SSL-сертификат
- Автор темы Major Sky
- Дата начала
Patro de Nordo
Пользователь
- Сообщения
- 343
- Город
- Пущино
- Прыжков
- 300+
Все ок.
Общее имя (ЦС)
www.major-sky.ru
Организация
<Не является частью сертификата>
Подразделение
<Не является частью сертификата>
GlobalSign GCC R3 DV TLS CA 2020
Организация
GlobalSign nv-sa
Подразделение
<Не является частью сертификата>
пятница, 31 марта 2023 г. в 20:29:22
Срок действия истекает
вторник, 31 октября 2023 г. в 20:29:22
Общее имя (ЦС)
www.major-sky.ru
Организация
<Не является частью сертификата>
Подразделение
<Не является частью сертификата>
Выдан:
Общее имя (ЦС)GlobalSign GCC R3 DV TLS CA 2020
Организация
GlobalSign nv-sa
Подразделение
<Не является частью сертификата>
Срок действия
Дата выдачипятница, 31 марта 2023 г. в 20:29:22
Срок действия истекает
вторник, 31 октября 2023 г. в 20:29:22
Зря Subject указал в виде www.major-sky.ru.
Но wildcard-сертификаты всяко дороже, так что в принципе в обозримой перспективе и так сойдет, маловероятно что wildcard вообще потребуется.
Да, все норм, https работает правильно на первый взгляд.
Но wildcard-сертификаты всяко дороже, так что в принципе в обозримой перспективе и так сойдет, маловероятно что wildcard вообще потребуется.
Да, все норм, https работает правильно на первый взгляд.
- Сообщения
- 1 032
- Город
- Москва
- Прыжков
- 397
Вроде всё нормально.
- Сообщения
- 1 032
- Город
- Москва
- Прыжков
- 397
Спасибо за раскрутку рессурса
- Сообщения
- 1 046
- Город
- Сочи
- Прыжков
- 1049
вроде не раскручивал )Спасибо за раскрутку рессурса
- Сообщения
- 1 032
- Город
- Москва
- Прыжков
- 397
Но процесс же идёт благодаря тебе, уже почти 150 пользователей зарегилось.
И это только начало большого пути
- Сообщения
- 1 046
- Город
- Сочи
- Прыжков
- 1049
Бесплатный SSL кончился. Платный 5100 руб. Надо ли?)
А платный на какой срок?
HTTPS все-таки полезен, хотя тут чувствительной инфы маловероятно кто держит, но все-таки спокойнее. Но шифрования все-таки хочется.
Есть два варианта. Чтобы все понимали - сертификат, это метод, посредством которого всем известный и доверенный центр сертификации подтверждает: "да, я, центр сертификации, подтверждаю, что это на самом деле major-sky.ru".
Первый - https://zerossl.com/ - там бесплатно на 90 дней, но каждые 90 дней нужно перевыпускать. Я как понял, перевыпуск тоже бесплатно, но важно не-про-этосамить вспышку. Ну то есть каждые 90 дней логиниться туда в личный кабинет и продолжать утверждать, что ты - это ты.
Второй - это самоподписанный сертификат. Ну то есть, в терминах выше: "Я, major-sky.ru, утверждаю, что я и есть major-sky.ru". Броузеры будут поначалу ругаться, но если добавить в доверенные - то перестанут. Такой ты можешь хоть сам сгенерить, хоть меня попросить - мне не влом.
Вразумительнее поясню.
Зачем нужно шифрование HTTPS - сейчас великое множество бесплатных или условно бесплатных WiFi-точек. Ну вот в МакДак-И-Точка, при существующем бардаке, только ленивый сисадмин не поставит сниффер трафика. А без шифрования на уровне HTTPS авторизация на форуме вскрывается весьма легко. И сколько пользователей форума используют те же ники и те же пароли на других ресурсах? Вот и получается, что если без HTTPS вы залогинились на форум - то скорее всего ваш ник/пароль уже срисовали, и остается только надеяться на лень тех мамкиних хакеров, что они им не воспользуются.
В случае шифрования с HTTPS - срисовать его возможно только зная приватный ключ сервера, который по идее знает только сервер. Так что спалиться при доступе с публичного WiFi ощутимо менее вероятно (почти невероятно).
Самоподписанный сертификат - реализует вразумительно все шифрование трафика, но не гарантирует того, что вы зашли именно на нужный ресурс, а не его клон. В принципе, опасно это только в первый раз, после чего вы добавляете сертификат сервера в доверенные, и броузер перестанет ругаться. А вот если ругнулся - значит, вы заходите на клон и туда ходить не надо.
Сертификат от центра сертификации - по сути, исключает риск того самого первого захода, в остальном все то же самое.
Зачем нужно шифрование HTTPS - сейчас великое множество бесплатных или условно бесплатных WiFi-точек. Ну вот в МакДак-И-Точка, при существующем бардаке, только ленивый сисадмин не поставит сниффер трафика. А без шифрования на уровне HTTPS авторизация на форуме вскрывается весьма легко. И сколько пользователей форума используют те же ники и те же пароли на других ресурсах? Вот и получается, что если без HTTPS вы залогинились на форум - то скорее всего ваш ник/пароль уже срисовали, и остается только надеяться на лень тех мамкиних хакеров, что они им не воспользуются.
В случае шифрования с HTTPS - срисовать его возможно только зная приватный ключ сервера, который по идее знает только сервер. Так что спалиться при доступе с публичного WiFi ощутимо менее вероятно (почти невероятно).
Самоподписанный сертификат - реализует вразумительно все шифрование трафика, но не гарантирует того, что вы зашли именно на нужный ресурс, а не его клон. В принципе, опасно это только в первый раз, после чего вы добавляете сертификат сервера в доверенные, и броузер перестанет ругаться. А вот если ругнулся - значит, вы заходите на клон и туда ходить не надо.
Сертификат от центра сертификации - по сути, исключает риск того самого первого захода, в остальном все то же самое.
Patro de Nordo
Пользователь
- Сообщения
- 343
- Город
- Пущино
- Прыжков
- 300+
Но это неточно.
Во-первых, если заход со своего устройства, на котором запомнен логин, то авторизация делается без передачи пароля, по сохраненным "печенькам" (кукисам).
Во-вторых, даже если происходит авторизация с указанием пароля, то опять не факт, что пароль передается. Если движок форума не дебилы делали, то для авторизации должны использоваться безопасные протоколы, при которых сам пароль не передается ни в каком виде, а передается только необратимый хэш от пароля и контрольного одноразового ключа. Сервер выполняет у себя то же самое преобразование и сравнивает результат с полученным хэшем.
Получается, единственный риск потери пароля путем простого анализа траффика - это момент регистрации на сайте нового пользователя. Но мне сложно представить, чем ценен логин свежезарегистрировавшегося из кафе скайдайвера.
Остается риск более сложных атак, с подменой сайта, но то такое... если уж от этого защищаться, то комплексно.
То есть, резюмируя, практической критической необходимости в SSL для этого сайта нет.
Но есть чисто психологическая неприятность в том, что некоторые браузеры в том или ином виде вопят и выставляют такие сайты как потенциально опасные:
И среднестатистический обыватель напряжется, не пытаясь вникнуть в суть. Получается SSL тупо навязывают, чем и пользуются продавцы записей в СУБД.
В общем, на мой взгляд можно без ssl. Только надо решить проблему с тем, чтоб не перенаправляло по-умолчанию на https, а то я думал что сайт лежит, пока не подсказали, что надо по http войти.
Но если решите скидываться - я поучаствую.
Ну если так, так можно и так. Вероятно, что я параноик по безопасности. Я предложил как сам считаю правильным, не факт что это дешевое решение.
Ну а вот перенаправление это уже не ко мне. Пусть оператор сайта сам решает.
Но без SSL я на этот ресурс ходить не собираюсь.
Ну а вот перенаправление это уже не ко мне. Пусть оператор сайта сам решает.
Но без SSL я на этот ресурс ходить не собираюсь.
5р в год - это очень много. Есть множество сервисов гораздо дешевле. Имеет смысл рассматривать - 3к рублей на 3 года.
Но вообще - без SSL там много чудес вылезает, типа DTD и тому подобное.
Я за то, чтобы скинуться, но 5100 за год - это дохрена. Столько 3 года стоить должно.
Patro de Nordo
Пользователь
- Сообщения
- 343
- Город
- Пущино
- Прыжков
- 300+
Согласен, что 5100 в год, да еще с низким уровнем доверия - дохрена.
Вот тут 1600:
