Chrome alkaa merkkaamaan HTTP-yhteydet vaaralliseksi

Aloittaja weatherc, perjantai, 09.09.2016, 19:35

« edellinen - seuraava »

0 Jäsenet ja 1 Vieras katselee tätä aihetta.

weatherc

Noniin, tämähän oli odotettu kun jo sammuttivat paikannus-namiskan HTTP-yhteydellä. Nyt Google meinaa alkaa merkkaamaan KAIKKI HTTP-yhteydet vaaralliseksi. Morjens....

http://www.pcworld.com/article/3118164/security/google-chrome-to-start-marking-http-connections-as-insecure.html

Voinen arvata ettei mene kovin kauan ja Firefox tulee perässä siinä vaiheessa....

meteorologi

Holhous sen kuin pahenee. Ovatko ihmiset typertyneet vai luuleeko Google tietävänsä tämänkin asian muidenkin puolesta?

weatherc

En sanoisi sitä holhoukseksi, pikemmin että taka-ajatus on varmaan hyvä eli turvallisempi netti mutta toteutus ontuu ja pahasti.

Jos tuo olisi tyyliin että blokataan verkkokaupat (ja muut jossa käsitellään pankki ym. tietoja) jotka ovat HTTP-yhteydellä niin hommahan olisi ihan OK. Mutta jos se menee siihen että vaaditaan että jokainen pienikin websivu jossa vain näytetään tietoa (kuten meitin sääsivut) pitäisi olla HTTPS-yhteydellä varustettu niin mennään överiksi, varsinkin kun HTTPS ei ole mitenkään oletus webhotelleissa.

J.Jäntti

Toinen mainitsemisen arvoinen seikka on se, että vaikka on olemassa puljuja, jotka varmenteita tarjoavat jopa ilmaiseksi, se herättää itsessään muutamia kysymyksiä, kuten sen, että kukapa tuon lystin maksaa?; ilmaisia lounaita kun ei ole olemassakaan. Milloin koittaa se päivä että ykskaks varmennejulkaisija ilmoittaakin Googlen tavoin että "Päivästä X lukien, varmenne alkaakin nyt maksamaan" ja kun Chrome (ja huonolla säkällä kohta muutkin) alkavat pitämään HTTP-sivuja "turvattomina" tai salausimplementaatioltaan vajaina, pelkkä jaloillaan äänestäminen ja paluu HTTP-liikenteeseen ei ole kohta ratkaisu. Haistan tässä ehkä vähän vainoharhaisesti ovelan kikan päästä webmasterin lompakolle.

Perusteluna on kyllä huterasti kyhätty "Man-in-the-middle"-urkinnan ja reititinten haavoittuvuus. Urkinta on mahdollista, jopa ihan todennäköistä, mutta itse en näe sitä minkään näköisenä järkevänä pakotteena sellaiselle sivustolle, jonka käsittelemä tieto ei ole pankkitietoihin verrattavaa tietoa.
Sivustojen ylläpitäjien tehtävänä on pitää sivustonsa komponentit kunnossa, viimeisimmissä versioissaan ja alustan hyökkäyspinta-ala niin pienenä kuin vain mahdollista. Käyttäjien tehtävä on pitää huolta omista salasanoistaan ettei samaa tulisi käytettyä joka paikassa. Tämä tuo turvalle tietyn tason.

HTTPS-siirtymisen syyksi laitetaan mm. Reititinlaitteiden tietoturvaongelmat. Se menee täysin valmistajien piikkiin. On jotenkin käsittämätöntä, että markkinoille pusketaan laite, jonka Firmwaressa olevien vikojen kautta ulkopuolinen pääsee tekemään muutoksia, jopa asentamaan omia koodinpätkiään sinne.
Minulla on pari TP-Linkin ADSL2+-modeemia jotka ovat SER-jätettä, koska niiden firmwaret ovat niin upean rupuisia, että yksinkertaisella sivuun upotetulla koodinpätkällä saadaan vaihdettua lennossa laitteen DNS-palvelinasetukset minkälaiseksi lystää. Esimerkkitapauksessa kaverini modeemille tehtiin niin että väliin tuli kolmannen osapuolen tekemä myrkytetty DNS-palvelin, joka vei kaikki netistä tulevat pyynnöt troijalaisia, pornomainos-popuppeja sun muita vilisevän sivun kautta oikealle sivulle. Jos tämä DNS-serveri kyykkäisi syystä tai toisesta, kakkosvaihtoehdoksi oli laitettu Googlen julkinen DNS-serveri, jotta yhteys toimisi, eikä epäilyksiä heräisi. Valmistaja sananmukaisesti kakat nakkasi sille, että käyttäjätunnus/salasanayhdistelmä reitittimessä pystyttiin kiertämään. Tähänkään päivään mennessä ei ole päivitystä tullut - ja tästä on jo kohta kolme vuotta.

Minä en ole vielä reagoinut EU-vaatimuksiin laittaa evästemuistutusta sivuilleni, joten HTTPS:lläkin tulee menemään vielä hetki.
Juha Jäntti
Foorumin ja sivuston ylläpitäjä
Finland Weather Exchange (FinWX)

http://www.finwx.net/
------------------------------------------
Ukkoskausi avattu Suomessa: --.--.2024
Ukkoskausi avattu Helsingissä: --.--.2024
-------------------------------------------
Ukkospäivälaskuri 2024; Helsinki/Viikinmäki
0 ukkospäivää.
------------------------------------------
X, FinWX:n ylläpidon ilmoitukset
------------------------------------------

weatherc

Lainaus käyttäjältä: J.Jäntti - maanantai, 19.09.2016, 10:27
Minä en ole vielä reagoinut EU-vaatimuksiin laittaa evästemuistutusta sivuilleni, joten HTTPS:lläkin tulee menemään vielä hetki.

Ero näissä kahdessa on se että sivusto toimii ihan hyvin ilman tuota EU:n evästehässäkkää mutta Chromessa esim Geolokaatio ei kerta kaikkiaan toimi HTTP-yhteydellä. Tämä näkyy esim omissa skripteissä EWN ennuste sekä Euroblitz jotka molemmat käyttävät Geolokaatiota jotta se saa (tarvittaessa) paikannuksen.

Mutta jos ajattelee toiselta kantilta, haluaako Google tosissaan että suuri määrä websivuja lakkaa toimimasta Chromessa? Silloinhan väki siirtyy muihin selaimiin (niin kauan kun ne toimivat kuten tähän asti). Sehän on tulos jos se alkaa pitää kaikki sivustot jossa pieninkin <form>-palikka (kuten esim. palaute-boksi) tai vastaava turvattomana.

Jos homma toissaan menee HTTPS-pakottamiseen niin veikkaan ettei mene kovinkaan kauan että joku isompi taho kyhää HTTPS-palvelun josta saa noita serttifikkaatteja ellei nyt ilmaiseksi niin hyvin halvalla. Eikä nuo halvimmat sertit mitään kalliita ole nytkään, niitähän saa halvimmillaan alta 10 eurolla vuodeksi. Toisaalta en yllättyis yhtään jos kohta tulisi markkinoille Googlen oma HTTPS-sertti hintaan x euroa....

Jarkko

Lainaus käyttäjältä: weatherc - maanantai, 19.09.2016, 13:01
Jos homma toissaan menee HTTPS-pakottamiseen niin veikkaan ettei mene kovinkaan kauan että joku isompi taho kyhää HTTPS-palvelun josta saa noita serttifikkaatteja ellei nyt ilmaiseksi niin hyvin halvalla. Eikä nuo halvimmat sertit mitään kalliita ole nytkään, niitähän saa halvimmillaan alta 10 eurolla vuodeksi.
Itse olen käyttänyt alkuvuodesta asti Let's Encryptiä, joka on ilmainen. Ainoa huono puoli on se, että sertifikaatti pitää uusia kolmen kuukauden välein, mutta sekin onnistuu skripteillä helposti ilman ongelmia.


weatherc

Lainaus käyttäjältä: Jarkko - maanantai, 19.09.2016, 21:28
Itse olen käyttänyt alkuvuodesta asti Let's Encryptiä, joka on ilmainen. Ainoa huono puoli on se, että sertifikaatti pitää uusia kolmen kuukauden välein, mutta sekin onnistuu skripteillä helposti ilman ongelmia.

Ajattelin jossain vaiheessa kokeilla tuota Let's Encryptiä kartta-virtuaalilla jossa on 3 subdomainia sekä websocket käytössä. Ainakin heitin docsien mukaan homma pitäisi perin simppeliä, autorenew näytää osaavan myös Nginxin uudelleenkäynnistyksen sertin uusimisen yhteydessä. Eli ei tarvis muuta kun cronjobi 3 kuukauden välein ja homma olisi siinä.

weatherc

Let's Encrypt asennettu kartta-virtuaalille jotta näkee että miten toimii ja toimiiko se.
Itse asennus sekä Nginx:in konffaaminen oli simppeliä eikä siihen montaa minuuttia mennyt. :)

Jos tuo toimii niin otan jossain vaiheessa työn alle itse dedin (eli web-virtuaalin) sekä ennustekartta-purkit. Dediä varten löysin Let's encrypt-palikan cPanelia varten joten sekin voisi asentua melko simppelisti  :)

weatherc

Pläräsin tuossa pikkasen cPanelin (eli hallintapaneeli jota käytän Dedillä) foorumia ja näyttääpi itse asiassa siltä että aika jolloin voidaan repiä älyttömästi rahaa normi tason / halvemman luokan SSL-serteillä on vihdoinkin tulossa päätökseen. Kovemman tason SSL-sertit ovat tietty erikseen.
Nimittäin kävikin ilmi että cPanelilla on ollut jo jonkin aikaa suunnitteilla plugin nimeltään AutoSSL jolla saa ilmaisia Comodon SSL-serttejä ja ovat nytten lisäämässä Let's Encrypin tuen siihen.

Pari aika osuvaa postausta kyseiseltä foorumilta:
Lainaa
From what I understand, when Let's Encrypt first appeared, most corporations (certificate authorities) didn't take them seriously and hoped they'd be a failure like CACERT. But once they realized that the whole scam of selling certificates is finally over, they changed their business strategy to offer free certificates to various organizations like cPanel, in the hopes that they won't completely disappear from the face of the earth. Most certificate authorities have gone down that road.

Certificate authorities are now trying to keep the scam of selling certificates alive, by enforcing their EV certificates, down our throats.

cPanel has handled this issue admirably, their AutoSSL feature will handle multiple vendors, thus we should be able to choose Let's Encrypt over Comodo in the near future.

Anyway, rant is over

Lainaa
Domain Validated certificates have always been a sham, a way for certificate authorities to make a quick buck without doing anything.

A domain validated certificate and a self-signed certificate are essentially the same thing. Both provide encryption without trust. When any Tom, Dick, and Harry can get a certificate for a domain name, there's no trust involved. In my opinion, browser developers shot themselves in the foot (probably at the behest of certificate authorities) when they started putting up ugly warning messages about self-signed certificates. In my opinion, they should have gone in the other direction and made less of a fuss over self-signed certificates. This would have accomplished the same thing that Let's Encrypt and other DV certificates are doing, by allowing encryption without trust.

There's basically two types of certificates. Certificates that encrypt only and certificates that encrypt and trust. WordPress, cPanel logins, etc. they should probably be encrypted to better protect you from network sniffing on public wifi and what not. Does it require trust? Not really. If you're logging into your own WordPress blog on your own site, you probably implicitly trust it. Websites where payment information is being taken up, you want that encrypted as well, you also want to know you are sending that information to a legitimate business, thus EV certificates.

All certificates from certificate authorities should be and should have always been EV certificates (although we probably wouldn't called them Extended-Validation certificates if they had always been that way).

All other certificates could just as well be self-signed.

The green bar provided by EV certificates is a nice touch. Although I'm not sure browser developers would have had to have gone to that depth. A simple padlock to indicate that a website is using an encrypt only certificate and a different symbol for a website that is using an encrypt and trust certificate would have been sufficient. Then teaching the public (this is the one thing nobody wants to do) that padlock mean encrypt only "don't enter payment information here" and green shield means encrypt and trust "OK to enter payment information here." But, hindsight is 20/20. It's amazing what a little foresight can do!

https://forums.cpanel.net/threads/lets-encrypt-vs-cpanel-dv-certificates.559351/

weatherc

Dedillä pohjatyöt tehty SSL:ää varten eli asennettu Let's Encrypt sekä asennettu sertit suurimmalle osalle domianeja. Toisin sanoen, nyt voi käyttää https-ossua kunhan ensin tarkistaa sivun että kaikki css/js/kuva-filut myös käyttää sitä :)
Oma nordicweather.net on vielä työn alla todennäköisesti kotvasen jos toisenkin...

Löysin kätevän ohje-sivun tätä varten Nginxille: https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-04. Tuon ohjeiden mukaan kun teki niin tuli SSL-testin tulokseksi korkein mahdollinen A+  ;D