Предупреждения браузера и TLS на Exler.ru
На сайте Алекса Экслера читаем, что при работе с почтой (предоставляемой в домене exler.ru), теперь есть HTTPS, но нужно игнорировать предупреждение безопасности браузера:
Почта на Exler.ru теперь работает по HTTPS-протоколу с самоподписанным сертификатом. Системы безопасности в браузерах на самоподписаный сертификат будут ругаться – предупреждаю. Поэтому надо адрес mail.exler.ru занести в исключения (доверенные сертификаты) – тогда ругаться не будет.
(Сертификат там, кстати, отдаётся не самоподписанный, но это детали.)
Именно так приучают массового пользователя к тому, чтобы он, фактически, игнорировал HTTPS, убивая этот протокол. Дело в том, что призыв игнорировать предупреждения и добавлять исключения, делает HTTPS близким к открытому HTTP, в плане перехвата трафика. Потому что в XXI веке настроить SSL-прокси не так уж и сложно. Естественно, главное отличие, в смысле перехвата, остаётся: для чтения HTTP достаточно пассивного “снифера”, HTTPS потребует активной подмены узлов. Но приучать пользователей давить кнопку “Всё равно продолжить” (название условное) – это совсем нехорошо. (Признаваемый браузерами сертификат стоит не так дорого, можно ещё найти бесплатные, а уж для exler.ru, думаю, кто-нибудь просто подарил бы сертификат.)
Адрес записки: https://dxdt.ru/2015/01/16/7234/
Похожие записки:
- Алгоритмы преобразования в биометрии
- CVE-2024-3094 про бэкдор в liblzma и теория ИБ
- Симметрии и дискретное логарифмирование
- "Почти что коллизия" и хеш-функции
- "Авторизованный трафик" и будущее Интернета
- Теги ключей DNSSEC: продолжение
- Реплика: история с сертификатом Jabber.ru и "управление доверием"
- Квантовые атаки на решётки
- DNSSEC и DoS-атаки
- Тест SSLLabs и X25519Kyber768
- Трафик на тестовом сервере TLS 1.3 и ESNI
Комментарии читателей блога: 4
1 <t> // 16th January 2015, 15:43 // Читатель Z.T. написал:
одна полезная возможность с само-подписаным сертификатом – если браузер делает certificate pinning. тогда без обьяснения почему сертификат другой, по другому каналу (скажем twitter), есть подозрение о прослушевание или подмене content-а. но с обычным браузером это дурной совет. может EFF даст бесплатные сертификаты всем?
2 <t> // 16th January 2015, 22:59 // Александр Венедюхин:
Может быть даст, но что-то есть сомнения, что это случится в скором времени.
3 <t> // 26th January 2015, 21:16 // Читатель jno написал:
а пока сертификаты snake-oil хорошо фильтруют лишних посетителей :)
4 <t> // 18th June 2015, 01:40 // Читатель johndou написал:
да сертификат смешных денег стоит. Но Экслер жадноват:)