Https

[raulik]

Chcete HTTPS ? Tak diskutujte

[newbie]

Mam pocit, ze vetsine lidi to bude jedno nebo nevi co to znamena. Ono i SSL je docela deravy, zalezi jakou verzi chces nasadit

[gumidek]

Přiznávám,že tohle mi nic neříká.Jsem jen prostý uživatel počítače a internetu.Vím,že existují nějaké protokoly,ale detaily opravdu nevím.Takže sorry,ale klikám "C"

[mirek]

je mi to skoro jedno ale proč ne https
raulíku: občas se mi to přesměruje do bastlírny !

[raulik]

mirek: no koukal jsem, ze se to presmeruje pri https - coz poresim, az prijdu na to kde to je

to all: https - zatim jsou - pokud vim - moznosti certifikatu zdarma bez moznosti vice webu na jedne IP - a jelikoz adresami neoplyvam, tak je varianta pockat do listopadu, kdy by mely byt pristupne i lepsi certifikaty. Moc tomu nehovim, ale jeden clobrda se ptal a tak se ptam dal - zdali pro Vas sifrovani Vasi komunikace s forem ma ci nema smysl.

[mskvor]

Přiznám se, že mně je to celkem jedno. Není to web, kde bych měl uložené nějaké důvěrné informace, jako číslo karty nebo adresu, takže mě to netrápí.
Využívám této příležitosti, abych se zeptal, jestli byl web tento víkend, myslím, že v sobotu, mimo provoz. Nešlo se mi sem vůbec dostat a už jednou, též o víkendu to bylo to samé.

Díky, MS

[raulik]

mskvor> jo, v sobotu to bylo ko :-) obcasne vypadky tam jsou, kdyz treba restartuju hypervisora :-) (= par minut apod) ale tenhle byl skoro celodenni.

[nobody]

pripojim take svuj nazor : jelikoz tomu nerozumim a jak nekdo psal - nejsou tu extra duverna data - tak jsem hlasoval C 

[marco]

Za sebe dávám NE, na tento web nepřenáším žádná tejná nebo choulostivá data, ale snaha se cení. Díky 

[raulik]

Neni zac, spis me zajimalo co na to rikate, kdyz uz mi nekdo (ozve se potrefena husa) napsal - jelikoz abdl nema HTTPS tak mi neco nejak nekde nechodi.

Technicky zhruba receno takto :
Takze to byl spise jen dotaz. Ono totiz prozatim (uvidime v tom listopadu) neni jednoduche sehnat certifikat, ktery by umel vice webu na jedne IP - nevim jak se jim rika, tolik do toho nevidim. V realu se da sehnat jen za prasule. Zdarma umim certifikat od startssl, ktery tohle ale neumi = je potreba pro kazdy takovy web zvlast ip adresa pro server. Temito ip adresami nevladnu neomezene, a proto se mi do toho nechce. Ona potrefena husa si ale asi mysli (nebo vi kde sehnat zdarma serverovy certifikat pro vic webu na jedne ip), ze mam docela tlustou prkenici a automaticky bych mel na takovyhle forum https nainstalovat. Pro info - nemam.

Technictina konci zde
Proto me jen napadlo se zeptat, zda-li je to pro uzivatele zajimave, ci neni. A samozrejme hafo z nich nevi o cem mluvim - ovsem ti by si meli mirne rozsirit obzory (ne kvuli tomuhle webu, ale treba kvuli bance/poste/atd). Zminena snaha tedy prisla jen z popudu jednoho rejpala.

[lycanth]

Hele rauliku, dík za iniciativu. Aby bylo jasno, já jsem tá netrefená kachna, rejpal, clobrda (to poslední jsem teda ani nevygooglil, co znamená, taky nevím co je "tlustá prkenice") 

Pro ujasnění, nebylo to zdaleka tak dramatické, jak se popisuje, jenom jsem nahlásil něco, co vypadalo jako bug/zapomenutá debug featura (a nakonec vypadalo jako man-in-the-middle nesmyslné přesmerování). Rauliku, vícero domén u https jsi vůbec nezmiňoval, ale když tak napiš, jaké bys v tom certifikátu měl mít.

StartSSL zdarma podporuje 2 domény (jednu doménu 2. řádu a další poddoménu). Nejlevnější multi-SAN certifikát ("multiple Subject Alternative Names", jak se certifikát s vícero doménami jmenuje) stojí asi od 420 Kč za rok, za víc roků je poplatek levnější. Když tak to zasponzoruju, pokud těch domén v certifikátu nebude hodně (od toho závisí cena). Případně pomůže s nasazováním.

Jinak se může počkat na ten Let's Encrypt, kde budou certifikáty zadarmo (v listopadu by se to mělo rozběhnout).

Méne techničtiny:

Mně přijde, že data přenášená odsud jsou relativně citlivá - zřejmě nikdo z vás nevěší na nos sousedům, že na tuto stránku chodíte. Možná netušíte, že je obrovské množství napadených domácích routerů (těch malých šedých, černých nebo bílých wifi "krabiček", co máte na skříni). Na nich se odposlouchává, co leze ven (třeba hesla, nebo cokoliv si "nový pán" zmyslí, že ho zajímá) a útočí se z nich dál. Tyto informace se hromadně prodávájí dál komukoli, kdo za ně zaplatí (nechci jít tady do detailů, už teď je post dlouhý, googlete "router botnet").

[raulik]

Ono to taky nebylo mysleno zle, kdyz jsem zde tu otazku nadnesl. Kazdopadne si me predtim nastval, kdyz reportujes chybu a pritom nejdes naprimo, ale pouzivas COSI ciziho jako mezivrstvu. To je jak nezkusit ping/nslookup/if/ipconfig a volat do seznamu, ze jim nejde web

Jasny, ale kdopak ma dneska na pomer ip-web ? Ohledne cen, nevim, nestudoval jsem posledni rok dva, ale predtim to bylo kolem par litriku rocne. Nicmene, ano, citliva data tu jsou, routery v pytli taky, ovsem takovej TOR - <rejp vypnut> byl prave tim duvodem, proc ti zlobilo forum - ze by odposlech, ci chybna proxy ? <rejp znovuzapnut> Uvidme v listopadu jak dopadne ten LE, nebot seznam domen nejsem schopen vubec dat do kupy, kdyz se na tom ip stale domeny menej - pribejvaj. Co se tyce startssl, tak tam je to sice 2 domeny, ale vicemene tim postihnes www a bez www, navic revokace klice apod, zadna slava..

Technicky dotaz - u toho vicedomenoveho klice tedy potrebujes seznam domen ? Nebo je to technicky reseno jeste jinak, nez tunelem a http ? Nejakou nastavbou k tomu tunelu ? Ono totiz seznam domen se obavam ze nedodam nikdy - nebot se za tyden prida domena s https a bude zas kde jsem byl. Pokud by to fungovalo jinak - jako napriklad, ze by se dany server pres handshakem dozvedel domenu, tak pak parada.

[lycanth]

Sorry, prostě programátorská intuice, že takovéto chování jsem doteď vždycky viděl jenom když se na serveru testovala nějaká (ladící) featura a pak se na ní zapomnělo (ono totiž takový redirect na stejný host ale jiný port jako útok nedává smysl). Tohle se mi ještě nestalo, přesměrovávalo to jen v specifických případech jako postování příspěvku, ne vždy, tak mě nenapadlo to testovat jinou cestou (prostě to na první pohled vypadalo na něco s aplikační logikou).

S vícero doménami na HTTPS na stejné IP jsou dvě možnosti jak to řešit: buď certifikát s vícero doménami (pak potřebuješ seznam domén dopředu), nebo lze pro každou nastavit certifikát separátní, každý může být ten StartSSL certifikát zdarma. Jmenuje se to Server Name Indication, posílá se to v TLS handshake předtím, než se vůbec začne s HTTP. Běžné servery jako nginx nebo Apache to samozřejmě podporují (podle headerů to vypadá, že abdl.cz běží na Apache). Příklad nastavení pro Apache tady nebo tady. V zásadě se to řeší podobně přes VirtualHost jako u hostování klasických vícero HTTP domén na jedné IP. Se Server Name Indication může být s HTTPS teoreticky problém jenom s velmi starými klienty, jako nějaký Android 2 - ale ty zase pořád budou moci přistupovat přes staré HTTP.

Jinak pokud nechceš nastavovat HTTPS pro všechny domény co máš, tak stačí nastavit jen tu jednu - abdl.cz. Nebo případně jednu extra, kam "spadnou" ostatní, které nastavené na HTTPS nejsou. Ale v každém případě budou původní domény taky fungovat na původním HTTP.

[raulik]

Verit nejake siti TOR - byt bezpecne znejici je zavadejici. Pokud je to sit, kde node muze byt kdokoliv, je jen otazka casu kdy se tam dostane zaskodnik = z principu sve funkcnosti je neduveryhodna. Ale to uz odbocujem.

SNI mam pocit ze certifikaty od startssl neumi - ale mozna se to uz zmenilo. O SNI a starsich klientech vim, ale jina ceste holt neni. Proste jako opet, pred mnoha lety nikoho nenapadlo pri vytvareni HTTPS tahle varianta.

HTTPS tam nebude na vsech domenach, ale na dost ano a IP adres dostatek neni, takze proto. Ten seznam domen se nemeni kazdy den, ale proste zmenit se muze a nechci byt zavisly na tom, ze nemohu pouzit https.

Pokud bys poradil s nastavenim, budu samozrejme jen rad :-D Anketa hovori jasne.

[Euron]

Https rozhodně nasadit. Nemusí můj provider vidět, co prohlížím. I když na tomto webu se těžko tvářit, že hledám návody k pěstování marihuany.