HTTPS для "МОД"

[Stels]

Есть ли техническая возможность у разработчиков сайта «Международное объединение детективов» использовать протокол HTTPS (не обяз. по-умолчанию), что позволит обеспечить большую защищеность информации обсуждаемой на форумах? Наверняка это будет особенно актуально для ПРИВАТА и ПОЛУПРИВАТА. В современных реалиях слить весь сайт (просто говоря) и разложить его «по-косточкам» не представляет большого труда.
Для общего развития:
HTTPS
HTTPS (HTTP Secure) — поддерживающее шифрование расширение для протокола HTTP. Для защиты передаваемых данных используются криптографические протоколы TLS и SSL. По умолчанию TCP порт — 443 (для HTTP — 80).
Систему разработала компания Netscape Communications Corporation для обеспечения аутентификации и защищенного канала связи. Сегодня HTTPS широко применяется для web приложений, требующих безопасного соединения. При поисковой оптимизации сайтов учитывают, что данный протокол поддерживают наиболее популярные браузеры.
Особенности
Посредством HTTPS обеспечивается приемлемая защита от снифферских атак и угроз типа man-in-middle, базирующихся на прослушивании интернет-соединения, при использовании проверенного сертификата и эффективных шифрующих средств. Данная особенность протокола делает его востребованным для раскрутки сайтов коммерческой направленности или содержащих конфиденциальную информацию.
Данная процедура необходима для эффективного продвижения сайтов компаний, реализующих через интернет различные товары или услуги.
Шифрование
Для шифрования HTTPS использует ключи длиной 40, 56 и 128 бит. 40- и 56-битные ключи малонадежны, они применялись в старых версиях браузеров. Для современных сайтов необходимы 128-битные ключи (поддерживаются последними версиями браузеров), шифрование с помощью которых значительно затрудняет хакерам (СОРМ-2) поиск паролей и других конфиденциальных данных.

 

[Руслан]

Паланируем открыть доступ по HTTPS

 

[Симферополь]

Интересненько! Непонятненько!!

 

[Stels]

Руслан, добрый вечер! Если не секрет, когда планируется доступ по HTTPS.
Очень бы хотелось по-безопасней общатья HTTPS не панацея, но один из элементов комплекса мер по обеспечению собственной безопасности при нахождении в глобальной сетке. Спасибо!

 

[Руслан]

HTTPS : https://forum.detective-agency.info

 

[InfoPoisk]

Интересненько! Непонятненько!!

Тихо,тихо.
Дай умных людей послушать. :roll: :roll: :roll:

 

[Stels]

Руслан! Я пошел по указанной ссылке.
Наша система выдала следующее сообщение:
«Вы попросили браузер установить защищённое соединение с forum.detective-agency.info, но мы не можем гарантировать, что это соединение является защищённым.
Обычно, когда вы пытаетесь установить защищённое соединение, сайты предъявляют проверенный идентификатор, служащий доказательством того, что вы направляетесь в нужное место. Однако идентификатор этого сайта не может быть проверен.
Если вы обычно без проблем соединяетесь с данным сайтом, эта ошибка может означать, что кто-то пытается подменить этот сайт другим. В этом случае вам не следует продолжать соединение.

Технические детали
forum.detective-agency.info использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для cp ca.crt /etc/pki/tls/certs
(Код ошибки: sec_error_untrusted_issuer)

Если вы понимаете что происходит, вы можете попросить браузер начать доверять идентификатору данного сайта. Даже если вы доверяете этому сайту, эта ошибка может означать, что кто-то вклинивается в ваше соединение с сайтом. Не добавляйте исключение, если вы не знаете о веской причине, по которой этот сайт не использует доверенный идентификатор».

Для тех кому интересно:


Сертификат SSL необходим не только для распространения открытых ключей: если он будет подписан доверенной третьей стороны, он проверяет подлинность сервера, так что клиенты знают, что они не отдают информацию (зашифрованную или нет), не тому человеку. Так что же такое самоподписанный сертификат? Это сертификат, который подписан самостоятельно, а не доверенной третьей стороной.  В большинстве случаев, да. Вы почти никогда не захотите использовать самоподписанный сертификат на публичном сервере, который требует соединения посетителей с вашим сайтом, потому что они могут легко стать жертвой атаки «человек в середине». Однако, самоподписанные сертификаты имеют свое место:
Самоподписанные сертификаты могут быть использованы на сервере разработки . Нет необходимости тратить дополнительные деньги на покупку доверенного сертификата, когда вы только разрабатываете и тестируете приложения.
Самоподписанные сертификаты могут быть использованы в интрасети (внутренняя сеть). Когда клиенты должны только пройти через локальную интрасеть, чтобы добраться до сервера, где практически нет шансов на атаку «человек в середине».
Самоподписанные сертификаты могут быть использованы на личных сайтах с малым количеством посетителей. Если у вас есть небольшой персональный сайт, через который проходит нечувствительная информация, существует очень мало стимулов для кого-то атаковать соединение (Вряд ли кто-то назовет информацию на «МОДе» «малочувсвительной».

Более подробно:

SSL-сертификат, это индивидуальная цифровая подпись домена.
Он может быть:
Самоподписанным. Это значит, что вы сами выдали себе сертификат, и сами его подписали.
Подписанный недоверенным центром сертификации. Это значит, что сертификат сайта проверен, но сам «проверяющий» доверия не удостоен.
Подписанный доверенным ЦС. Это значит, что данные сертификата проверены компанией, которая имеет на это право.

Самоподписанный сертификат не гарантирует ничего. Любой человек может взять и выдать себе такой сертификат. Все браузеры выдают клиенту предпреждение о том, что сертификат не надежен.
Подписанный не доверенным ЦС сертификат тоже не подтверждает ничего, т.к. существуют ЦС, продающие сертификаты всем желающим и без проверок. Большинство браузеров реагирует на такие сертификаты аналогично самоподписанным.

Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:
Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
Данные этой компании проверены и зарегистрированы центром сертификации.

На доверенные сертификаты браузеры ошибку не выдают.

Но это технически. А теперь о том, что показывает доверенный сертификат посетителю вашего сайта:
-Это действительно тот сайт, на который мы шли, а не дефейс или фишинг.
-Сайт создан в серьез и надолго. Владельцы выложили деньги за сертификат.
-Сайт принадлежит компании, либо зарегистрированному физ. лицу, а не неведомому анониму. Плюсы понятны — желающие обмануть или украсть редко стремятся удостоверить свою личность.
-Компанию волнует защищенность информации и подтверждение своей подлинности.
-Если что-то случится, эту компанию можно найти через сертификатора.

Многих пользователей (особенно зарубежных — наши пока к этому не привыкли) самоподписанный сертификат (или отсутствие SSL в вещах, касающихся услуг\финансов\privacy) может если и не отпугнуть, то поставить жирный минус в вашу пользу.

Вывод: на всех сайтах, связанных с личной, конфиденциальной, платежной информацией и т. д. SSL должен быть.

Как быть?

С уважением, stels.

 

[Руслан]

Шифрование данных текущий сертификат обеспечиват, а платить кучу денег за чтобы кто-то не спутал наш сайт с другим не разумно. Если вы готовы быть спонсором в приобретении сертификата, то мы будем благодарны за вклад в общее дело и укажем вас как спонсора этой покупки.

 

[Орлан]

:shock: :shock: :shock:

 

[Частный детектив. Владивосток.]

:shock: :shock: :shock:

У меня глаза повылазили чуть больше... :lol: