On 17/08/2022 16:44, Ghost wrote:

> A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
> same wrzeszcza


W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy

c.

do góry

środa, 17 sierpnia 2022 o 18:02:19 UTC+2 Cezar napisał(a):
> On 17/08/2022 16:44, Ghost wrote:
>
> > A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
> > same wrzeszcza
> W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
> W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
> Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy

No pacz - a powinna wrzeszczeć jak cetyfikat z letsencrypt albo z geotrust...
A moja na http to w ogóle nie wrzeszczy.
Plugin potrzebny?

do góry

On 17/08/2022 17:54, Dawid Rutkowski wrote:
> środa, 17 sierpnia 2022 o 18:02:19 UTC+2 Cezar napisał(a):
>> On 17/08/2022 16:44, Ghost wrote:
>>
>>> A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
>>> same wrzeszcza
>> W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
>> W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
>> Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy
>
> No pacz - a powinna wrzeszczeć jak cetyfikat z letsencrypt albo z geotrust...
A dlaczego ma wrzeszczeć? Twoje przeglądarki mają ich certyfikaty
wrzucone do zaufanych

> A moja na http to w ogóle nie wrzeszczy. > Plugin potrzebny?

Chrome twierdzi "not secure", FF ma przekreśloną kłódkę - innych nie wiem.

do góry

Ghost <G...@h...net> napisał(a):
> A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki same
> wrzeszcza

Na czym polega to "s" według Ciebie? Certyfikat potwierdza Ci tylko tyle, że
domena z którą się łączysz jest faktycznie tą domeną. Tak jest np. na mojej
stronie, która jest w sygnaturce. A więc masz jedynie potwierdzenie, że nie
ma ataku man-in-the-middle i nie ma ingerencji w treść strony. W
rozszerzonej wersji masz jeszcze określony podmiot, na który wydano
certyfikat. Czyli, że wydawca certyfikatu zweryfikował tożsamość podmiotu,
dla którego wydał certyfikat. Taką sytuację zauważysz na stronach banków i
większych portali. Gdyby moja strona miała rozszerzony certyfikat, miałbyś
poświadczenie, że należy ona do Grzegorza Niemirowskiego. Ale mam zwykły
certyfikat, więc dostajesz tylko potwierdzenie, że połączyłeś się faktycznie
z grzegorz.net a nie czymś innym. W każdym razie ciągle chodzi o tożsamość.
Certyfikat nie poświadcza uczciwości, rzetelności itd. Poza tym obecnie już
prawie nie używa się gołego http. Kazanie patrzenia czy jest "s" lub ikonka
kłódki świadczy o mentalnym pozostaniu w latach 90.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

Cezar <c...@t...pl.invalid> napisał(a):
> W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.

Bezpieczeństwo ma wiele obliczy. Jednym z nich jest potwierdzenie tożsamości
i tutaj SSL się sprawdza. Dla innych rzeczy owszem, nie jest wyznacznikiem.
Wiele osób nie rozumie jak to działa i po SSL/HTTPS spodziewa się zbyt
wiele.

> W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania.

Ja tu widzę posta pisanego bez sprawdzania. Oczywiście jest sprawdzane, czy
domena jest Twoja.

> Inne Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy
> c.

Dlaczego ma wrzeszczeć? Certyfikat potwierdza, że domena się zgadza i to
jest sprawdzane przez wystawcę (CA). Inaczej dane CA nie znalazłobby się na
liście zaufanych danej przeglądarki.

Są też certyfikaty EV, które potwierdzają tożsamość prawną podmiotu, ale one
są droższe i oczywiście wymagają dodatkowej weryfikacji. Być może kiedyś
przeglądarki będą wrzeszczeć jeśli zobaczą certyfikat nie-EV, ale takie
czasy jeszcze nie nadeszły.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

W dniu 17.08.2022 o 23:47, Grzegorz Niemirowski pisze:
> Ghost <G...@h...net> napisał(a):
>> A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
>> same wrzeszcza
>
> Na czym polega to "s" według Ciebie? Certyfikat potwierdza Ci tylko
> tyle, że domena z którą się łączysz jest faktycznie tą domeną.

Oraz ze jest w lancuchu zaufanych

do góry

W dniu 17.08.2022 o 18:02, Cezar pisze:
> On 17/08/2022 16:44, Ghost wrote:
>
>> A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
>> same wrzeszcza
>
>
> W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
> W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
> Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy

No to sprawdz ktore z podanych linkow nie sa wrzskliwe

do góry

Ghost <G...@h...net> napisał(a):
> No to sprawdz ktore z podanych linkow nie sa wrzskliwe

One nie działają lub jest jakieś under construction. Do czego zmierzasz? W
przypadku strony z pierwszego posta przeglądarka marudzi na http i nie
marudzi na https, co jest normalnym, typowym zachowaniem.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

On Wed, 17 Aug 2022 23:47:06 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> Certyfikat nie poświadcza uczciwości, rzetelności itd. Poza tym
> obecnie już

Zatem wprowadźmy certyfikat uczciwości i rzetelności, odpowiednio
httpsu:// oraz httpsr://

--
Marek

do góry

On Thu, 18 Aug 2022 00:02:04 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> jest sprawdzane przez wystawcę (CA). Inaczej dane CA nie
> znalazłobby się na
> liście zaufanych danej przeglądarki.

Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać
czy nie? Czy raczej już mamy tu różne pojęcia zaufania :)?

--
Marek

do góry