Предупреждения браузера и TLS на Exler.ru
На сайте Алекса Экслера читаем, что при работе с почтой (предоставляемой в домене exler.ru), теперь есть HTTPS, но нужно игнорировать предупреждение безопасности браузера:
Почта на Exler.ru теперь работает по HTTPS-протоколу с самоподписанным сертификатом. Системы безопасности в браузерах на самоподписаный сертификат будут ругаться – предупреждаю. Поэтому надо адрес mail.exler.ru занести в исключения (доверенные сертификаты) – тогда ругаться не будет.
(Сертификат там, кстати, отдаётся не самоподписанный, но это детали.)
Именно так приучают массового пользователя к тому, чтобы он, фактически, игнорировал HTTPS, убивая этот протокол. Дело в том, что призыв игнорировать предупреждения и добавлять исключения, делает HTTPS близким к открытому HTTP, в плане перехвата трафика. Потому что в XXI веке настроить SSL-прокси не так уж и сложно. Естественно, главное отличие, в смысле перехвата, остаётся: для чтения HTTP достаточно пассивного “снифера”, HTTPS потребует активной подмены узлов. Но приучать пользователей давить кнопку “Всё равно продолжить” (название условное) – это совсем нехорошо. (Признаваемый браузерами сертификат стоит не так дорого, можно ещё найти бесплатные, а уж для exler.ru, думаю, кто-нибудь просто подарил бы сертификат.)
Адрес записки: https://dxdt.ru/2015/01/16/7234/
Похожие записки:
- Модули DH в приложении Telegram и исходный код
- Интерпретация DMARC в разрезе DKIM
- Как правильно "показать TLS-сертификат", рекомендации
- Реплика: атака посредника в TLS и проблема доверия сертификатам
- TLS-сертификаты dxdt.ru
- Ретроспектива заметок: ключ по фотографии
- Таблицы подстановок: картинка
- Пресертификаты в Certificate Transparency
- Геопривязка в персональных цифровых финансах
- Бывшая "Яндекс.Почта"
- "Авторизованный трафик" и будущее Интернета
Комментарии читателей блога: 4
1. 16th January 2015, 15:43 // Читатель Z.T. написал:
одна полезная возможность с само-подписаным сертификатом – если браузер делает certificate pinning. тогда без обьяснения почему сертификат другой, по другому каналу (скажем twitter), есть подозрение о прослушевание или подмене content-а. но с обычным браузером это дурной совет. может EFF даст бесплатные сертификаты всем?
2. 16th January 2015, 22:59 // Александр Венедюхин ответил:
Может быть даст, но что-то есть сомнения, что это случится в скором времени.
3. 26th January 2015, 21:16 // Читатель jno написал:
а пока сертификаты snake-oil хорошо фильтруют лишних посетителей :)
4. 18th June 2015, 01:40 // Читатель johndou написал:
да сертификат смешных денег стоит. Но Экслер жадноват:)