Czy to już czas na 100% HTTPS?

gen_mielec

13.02.2018, 15:55:02

22

Na rynku są dostępne certyfikaty za kilkadziesiąt złotych, czyli kosztuje to mniej niż godzina Twojej pracy.

programiści 15k ( ͡° ͜ʖ ͡°)

s.....a

konto usunięte 14.02.2018, 13:11:00

1

@gen_mielec: Let's Encrypt

gvs

14.02.2018, 01:04:04

2

Ale farmazony, głowa boli.

HTTPS spowolni moją usługę

Zależy od ustawień, ale ogólnie to nie

Gość ma 5 odwiedzin na godzinę na shared hostingu to może nie rozumieć jaką to niesie nadmiarowość użycia CPU i łącz przy setkach odwiedzin na sekundę.

ponton

14.02.2018, 08:48:32

0

@gvs: HTTP2 i tak to mocno usprawnia: https://www.httpvshttps.com/

A największe strony i tak już dawno są na HTTPS.

s.....a

konto usunięte 14.02.2018, 13:16:59

2

@gvs: Ten argument był poprawny kilka(naście) lat temu. Tak, jak @ponton mówi, teraz HTTPS może być nawet szybsze niż stare dobre HTTP, pomijając fakt, że procesory mają teraz sprzętowe wsparcie dla szyfrowania/odszyfrowywania, no i przed zaszyfrowaniem możesz skompresować dane (co się zwykle robi).

hieronimek

13.02.2018, 19:24:01

2

Wszystko super, kiedy się ma jedną stronę/bloga.
A co jeśli ktoś ma paręnaście/parędziesiąt stron?
Nie dośc że hostowanie ich kosztuje dużo, same domeny co roku dużo, to teraz jeszcze ssl'e po 120 zł za każdy dla tylu stron?

djmentos

13.02.2018, 21:00:18

13

@hieronimek: nikt nie karze Ci ich kupować, user po prostu będzie widział alert

a co do kosztów - let's encrypt

J.....I

konto usunięte 14.02.2018, 17:19:17

0

@hieronimek: http2

szikagobyk

14.02.2018, 13:03:56

0

odpowiadam na pytanie:
tak,to już czas na 100% https

itfind

14.02.2018, 08:59:42 via Android

0

@hekkonet mogłoby wprowadzić. Jestem zadowolony z ich usług, ale nic nie wskazuje na wprowadzenie LE, wiec niedługo pewnie bedzie trzeba szukac alternatywy ( ͡° ʖ̯ ͡°)

Smiecho

14.02.2018, 06:05:29

0

Wszystko pięknie, tylko niech hostingi się na to przygotują...
Mam proste forum i Wordpressa na pewnym polskim hostingu i nawet chętnie skorzystałbym z Let's Encrypt, ale w panelu administracyjnym NIE MA możliwości samodzielnego dodania certyfikatu (o zautomatyzowaniu odświeżania Let's Encrypt nawet nie myślę)! Według pomocy technicznej jedyną możliwością jest przesłanie certyfikatów do nich, żeby tamtejsi ludzie sami ręcznie go wrzucali. W przypadku certyfikatu darmowego oznacza to zabawę co 3 miesiące...
Wiem, mogę

s.....a

konto usunięte 14.02.2018, 13:18:20

0

@Smiecho: No to tutaj trzeba by było Niewidzialnej Ręki Rynku™ i operatora, który wprowadzi obsługę Let's Encrypt "domyślnie". Może @zenbox_pl będzie pionierem, w końcu się tak chwalą byciem "do przodu" ( ͡° ͜ʖ ͡°)

J.....I

konto usunięte 14.02.2018, 13:23:30

0

@Smiecho: http://atthost.pl klienci migrowali właśnie po let's encrypt, to co widziałem w działaniu po migracji jest zadowalające w porównaniu do linuxpl/hekko.

franekfm

13.02.2018, 21:01:49 via Android

0

Po ch... mi wiadomości na onecie po https? albo jakikolwiek bip czy dz.u. na stronie sejmu.
Rozkładu jazdy MPK też mi po https nie trzeba.
Pomysł idiotyczny. Osoba, która uważa, że wymuszanie wszędzie https to nie przesada też trochę nie z tej Ziemi.

gvs

14.02.2018, 00:52:05

5

@franekfm: minusujący nie słyszeli o wydajności obliczeniowej, może myślą, że energia i cykle procesora biorą się z tabletek na grypę.

matowy

14.02.2018, 10:45:33 via Android

1

@franekfm HTTP2

dobry_chlopak

13.02.2018, 18:40:37 via Android

0

Warto wspomnieć że https dla subdomen to inna bajka i cena.

s.....a

konto usunięte 14.02.2018, 13:18:51

1

@dobry_chlopak: No chyba, że zastosujesz Let's Encrypt (niedługo wildcardy nawet wprowadzą).

Amadek

13.02.2018, 15:32:23

-2

A ja mam pytanie jak samodzielnie wygenerować niekwalifikowany certyfikat SSL i dodać go do swojej strony?
Z punktu widzenia praktycznego certyfikaty niekwalifikowane mają tę samą funkcjonalność co kwalifikowane.

MisCoala

13.02.2018, 17:08:36

8

Z punktu widzenia praktycznego certyfikaty niekwalifikowane mają tę samą funkcjonalność co kwalifikowane.

@Amadek: Generalnie gówno prawda, chociaż w twoim przypadku zapewne prawda.

N.....y

konto usunięte 13.02.2018, 19:28:50

1

Z punktu widzenia praktycznego certyfikaty niekwalifikowane mają tę samą funkcjonalność co kwalifikowane.

@Amadek: nieprawda. I jedyny problem to nie tylko brak wsparcia ze strony przeglądarek

Inixi

14.02.2018, 10:50:31

-5

Dobra, Let's Encrypt pozwala na utworzenie darmowego certyfikatu, ale żeby taki zdobyć trzeba wykonać czynność, która w normalnym środowisku byłaby nie do pomyślenia - wysłać klucz prywatny. Można oczywiście otrzymać klucz prywatny, ale i tak wtedy całe bezpieczeństwo leży, gdyż klucz prywatny nigdy nie powinien wyjść poza środowisko, w którym ma być używany.
Więc bezpieczeństwo strony, gdzie jest używany certyfikat let's encrypt jest znikome, bo nie wiadomo kto te klucze prywatne zbiera

k.....j

konto usunięte 14.02.2018, 12:16:16

2

@Inixi: powiedz mi gdzie znalezc informacje o przesyłaniu kluczy prywatnych w procesie tworzenia certyfikatu z let’s encrypt. Bo na ich stronie nic takiego nie ma. Jest weryfikacja własności domeny za pomocą kilku podpisanych wiadomości i normalny proces tworzenia certyfikatu z CSR.
źródło

Smiecho

14.02.2018, 15:40:02

1

@Inixi: Agent podpisuje wiadomość swoim kluczem prywatnym, ale klucz nie wychodzi nigdzie w świat. Wysyłana jest podpisana wiadomość, która potem jest odszyfrowywana kluczem publicznym agenta.