Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Предупреждения браузера и TLS на Exler.ru
На сайте Алекса Экслера читаем, что при работе с почтой (предоставляемой в домене exler.ru), теперь есть HTTPS, но нужно игнорировать предупреждение безопасности браузера:
Почта на Exler.ru теперь работает по HTTPS-протоколу с самоподписанным сертификатом. Системы безопасности в браузерах на самоподписаный сертификат будут ругаться – предупреждаю. Поэтому надо адрес mail.exler.ru занести в исключения (доверенные сертификаты) – тогда ругаться не будет.
(Сертификат там, кстати, отдаётся не самоподписанный, но это детали.)
Именно так приучают массового пользователя к тому, чтобы он, фактически, игнорировал HTTPS, убивая этот протокол. Дело в том, что призыв игнорировать предупреждения и добавлять исключения, делает HTTPS близким к открытому HTTP, в плане перехвата трафика. Потому что в XXI веке настроить SSL-прокси не так уж и сложно. Естественно, главное отличие, в смысле перехвата, остаётся: для чтения HTTP достаточно пассивного “снифера”, HTTPS потребует активной подмены узлов. Но приучать пользователей давить кнопку “Всё равно продолжить” (название условное) – это совсем нехорошо. (Признаваемый браузерами сертификат стоит не так дорого, можно ещё найти бесплатные, а уж для exler.ru, думаю, кто-нибудь просто подарил бы сертификат.)
Адрес записки: https://dxdt.ru/2015/01/16/7234/
Похожие записки:
- DNSSEC и особенности развития технологий
- Техническое: один практический пример ошибочных настроек DNS
- Задержки пакетов, СУБД, TCP и РЛС
- Ссылки: популярное описание ECH
- Техническое: Google Public DNS и DNSSEC
- Радиомодуль в смартфоне и недокументированные возможности
- Домены и адреса
- Контринтуитивное восприятие ИИ на примере из криптографии
- Техническое: ключи DNSSEC и их теги
- Блокирование видео на Youtube и ошибки копирования
- Онлайн-фильтрация URL в браузере Chrome
Комментарии читателей блога: 4
1 <t> // 16th January 2015, 15:43 // Читатель Z.T. написал:
одна полезная возможность с само-подписаным сертификатом – если браузер делает certificate pinning. тогда без обьяснения почему сертификат другой, по другому каналу (скажем twitter), есть подозрение о прослушевание или подмене content-а. но с обычным браузером это дурной совет. может EFF даст бесплатные сертификаты всем?
2 <t> // 16th January 2015, 22:59 // Александр Венедюхин:
Может быть даст, но что-то есть сомнения, что это случится в скором времени.
3 <t> // 26th January 2015, 21:16 // Читатель jno написал:
а пока сертификаты snake-oil хорошо фильтруют лишних посетителей :)
4 <t> // 18th June 2015, 01:40 // Читатель johndou написал:
да сертификат смешных денег стоит. Но Экслер жадноват:)