адресной строке браузера будет показываться название организации. Перед оформлением необходимо убедиться, что доменное имя было зарегистрировано на организацию, а не на физическое лицо, например, на директора или системного администратора компании. Помимо этого, для некоторых видов сертификатов, необходимо будет заполнить форму с реквизитами организации, для проверки их сертификационным центром.

IDN (Internationalized Domain Names) — поддержка национальных доменов. Поддержка доменов не с латинскими символами. Если у вас домен например в зоне .рф, то такой вид сертификатов — ваш выбор.

EV (Extended Validation) — расширенная проверка. Такие сертификаты получают самое высокое доверие со стороны браузеров. Для этого вида сертификатов проводится полная проверка организации, включая обязательное заполнение форм с данными компании, заверяемых подписью и печатью. Но столь «сложное» оформление даёт самый высокий уровень доверия, чему свидетельствует "зеленая адресная строка" в браузере посетителя сайта, которая говорит о том, что сайт прошёл серьёзную проверку и все данные передаваемые между посетителем и сайтом надёжно защищены.

WildCard — поддержка субдоменов. Wildcard сертификат можно использовать на всех субдоменах (поддоменах) доменного имени. Один такой сертификат будет действителен на доменах www.pikabu.ru, test.pikabu.ru, accounts.pikabu.ru и т.д. без каких либо ограничений на количество субдоменов.

SGC (Server Gated Cryptography) — высокий уровень шифрования. Сертификаты с поддержкой принудительно высокого уровня шифрования обеспечивают максимально высокий уровень шифрования вне зависимости от типов и версий браузеров клиентов. Если пользователь использует старую версию браузера, поддерживающую только 40 или 56 битное шифрование, то при использовании SGC-сертификата соединение все равно будет использовать 128(и более) битное шифрование.

SAN/UCC (United Communications Certificate) — мульти-доменные сертификаты. SAN SSL-сертификаты, так же известные как Единые сертификаты связи (UCC) идеальны для продуктов Microsoft Exchange, а так же для защиты мульти-доменных проектов. Такие сертификаты защищают все описанные в заявке домены, субдомены, локальные имена используя лишь 1 сертификат.

Помимо глубины проверки данных, разные типы сертификатов дают разные страховые возмещения. Об этом стоит рассказать отдельно.

Каждый платный сертификат подразумевает наличии страховки. Страховка покрывает финансовые риски посетителя сайта. Например, сертификат гарантирует страховое возмещение в размере $10000. Значит, если на домене установлен такой сертификат, и посетитель сайта домена в результате операций сайте понёс какие-либо финансовые убытки из-за взлома ключа сертификата, то такие убытки будут покрыты сертифкационным центром вплоть до $10000. На практике же лично мне не известно ни одного случая, когда такое возмещение было бы выплачено. И дело не в том, что SSL настолько суровая технология, что взломать ключи, а, следовательно, подсмотреть шифрованный трафик, невозможно. Скорее очень сложно доказать, что это произошло. Даже когда пару лет назад была анонсирована катастрофическая уязвимость в протоколе SSL, которая получила название «HeartBleed», информации о каких-то возмещениях не было.

Также хочу заметить, что чаще всего самую низкую цену на сертификат вы получите не напрямую у серт.центра, а у посредника. Т.к. они, также как в ситуации с доменами, получают адские скидки из-за оптовых закупок, и, соответственно, могут предложить более низкую цену, чем у самих серт. центров.

Второй способ получить сертификат чуть более сложный. Его можно сгенерировать самостоятельно. Для его воплощения потребуется как минимум командная строка любой unix-системы, пара часов «курения» интернетов по запросам "Генерируем SSL сертификат самостоятельно", а затем пара несложных команд в командной строке.

В результате будет получен набор файлов, которые в последствии можно использовать для подключения сертификата на домен сайта.

Помимо очевидного минуса в необходимости выполнения каких-то самостоятельных телодвижений, в итоге получится, что для работы с сайтом, использующим такой сертификат, пользователю придётся также лишний раз нажать на пару кнопок в браузере.

Это будет происходить из-за того, что бразуры имеют собственную базу сертификационных центров, сертификатам которых они доверяют. Выпущенный же самостоятельно сертификат так и называется «самоподписанный сертификат». Сертифкационным центром в этом случае выступает компьютер, на котором выпущен сертификат. Соответственно, доверия этому компьютеру у браузера нет. Поэтому бразуер будет выводит сообщение об отсутствии проверки сертификата. Такие сертифткаты лично я рекомендовал бы использовать только для собственных нужд, а в Сети всё-таки пользоваться сертификатами от доверенных серт. центров.

Но что делать, если платить даже 10 северо-американских рублей за сертификат не хочется, но душа требует работать с вашим публичным проектом по зашифрованному каналу? До недавнего времени делать было нечего. Таким образом мы плавно подошли к последнему варианту.

Способ третий. Немного издалека.

Пару лет назад группа интернет-компаний скооперировалась и создала свой собственный лунапарк сертификационный центр, который занимается выпуском бесплатных сертификатов для всех желающих. Центр называется «Let's Encrypt». Каждый выпускаемый ими сертификат проходит проверку типа D, действует в течение 90 дней, а по истечении этого периода может быть бесплатно перевыпущен. Количество перевыпусков не ограничено.

Именно такой сертификат от Let's Encrypt я советую почти всем, кто столкнулся с необходимостью использовать SSL.

Для самостоятельного выпуска такого сертификата нужно скачать с сайта организации некоторый софт и запустить его. Ответить на несколько вопросов, которые софт задаст, и дождаться получения файлов сертификата.

Не сочтите за рекламу. Проект не получает никакой финансовой выгоды из выпуска таких сертификатов. Группа компаний лишь ратует за безопасный интернет.

Сейчас уже многие хостеры интегрировали функционал выпуска и перевыпуска таких сертификатов в автоматическом режиме. Например, хостинг панель в нашей компании с последним апдейтом от разработчиков получила новые кнопки, которые позволяют получить сертификат для домена сайта в течение нескольких минут.

картинка кнопок Let's Encrypt в панели isp

Перевыпуск производится автоматически, поэтому, однажды выпустив такой сертификат, можно вообще забыть о небезопасном соединении со своим проектом. Останется только перевести сайт домена на работу с безопасным протоколом https.

Небольшой бонус. Какой сертификат мне выбрать для своего проекта? Здесь всё достаточно просто.

Всё зависит от того, для чего именно вам нужен сертификат? Большинству пользователей сейчас подойдёт бесплатный сертификат от Let's Encrypt.

Если вам нужен сертифткат для сайта финаснсового учреждения, то нужно задуматься о платном сертификате с уровнем проверки минимум D+O.

Все остальные сертификаты это:

1. Ваши амбиции - зелёная адресная строка в браузере не более, чем понты

2. Финансовые возможности.

3. Техническая необходимость - иногда проще заплатить за мультидоменный сертификат, чем выпускать по сертификату на каждый используемый домен.

Всем спасибо за внимание. Если есть какие-то вопросы - добро пожаловать в комментарии.

P.S.:

Заметил, что по предыдущим моим постам, что они набирают некоторое количество минусов. Рейтинг мне не важен, но хотелось бы понять, что именно в моих постах вызывает негатив. Возможно, я смогу исправить это, если вы будете писать об этом в комментариях.