Jak nazwie tematu:
Czy warto wyposażać domenę w ten certyfikat SSL?
https://letsencrypt.org
Ja spotkałem się z tym gdy potrzebowałem wymusić SSL na hostingu dla subdomeny projektu testowego. Mankament tego certyfikatu to ważność przez okres 3 miesięcy z możliwością przedłużenia. Na hostingu ATTHOST spotkałem się z usługą, że administrator konta może sam aktywować SSL LEA, co jest bardzo pomocne i szybkie. Ale wciąż martwi mnie zasadność tego certyfikatu w porównaniu z płatnymi certyfikatami SSL?
Czy dla pomniejszych projektów, tj. małe blogi, porfolio, strony o małym ruchu warto wyposażać w taki certyfikat czy lepiej żeby go nie było?
Pełna wersja: [SSL] Let's Encrypt Authority
strony zawierające formularze logowania, płatności, inne przysyłajce dane mogące się komuś postronnemu przydać -> warto, na moje jest nawet taka konieczność
reszta -> nie warto i chyba nigdy nie będzie warto
reszta -> nie warto i chyba nigdy nie będzie warto
Podobno przy pozycjonowaniu przydaje się gdy strona ma SSL, Google lubi to.
imo ostatnio bardziej lubi responsywnośc jak się należy + czas ładowania strony, generalnie dostosowanie do mobile niż ssl -> ofc to moje subiektywne zdanie, a ssl jest czynnikiem rankującym tylko nie tak ważnym jak przedstawiają to handlowcy hostingów
Zawsze warto mieć SSL. Już pomijając takie rzeczy jak najnowszy firefox, który robi dym na wszystkich formach nie ssl, to w niczym to nie przeszkadza.
Jak masz VPSa to instalacja Let's Encrypt jest bananla, dodajesz do tego regułke do crona i zapominasz. A jak nie chce Ci się bawić w VPSy, to możesz też spróbować puścić przez cloudflare, też "daje" SSLa. Ogólnie SSLa zawsze warto mieć, nawet kiedyś dorzucisz jakiś prosty formularz logowania, to nie musisz się więcej przejmować o bezpieczeństwo w byle jakiej sieci 
Cytat(kayman @ 30.03.2017, 16:25:24 ) 
reszta -> nie warto i chyba nigdy nie będzie warto
Dalaczego nie warto mieć szyfrowania na całą stronę tylko na wybrane części?
Robienie ssl na kilka podstron jeśli ma się na całą domenę ? Porażka. To tak jakby tylko przednią szybę w aucie bo reszta nie musi być czysta...
Nie wiem czy nadal aktualne: https://www.semtec.pl/wplyw-bezpiecznego-po...wanie-w-google/
Cytat(Pyton_000 @ 30.03.2017, 17:33:49 )
Robienie ssl na kilka podstron jeśli ma się na całą domenę ? Porażka. To tak jakby tylko przednią szybę w aucie bo reszta nie musi być czysta...
Pamiętaj, że są różne rodzaje SSL. SSL DV, te najtańsze często ograniczają się do domeny i subdomeny www. Pozostałe subdomeny są pominięte.
I sprawa druga, czy opłaca się kupować SSL na całą domenę, skoro nie wykorzysta się w pełni tego co daje droższy SSL?
Więc jeżeli mamy porównywać to:
- przednia szyba umyta w myjni samochodowej,
- a pozostałe umyte na parkingu przez właściciela samochodu.
Cytat(kayman @ 30.03.2017, 16:25:24 )
strony zawierające formularze logowania, płatności, inne przysyłajce dane mogące się komuś postronnemu przydać -> warto, na moje jest nawet taka konieczność
reszta -> nie warto i chyba nigdy nie będzie warto
reszta -> nie warto i chyba nigdy nie będzie warto
Ale pieprzysz glupoty. O HPKP i HSTS pewnie nawet nie slyszales. Pomijajac oczywiscie ze LetsEncrypt sie do tego nie nadaje.
@Tomplus certyfikat na domena.pl nie zawsze obejmuje www.
@q.michal a co ma piernik do wiatraka? Czemu LE się nie nadaje?
@q.michal a co ma piernik do wiatraka? Czemu LE się nie nadaje?
Cytat(Tomplus @ 30.03.2017, 18:08:58 )
Pamiętaj, że są różne rodzaje SSL. SSL DV, te najtańsze często ograniczają się do domeny i subdomeny www. Pozostałe subdomeny są pominięte.
I sprawa druga, czy opłaca się kupować SSL na całą domenę, skoro nie wykorzysta się w pełni tego co daje droższy SSL?
Więc jeżeli mamy porównywać to:
- przednia szyba umyta w myjni samochodowej,
- a pozostałe umyte na parkingu przez właściciela samochodu.
I sprawa druga, czy opłaca się kupować SSL na całą domenę, skoro nie wykorzysta się w pełni tego co daje droższy SSL?
Więc jeżeli mamy porównywać to:
- przednia szyba umyta w myjni samochodowej,
- a pozostałe umyte na parkingu przez właściciela samochodu.
Tutaj nie chodziło o wildcard *.domena.tld tylko używanie SSL na domena.tld/login, domena.tld/payment, ale już nie na domena.tld/blog itd.
Cytat(vokiel @ 30.03.2017, 16:05:38 )
Dalaczego nie warto mieć szyfrowania na całą stronę tylko na wybrane części?
semantyka strona -> domena
jak masz ssl na domenę to ofc szyfrujesz całość, nie przyszło by mi do głowy nawet by szyfrować tylko część, wyobrażam sobie burdel w .htaccess
ale jak ktoś ma blog o zielonej herbatce to na cholerę mu ssl?
Cytat(Pyton_000 @ 30.03.2017, 19:21:08 )
@q.michal a co ma piernik do wiatraka? Czemu LE się nie nadaje?
HPKP polega na przypieciu klucza w konfiguracji vhosta. Okreslasz jego TTL. LetsEncrypt wystawia cert wazny 3m-ce, wiec przypinanie takiego certyfikatu mija sie z celem.
Cytat(kayman @ 30.03.2017, 21:14:25 )
semantyka strona -> domena
jak masz ssl na domenę to ofc szyfrujesz całość, nie przyszło by mi do głowy nawet by szyfrować tylko część, wyobrażam sobie burdel w .htaccess
ale jak ktoś ma blog o zielonej herbatce to na cholerę mu ssl?
jak masz ssl na domenę to ofc szyfrujesz całość, nie przyszło by mi do głowy nawet by szyfrować tylko część, wyobrażam sobie burdel w .htaccess
ale jak ktoś ma blog o zielonej herbatce to na cholerę mu ssl?
No wlasnie na cholere. HTTP/2 wymaga wrecz stosowania SSLa.
Swiat zmienia sie na lepsze.
@q.michal
Pamiętaj że LEA ma opcję przedłużenia, a nie wygenerowania nowego.
Pamiętaj że LEA ma opcję przedłużenia, a nie wygenerowania nowego.
Cytat(Tomplus @ 31.03.2017, 07:27:55 )
@q.michal
Pamiętaj że LEA ma opcję przedłużenia, a nie wygenerowania nowego.
Pamiętaj że LEA ma opcję przedłużenia, a nie wygenerowania nowego.
Pamietaj ze generujesz odcisk dla certyfikatu a nie dla klucza - a ten co 3 miesiace bedzie inny (podmieniasz pliczek CRT, PEM, czy w jakim formacie go sobie trzymasz).
Cytat(q.michal @ 31.03.2017, 05:28:22 )
No wlasnie na cholere. HTTP/2 wymaga wrecz stosowania SSLa.
Swiat zmienia sie na lepsze.
Swiat zmienia sie na lepsze.
tak jak mówiłem, niektórzy będą twierdzić że trzeba dla all, inni podejdą do sprawy chłodniej i zabezpieczą to co faktycznie wymaga zabezpieczeń mimo pianotoku "znawców"
Cytat(kayman @ 31.03.2017, 10:39:20 )
tak jak mówiłem, niektórzy będą twierdzić że trzeba dla all, inni podejdą do sprawy chłodniej i zabezpieczą to co faktycznie wymaga zabezpieczeń mimo pianotoku "znawców"
Najwyrazniej nie wiesz o czym mowisz
W LE da się w HPKP, niemniej jest to niesamowicie udziwnione i raczej bym się w to nie bawil. Pytanie brzmi: po co wgl HPKP? W 90% przypadków IMO jest to typowa armata na muchę, a ryzyko zepsucia czegoś jest naprawdę duże.
Co do SSL for all: nie tylko HTTP/2.0 wymaga SSL. Połowa ciekawszych APIs w HTML5 tego wymaga, czego najlepszym przykładem jest Service Worker. Ba, dostęp do kamerki i mikrofonu też już jest SSL only, Chrome ostatnio nawet geolokalizację przesunął za SSL – a zgodnie z ich polityką każde "powerful features" zostanie tam przesunięte (zresztą W3C to popiera). Prawda jest taka, że jeśli chce się robić współczesne aplikacje webowe, to bez SSL-a nie da się już niemal nic.
Pomijam już fakt, że Chrome dev po wykryciu form > [type=password] na stronie bez SSL rzuca ostrzeżenie przy wypełnianiu takiego formularza (przykładem choćby to forum), a w przyszłości ma w ogóle taką możliwość blokować.
Prawda jest taka, że SSL na chwilę obecną to must-have i chyba tylko statyczne strony z newsami/artykułami mogą se pozwolić na jego niewdrażanie (a i tak przecież każda taka strona zyskałaby przez przejście na HTTP/2.0, nie wspominając o trybie offline czy PWA). Więc nie, nie jest to żaden "pianotok "znawców"" tylko realia. I radzę nie podchodzić do tego tak chłodno, bo ostatecznie można się obudzić z ręką w czymś ciepłym
Co do SSL for all: nie tylko HTTP/2.0 wymaga SSL. Połowa ciekawszych APIs w HTML5 tego wymaga, czego najlepszym przykładem jest Service Worker. Ba, dostęp do kamerki i mikrofonu też już jest SSL only, Chrome ostatnio nawet geolokalizację przesunął za SSL – a zgodnie z ich polityką każde "powerful features" zostanie tam przesunięte (zresztą W3C to popiera). Prawda jest taka, że jeśli chce się robić współczesne aplikacje webowe, to bez SSL-a nie da się już niemal nic.
Pomijam już fakt, że Chrome dev po wykryciu form > [type=password] na stronie bez SSL rzuca ostrzeżenie przy wypełnianiu takiego formularza (przykładem choćby to forum), a w przyszłości ma w ogóle taką możliwość blokować.
Prawda jest taka, że SSL na chwilę obecną to must-have i chyba tylko statyczne strony z newsami/artykułami mogą se pozwolić na jego niewdrażanie (a i tak przecież każda taka strona zyskałaby przez przejście na HTTP/2.0, nie wspominając o trybie offline czy PWA). Więc nie, nie jest to żaden "pianotok "znawców"" tylko realia. I radzę nie podchodzić do tego tak chłodno, bo ostatecznie można się obudzić z ręką w czymś ciepłym
Comandeer poczytaj po co: https://kryptosfera.pl/post/http-public-key-pinning/
I nie prawda jest ze HTTP/2.0 wymaga SSL
I nie prawda jest ze HTTP/2.0 wymaga SSL
q.michal ale ja doskonale wiem, co robi HPKP i właśnie dlatego twierdzę, że w większości przypadków jest armatą na muchy. Zwłaszcza, że można uceglić stronę. Tego typu mechanizm (wraz z nowym polem DNS CAA) przyda się do stron, na których bezpieczeństwo jest najwyższym priorytetem (logowanie w bankach, serwery OpenID Connect, Facebook, GMail – czyli "usługi krytyczne" lub autoryzacyjne), ale na normalnych – niekoniecznie. HPKP jest dość "niebezpieczny", więc nic dziwnego, że przez speców bezpieczeństwa jest odradzany do normalnych zastosowań, a tam, gdzie jest potrzebny, jest zastępowany rozwiązanami tymczasowymi.
I tak, HTTP/2.0 nie wymaga SSL… na poziomie specyfikacji. Tylko co z tego, skoro każda implementacja wymaga?
I tak, HTTP/2.0 nie wymaga SSL… na poziomie specyfikacji. Tylko co z tego, skoro każda implementacja wymaga?
Owszem, mozna uceglic jesli admin nie potrafi go poprawnie skonfigurowac.
Sama specyfikacja nie naklada obowiazku uzywania HTTP/2 z SSL i z tego co wiem niektore serwery WWW mozna skonfigurowac aby wspieraly HTTP/2 bez szyfrowania. Obecnie jednak zadna przegladarka nie daje takiej mozliwosci - poprostu uzywana jest starcza wersja HTTP/1.1
Sama specyfikacja nie naklada obowiazku uzywania HTTP/2 z SSL i z tego co wiem niektore serwery WWW mozna skonfigurowac aby wspieraly HTTP/2 bez szyfrowania. Obecnie jednak zadna przegladarka nie daje takiej mozliwosci - poprostu uzywana jest starcza wersja HTTP/1.1
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.