Fórum Ubuntu CZ/SK

Komunita => Ubuntu CZ/SK => Fórum => Téma založeno: Jakub Vaněk 22 Ledna 2016, 07:45:18

Název: HTTPS
Přispěvatel: Jakub Vaněk 22 Ledna 2016, 07:45:18
Zdravím,
plánujete zapnout na fóru podporu HTTPS? Máme tu Let’s Encrypt, takže s certifikátem by problém být nemusel.
Název: Re:HTTPS
Přispěvatel: Martin Šácha 22 Ledna 2016, 08:20:42
Zatim neplanujeme.
O LE a jeho uchylnych 90 dennich certifikatech mi ani nemluv. Whitelisting certifikatu je kvuli tomu naprosto nepouzitelnej...
Název: Re:HTTPS
Přispěvatel: lover 13 Prosince 2017, 11:45:36
Zatim neplanujeme.
Mohli by ste HTTPS iba povoliť ( bez platného certifikátu ) ako prejav dobrej vôle to niekedy nahodiť naozaj.
Název: Re:HTTPS
Přispěvatel: Martin Šácha 31 Prosince 2017, 11:42:34
A k cemu je HTTPS bey platneho certifikatu? :)
Název: Re:HTTPS
Přispěvatel: lover 03 Ledna 2018, 11:23:52
bey platneho certifikatu? :)
Okrem iných to používa webhostingový provider websupport pre ( skoro ) všetkých svojich zákazníkov.
Asi vie prečo.
Název: Re:HTTPS
Přispěvatel: jmp 03 Ledna 2018, 11:30:38
platnej certifikát by byl fajn (i kdyby byl jen selfsigned) :-D
Název: Re:HTTPS
Přispěvatel: lover 24 Dubna 2019, 11:33:05
certifikát by byl fajn
Konečne sa dá prihlásiť s aspoň nejako zabezpečeným pripojením  :-*
Název: Re:HTTPS
Přispěvatel: Gmisiycs 24 Dubna 2019, 17:13:15
A k cemu je HTTPS bey platneho certifikatu? :)

Dovolím si reminiscenci.
K čemu je HTTPS?
K čemu je certifikát?

HTTPS zajistí, že spojení mezi dvěma počítači, jakýmkoliv způsobem provedené (internet, WI-FI, USB, SerialPort, ...), bude šifrované pomomocí principů vhodných pro toto století.
Certifikát zajistí, že se prohlížeč nebude ptát: Vážně chcete povolit toto podezřelé spojení s tímto nedůvěryhodným webem?

Takže na vaši jednoduchou otázku: "A k cemu je HTTPS bez platného certifikátu?", existuje jednoduchá odpověď: "K zabezpečení dat při přenosu.". Jinými slovy, spojení je šifrováno stejně s certifikátem i bez něj. Bez certifikátu je možnost podvrhu, s certifikátem taky, akorát si odborníci myslí, že nikoliv. Oč je bezpečnější COMODO či AVAST oproti CANONICALU nechám na chytrácích z Mozilly a Google.
____

Let's Encrypt je sqělá volba. Sám používám a dávám jim za pravdu. S delším certifikátem jsou delší jistoty i průsery. Kupříkladu letos v dubnu, přizměně ACMEv1 na ACMEv2, bych s dlouhodobým certifikátem měl od konce letošního roku neplatný HTTPS a nemohl bych s tím nic dělat, dokud by certifikát neexpiroval. Až se zase provalí, že má certifikační autorita se nechala podplácet, jako se to děje v průměru s 0.5 firmou za rok, tedy 1 firma každé 2 roky, měl bych stejný průser. Takto mi oficiální rutina v Pythonu "CERTBOT" automaticky obnovuje certifikáty všech domén i subdomén. V případě dalších průšvihů s dírami v HTTPS mám do třech měsíců certifikát zrevalidován, přičemž (tuším) jednou měsícně to mohu udělat ručně, poloautomaticky. Tím se myslí ručně spustit CERTBOT, stisknout YES a zavřít SSH tunel. Vše se dokončí samo.

Na WHITELISTY se již nehraje, neb Let's Encrypt již zajišťuje údajně 1/4 trhu. Nejste banka, Jste zájmový WEB.

Přesto jakékoliv HTTPS ano, přenášíte totiž po síti přihlašovací údaje uživatelů nechráněně a proto jste všemi velkými vyhledávači perzekuováni na pořadí výsledků, mnohými uživateli pak ignorováni jen proto, že prostě nechtějí pustit veřejně do světa své e-maily a hesla.


Vážně stále trváte na WHITElistu? Nebyla by na skladě chytřejší výmluva, hodná linuxáka?  ;)
Název: Re:HTTPS
Přispěvatel: Gmisiycs 24 Dubna 2019, 17:27:13
Aby to nevypadalo jako plytká kritika, ještě doplním...

Vím, že je vlákno postarší, vím, že nějakou chvilku HTTPS máte/máme. Děkuji.

Kritika má býti konstruktivní, takže navrhuji nepovolit ve stránkách jakýkoliv nešifrovaný obsah. Pokud jde přímo o tuto stránku fóra, jsou zde k dnešku dva nechráněné aktivní linky:
Kód: [Vybrat]
http://www.mageo.cz/icons/JMP.gif
http://jakubvanekpc.jecool.net/tardis.png

Opět Vám/nám to zvedne rating, nejen na Gůglu.
Název: Re:HTTPS
Přispěvatel: jmp 24 Dubna 2019, 20:25:18
jj, na mojí ikonku bacha :-D
Název: Re:HTTPS
Přispěvatel: Michal Stanke 25 Dubna 2019, 17:20:31
Certifikát jsem pro fórum přidal asi před týdnem nebo dvěma. Dneska jsem trochu prošel konfiguraci webserveru a přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení. Další úpravy přijdou asi až po přesunu na nový server, který snad zvládnu alespoň otestovat tento víkend.
Název: Re:HTTPS
Přispěvatel: Gmisiycs 25 Dubna 2019, 17:46:57
Já vím Bohumile, já vím...

Sotva něco zprovozníte, už Vás otravujeme s blbostma.
Díky za vaši práci !
Název: Re:HTTPS
Přispěvatel: TIBOR 25 Dubna 2019, 19:22:46
přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení.
Co to znamena? Budu blokovane vsetky vkladane obrazky bez https alebo iba avatar.
Název: Re:HTTPS
Přispěvatel: Gmisiycs 25 Dubna 2019, 20:19:01
V podstatě ano. Záleží na přesném nastavení.  Povolení výjimky je povoleno.
https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/
nebo https://securityheaders.cz/csp
nebo ...

Diskuze okolo zakazovaného obsahu jsou sice nevyhnutelné, nicméně nikdy nevyřeší problém bezpečnosti.
Je zde jednoznačný argument:
Řetěz je tak pevný jako jeho nejslabší místo!
Nekompletní zabezpečení webu je ostudou jak ubuntu.cz, tak stránky, kam si ukládáte obrázky. V době HTTPS zdarma jde o čistou nezodpovědnost vůči uživateli.
Neomluvitelnou!
Název: Re:HTTPS
Přispěvatel: Michal Stanke 28 Dubna 2019, 07:25:16
Ano, přesně tak. HTTP hlavička Content-Security-Policy (https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policy) určuje plošně pro celou načtenou stránku povolené zdroje pro načítání obrázků, fontů, CSS stylů, skriptů apod. Ostatní prohlížeč nenačte. Od včerejška je hlavička (pro všechny stránky na fóru) nastavená na
Kód: [Vybrat]
content-security-policy: default-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' https: data: ubuntu.com www.google-analytics.com; media-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google-analytics.com ajax.googleapis.com apis.google.com www.gstatic.com www.google.com; frame-src *.google.com; frame-ancestors 'self'; form-action 'self'; upgrade-insecure-requests
Pro obrázky to znamená, že se na webu zobrazí jen ty nahrané na fóru, obrázky pro Google Analytics a reCaptchu, z ubuntu.com a nebo obrázky načtené odkudkoliv přes HTTPS.