Улучшения форума

[Shift 235]

Давно читаю данный форум и потом даже стал зарегистрированным участником, следовательно некоторые вещи которые тут отсутствуют начали меня удивлять. 

 

А именно:

Почему нет HTTPS у данного сайта? Сертификат вы можете получить совершенно бесплатно сейчас тут же letsencrypt

 

Где HTTP/2 у форума?

 

Обе технологии очень важны как для безопастности так и для скорости работы с сайтом, было бы хорошо, если администрация начала хотя бы с прикручивания сертификата.

[klinsmann 5 236]

Ценность данного форума не в этих фишках.

[Shift 235]

Ценность данного форума не в этих фишках.

 

Это понятно, что ценность в контенте, но пора бы переходить на защищенные технологии которые тем более ускорят доступ с мобильных.

Да и не стоит забывать, что в 2017 Google обещал в Chrome начать отмечать сайты без https как не безопастные, дальше вполне ожидаемо он будет их помечать красным сплошным экраном - как при несоответствии сертификата. Тем более сейчас прикручиваение сертификата это 2-7 строчек к консоли сервера.

[just_me 1 005]

Ага, а также, пока, отметка серым всех страниц с внешними сслыками на http, как потенциально незащищенных.. Это подавляющее большинство картинок здесь. в будущем наверное более существенная ругань, т.к. с гугло-эксплореро-мозил станется, они добавят ругани на смешанный контент в процессе заворачивания гаек...

 

но раньше сядешь, раньше выйдешь. я так понимаю уже весной на формы с полем ввода типа "пароль" но без https ругань в браузерах почти гарантирванно будет. к 2018 боюсь, что на все формы. т.е на целиком форум без https будет ругань. А пока есть время отладиться без силньных проблем и силной ругани со стороны браузеров. Стили и скрипты внешние если есть, их переделать (а то работать не будут) на https. банерные сети обычно умеют https.

А появится https, надо думать и фильтровать наверное ссылки на картинки без https (ну как минимум ругаться пользователю на такое). так к моменту ужестонеия со стороны браузеров глядишь и более менее свежие треды будут все без ругани.

[Shift 235]

Вот именно, причем местные картинки прекрасно переедут на https, а если говорить о внешний - есть тот же https://imgur.com который используется реддитом по https, ну а если администрация не хочет заморачиватся с этими нашими сертификатами - пусть обернет форум в cloudflare - там сразу будет и сертификат и заодно спрячут оригинальный IP сервера

[Vladimir 9 625]

Крайне малопонятная тема пока для меня

Что-то по cloud flare негативно отзывы попадаются. Включая те же проблемы с РКН.

Русоникс (наш хостер) предлагает платные SSL от 2 тыс. в год. Подойдут ли нам самые простые?

[just_me 1 005]

ну сами ключи можно (как минимум пока) и за 0р получить. т.к. Вас не напрагает работа вообще без SSL то чтобы пройти ценз в ближайшем будущем и не получить проблем с открытием страниц с вводом данных (для начала паролей, потом остального) достаточно любого сертификата который выдан любым удостоверяющим центром, если сертификат центра есть в поставке основных ОС и/или браузеров (тут у них плюрализм, кото использует свои сертификаты, ктото тянет из ОС, да еще по разному на разных ОС.). Но врядли ваш хостер будет барыжить сертификатами которые выданы левыми ЦА.

Все остальное там больше рюшечки. Не, круто конечно, заходя на банковский сайт увидеть там его название... не не более.

 

Сначала сделайте чтобы сайт открывался и так и так. когда все будет более менее открываться через https, то с http можно просто перекидывать на https... а можно и не перекидывать .

 

Вообще сертификат сродни подписи у натариуса. К Вам приходят с доверенностью, вы смотрите, ага подписано нотариусом Тютькиным (сличаете боразец подписи с тем что на доверенности), а он действительно нотариус. Вы верите, что это действительно доверенность на продажу машины от владельца, т.к. нотариус Тютькин - уважаемый всеми нотариус. если его поймают на выдаче доверенности без владельца, то он перестанет быть уважаемым. Значит он проверил.

 

У браузера есть список сертификатов уважаемых удостоверяющих центров.

Вы генерите защитный ключ, на его основе создается запрос в удостоверящий центр. Он запрос подписывает своей подписью (получается собственно сертификат, перед подписью должен бы проверить что вы - это вы..) и возвращает Вам. Вы на сервере размещаете и ключ и сертификат и всем входящим предъявляете сначала сертификат. т.к. подпись удостоверящего центра у входящего есть, то он может сравнить что мол да, это уважаемый всеми центр действительно подписал этот сертификат.. Если вы предьявите сертификат, который подписан кемто другим (могу я подписать, но мне ж никто верить не будет), а не из списка Доверенных, то браузер начнет злобно орать что мол АХТУНГ. (там, в сертификате еще есть имя ресурса, мы идем на roads.ru и сертификат должен иметь в списке имен это имя, имен в сертификате может быть больше 1 и даже можно указать *.roads.ru, и содержит срок действия. от и до. если чтото не совпадает то тоже  получится АХТУНГ, все как в доверенности. продавать можно конктертную машину а не вообще любую. и выдана сроом на...). а дальше вы шифруете ключем (который там вначале вы и создали) свой ответ входящему. Его соответствие тому сертификату проверяется со стороны вошедшего. Все, не зная ключа нельзя за вас чтото зашифровать, так чтобы это расшифровалось. (ну там еще немного сложнее, первым ключем шифруется только первоначальный обмен, а дальше генерятся временные ключи на сессию. Не важно).

Да, ключ хранится "как зеница ока" и никому не отдается, у удостоверяющий центр но не отправлется. он собственно - секрет. Сертификат секрета не представляет, его браузер полюбому получает в начале общения с сервером. Но сертификат получается из ключа.

Изменено 26 ноября 2016 г. пользователем just_me

[Vladimir 9 625]

Какая увлекательная история а сложно ли тот же летс эснскрипт получить и к сайту на Вирт.серваке прикрутить? Я чот с нескольких попыток не нашёл инструкцию. Точнее нашёл, но нихрена не понял (мне показалось что там шла речь о полноценном серваке). Сертификат от хостера они сами и прикрутят просто.

[just_me 1 005]

именно ЛетсЭнкрипт имеет смысл ставить если на сервере вы сами имеете возможность управлять веб сервером (как то положить ему ключ и перезапустить/заставить перечитать конфиг.) и написать локальное задание от пользователя имеющего на это права (root или sudo на root). 

 

Я делал руками их сертификаты, запуская их клиент на локальной машине, и подкладывая файлики руками куда он говорит (там проверка что вы - это вы, состоит в том что "а вот положите файл с именем (куча случайных цифр и букв) внутри напишите, другая последовательность случайных символов". потом они его дергают через веб. если дернулось, то ОК, если нет, то ой. файл каждый раз разный), все можно делать руками. но ключ они дают на 3 месяца и это надо не забывать делать каждые 90 дней (или чуть чаще, чтобы не попадать в ситуацию когда сертификат уже кончился). на мой вгляд геморойненько. А уж если и прав самому поставить нет и еще и ключи каждый раз отправлять админам хостера..... А скриптами с самого сервера все получается на ура (но должны быть права все это сделать). единственное, мне их программа для выписки на питоне не нравится своим объемом. запускать его на сервере и так или иначе давать рутовые права я не рискнул, я питон настолько хорошо не знаю, чтобы разобраться во всех тех зависимостях что там есть.. есть проект dehydrated (не так авно называвшийся letsencrypt.sh), это шеловый скритп делающий все тоже самое и дергающий только стандартно существующие curl и openssl, которому на выходе говорится, что выполни вот это, если ключ обновлился. Он не настолько сложен чтобы я не смог не понять что там делается. там настравивается что дней за, скажем, 30 до окончания перевыписать ключ. и в крон задание его. он сам смотрит что пора или нет, если пора то перевыпускает ключи и дергает что сказали.

 

есть еще startssl у них все выдается надолго и их можно использовать в ручном режиме (Автомата у них  небыло, недавно они какой то автоматический выписыватель тоже родили, посмотрев на летзенкрипт, но там вообще бинарник, который в трезвой памяти запускать не стоит). но чтото на них стали балоны катить из за недостоточно кошености.(но мне кажется из за их китаского происхождения. Я вообще на 99% уверен что летзенкритп проект НБА или смежной конторы из той же страны. но поскольку меня и без ССЛ не напрягало, то не очень важно кто там сертификат подписал. а если очень вдруг надо, то эти конторы найдут управу и на любого другого подписывальщика. вот китайцы им не нужны ). Пока мне так кажется не рискнут выкашивать startssl из доверенных. пошумят и разойдутся. Больно много ими выдано.

[just_me 1 005]

но это все лирика...

в какойто момент может встать вопрос про длину ключа. Вы или сами его будете генерить, или хостер Вам поможет... в общем меньше 2048 (2К) его сейчас лучше не делать, чтобы не попасть в ситуацию, что браузеры решили что слишком короткий, они кажется там уже планируют 1024 послать лесом.. но и больше пока не стоит. У Вас тут не форум для гиков от компьютеров, я так понимаю со всяких древних версий XP народ ходит. Там запросто могут не понять слишком длинного ключа. на цену оно не влияет (ну обычно) а вот обрубить доступ комуто можно... (так то понятно, что чем длинее ключ, тем дольше его подбирать, т.е. тем надежнее защита передаваемых данных. но лучшее враг хорошего, да и не банк...)

[Vladimir 9 625]

@just_me, спасибо за информацию. От рута я отказался в пользу саппорта. У хостера стоит выбор - или все сам или тех.под. помогает все настроить. Таким образом скорее всего придется покупать самый дешевый у хостера. Ну подпустим поближе, там решим.

[Shift 235]

У Cloudflare могут быть проблемы с ркн, но сейчас - редко.

 

@just_me, спасибо за информацию. От рута я отказался в пользу саппорта. У хостера стоит выбор - или все сам или тех.под. помогает все настроить. Таким образом скорее всего придется покупать самый дешевый у хостера. Ну подпустим поближе, там решим.

 

в таком случае можно либо попросить сапорт настроить letsencrypt либо купить у них сертификат, либо (если они не умеют в letsencrypt - переехать к другому хостеру, тк все приличные уже умеют.) да и свой виртуальный сервер может получится дешевле...

[Tubus 588]

Зачем вам SSL? Финансовых транзакций вы не ведете. А так - лишняя нагрузка на железо, доп.время при установлении соединения ("handshake"). Для поисковиков https - отдельный домен, поэтому пойдет переиндексация ссылок, потом "склейка" зеркал.

Кроме того, единожды перейдя на https, обратно на http вернуться будет очень геморно. Я бы семь раз отмерил.

Изменено 28 ноября 2016 г. пользователем Tubus

[Shift 235]

Зачем вам SSL? Финансовых транзакций вы не ведете. А так - лишняя нагрузка на железо, доп.время при установлении соединения ("handshake"). Для поисковиков https - отдельный домен, поэтому пойдет переиндексация ссылок, потом "склейка" зеркал.

Кроме того, единожды перейдя на https, обратно на http вернуться будет очень геморно. Я бы семь раз отмерил.

1) Chrome в 2017 году планирует плавный отказ от http, +mozila и компания предлагали запретить передачу форм (например авторизации) через http

2) Если делать через cloudflare - нагрузки не будет

3) Google давно даёт ретинг сайтам с https выше чем с http (скажете что не волнует SEO? администрацию мне кажется может волновать)

4) Кажется кто-то путает HTTPS и HSTS, его включать не обязательно

 

Нет я конечно понимаю что можно всё делать в последний момент когда пойдет массовая истирия при отказе и центры сертификации дружно будут лежать и сертификату подорожают, но зачем?

Изменено 28 ноября 2016 г. пользователем Shift

[Tubus 588]

1) Chrome в 2017 году планирует плавный отказ от http, +mozila и компания предлагали запретить передачу форм (например авторизации) через http 2) Если делать через cloudflare - нагрузки не будет 3) Google давно даёт ретинг сайтам с https выше чем с http (скажете что не волнует SEO? администрацию мне кажется может волновать) 4) Кажется кто-то путает HTTPS и HSTS, его включать не обязательно Нет я конечно понимаю что можно всё делать в последний момент когда пойдет массовая истирия при отказе и центры сертификации дружно будут лежать и сертификату подорожают, но зачем?

1. Планировать - не значит жениться. Хром хочет закрыть доступ пользователям на http? Дурь.

2. Клодфларе НЕ кэширует динамический контент, которого на форуме 99%. Кэшировать динамику вообще чревато боком.

3. Да. Но это опять же новый для гугла домен, у которого не будет pagerank, пока он его не "склеит" с http. А это время.

4. Конечно не обязательно. Но Letsencrypt выставляет HSTS по умолчанию (придется править конфиг ручками). Давайте заморочимся, построим забор, но оставим открытой калитку. Зачем?

Если уж совсем горит и подгорает, тот же клодфларе позволяет включить этот ssl с опциями flexible или full, когда он подставляет MITM свой сертификат. Вообще без заморочек со стороны администратора сервера. И ip6-to-ip4 тоже позволяет, кстати. Но опять же, повторюсь, с динамическим контентом клодфларе бесполезен.

 

p.s. "Работает? Не трогай!" - заповедь, набитая километрами хождения по граблям.

Изменено 29 ноября 2016 г. пользователем Tubus