https://www.opennet.ru/openforum/vsluhforumID3/110330.html В соответствии (https://www.troyhunt.com/https-adoption-has-reached-the-tipping-point/) со статистикой (https://ipv.sx/telemetry/general-v2.html?channels=release&measure=HTTP_PAGELOAD_IS_SSL&target=1&absolute=0&relative=1) сервиса Firefox Telemetry (https://telemetry.mozilla.org/) 31 января число обращений к сайтам по HTTPS впервые превысило число обращений по HTTP при рассмотрении усреднённых двухнедельных показателей. Год назад доля HTTPS составляла 40%. В пиковых значениях, при выборке в 24 часа, единичные превышения 50% были зафиксированы в октябре прошлого года. Статистика основана на показателях работы пользователей Firefox, согласившихся передавать обезличенные сводные данные в рамках программы Firefox Telemetry. <br><br><br><br><br><br><br>Интересно, что несмотря на то, что за год доля запросов по HTTPS увеличилась с 40 до 50%, число сайтов с поддержкой HTTPS за последний год удвоилось. Отмечается, что если изначально прирост обращений по HTTPS формировали крупнейшие ресурсы, такие как Google и Facebook, то последнее https://www.opennet.ru/openforum/vsluhforumID3/110330.html#129 Thu, 03 May 2018 14:56:05 GMT &gt;Это не впечатление, это, увы, факт.<br><br>Так же как и факт, что все ТАМ живут хорошо и у каждого по два раба.<br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#128 Wed, 08 Feb 2017 15:56:04 GMT &gt; Но стараниями одновременно активных, изобретательных и очень тyпорылых китайских братьев <br>&gt; (плюс, очевидно, сертификатной мафии) - start нынче там же, где и <br>&gt; wosign, новые сертификаты не будут ничем лучше самоподписанных.<br><br>о, поправка по результатам коммента внизу - вообще работать не будут, в отличие от самоподписанных. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#127 Wed, 08 Feb 2017 15:53:29 GMT &gt;&gt; А как по вашему подписанный сертификат должен приходить из внутреннего источника?<br><br>сам выдумай от имени оппонента глупость, сам ее опровергни, молодец.<br><br>&gt; разница лишь в том, что в Let's Encrypt для этого не нужно производить лишних ручных <br>&gt; действий и процесс можно автоматизировать.<br><br>разница в том, что это _не_лишние_ действия, и этот процесс не "можно", а _придется_ автоматизировать, да еще и обвешать миллионом подпорок и проверок, на случай если что-то пошло не так. <br>При этом всю эту автоматику могут, внезапно, запустить без твоего участия, каким-то образом ненадолго перехватив управление сайтом (не доменом даже!), и получив возможность спокойно читать твой траффик (или даже не запуская ее получить).<br><br>&gt; Вы можете точно также вручную запустить скрипт с определёнными параметрами<br><br>и так - каждый месяц, на каждый домен. Спасибо, ненужно.<br><br>собственно, то что они используют короткие сроки валидности, говорит в том числе и о их собственной степени доверия своей чудо-автоматике.<br><br>(год - это тоже https://www.opennet.ru/openforum/vsluhforumID3/110330.html#126 Wed, 08 Feb 2017 03:13:31 GMT The Security Impact of HTTPS Interception - https://news.ycombinator.com/item?id=13589664<br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#125 Tue, 07 Feb 2017 21:40:10 GMT &gt; Дыра заключается в манипуляции скриптом с получением из внешнего источника файлами и ключами...<br><br>А как по вашему подписанный сертификат должен приходить из внутреннего источника?<br>При получении сертификата от любого CA, вы его всё равно получаете из внешнего источника, разница лишь в том, что в Let's Encrypt для этого не нужно производить лишних ручных действий и процесс можно автоматизировать.<br>&gt; ...кого действительно заботит собственная и чужая безопасность - вводят вручную и желательно с trusted-системы.<br><br>Вы можете точно также вручную запустить скрипт с определёнными параметрами, который создаст запрос на сертификат из параметров, передаст запрос на сертификат, проверит наличие у вас контроля над всеми доменами в сертификате запроса и загрузит вам ваш подписанный сертификат и всё это 1-ой командой за 15 секунд.<br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#124 Tue, 07 Feb 2017 10:21:07 GMT &gt;&gt; лишней поддержки расширений - тоже нет. В том числе и privacy-enforcing <br>&gt; Ни гугель, ни мозилла не знают про такое.<br><br>ну куда им, тупoрылым, действительно.<br><br>&gt; Encrypted Web (форк HTTPS Everywhere) работает прекрасно.<br><br>если тебе всерьез (а не ради лени набирать префикс) оно нужно - ты безнадежен.<br><br>&gt;&gt; носкрипт таковым не является и не особо от чего защищает <br>&gt; Гуй носкрипта - это примерно 10% от его возможностей.<br><br>носкрипт не является средством защиты твоей privacy, что с 10, что со 100% его возможностей.<br>Он вообще не для этого придуман.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#123 Tue, 07 Feb 2017 10:15:46 GMT &gt; Startssl со StartCom не путаешь?<br><br>первое - трейдмарк, второе - компания, которая им владела.<br><br>&gt; Это второй был куплен wosign'ом и они <br><br>там мутная история, скорее всего не куплен, но получил пачку китайских денег, что пол-беды, и китайский менеджмент в нагрузку, а это беда-беда.<br><br>&gt; блочатся в лисе и хроме за нарушения.<br><br>высосанные из пальца. А на деле - за наглость конкурировать с теми у кого все схвачено.<br>И да, как там поживают комода, godaddy (и кого там еще ловили за руку не на теоретически <br>возможной выдаче сертификата на единичный домен уровнем выше, а на вполне себе подтвержденной выдаче своих CA или intermed-CA "хорошим ребятам, ой, только и исключительно для нужд корпоративной безопасности" - чуть ли не верисайн) и Честный Ахмед?<br><br>Блокируются пока только нововыданные ev, правда, что будет дальше - непонятно. Пол-года у китайского менеджера еще есть, научиться понимать английский в достаточной степени для торговли с шантажистами.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#122 Tue, 07 Feb 2017 10:00:43 GMT &gt; А что мешает самому скрипт на баше написать вместо нативного питоновского?<br><br>то что дыра никуда от этого не исчезнет, сюрприз, да. Дыра заключается в манипуляции скриптом с получением из внешнего источника файлами и ключами, которые те, кого действительно заботит собственная и чужая безопасность - вводят вручную и желательно с trusted-системы. Контролируя ручками и глазками и процесс, и результат. <br><br>чего стоят оценки настолько незамутненных персонажей где помойка, а где нет - думающие решат сами.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110330.html#121 Mon, 06 Feb 2017 09:24:39 GMT &gt; А что за плеер то? Народу надо знать.<br><br>э... а что, есть какой-то, который еще не сливает? 8-O <br><br>&gt; А так если Вы прям в курсе таких вещей, почему не подскажете какие домены вы там<br>&gt; блокируете и может еще какие нюансы? Не все ведь способны постигать такие знания <br>&gt; методом тыка, кому то и гайды не помешают.<br><br>если вы не можете посмотреть хотя бы лог сетевых обращений в devtools любимого браузера - боюсь, мой список вам не поможет. К тому же вы очень быстро заблокируете что-нибудь лишнее, типа антифродов (я совершенно не исключаю что пяток их в моем списке - они совершенно неотличимы от продавцов трекинга, если вообще не слились с ними давно), а разобраться потом, почему у вас транзакция по оплате не проходит, не осилите.<br>Опять же, блокировать надо правильно, чтоб браузер не завис на мертвом коннекте.<br><br>Возможно, вас лично спасет банальный плагин с ghostery.com (только не забудьте сперва посмотреть, чем вообще занимается эта контора, чтообы потом не удивляться), где за вас уже все разжевали и в рот пол