SSL i zaplecza

[jimmi]

Prawie wszyscy już się pochwalili informacją od Google, usiłującej wymusić na webmasterach przejście na SSL jeszcze w tym miesiącu. Zaczyna się raj dla sprzedawców certyfikatów.

Informacja z Google wygląda tak

A tak będą za niedługo wyglądać strony bez SSL w przeglądarkach opartych na chromie 

 

 

Dla właścicieli pojedynczych serwisów www, jest to tylko jednorazowa uciążliwość, a coroczny koszt pojedynczego certyfikatu nie jest taki duży. Chociaż pozbycie się wszystkich elementów ładowanych przez http może przysporzyć sporo kłopotów. 

Dla osób posiadających spore zaplecza, kupno i instalacja certyfikatów może być sporym wyzwaniem, i nie tylko finansowym, a pomijając zupełnie problem mixed-content już po instalacji na hostingu certyfikatu.
Do tej pory nie wszystkie firmy hostingowe są przygotowane do obsługi certyfikatów, dotyczy to głównie oferujących konta za parę złotych.

Aby zminimalizować koszty, warto poszukać hostingu oferującego certyfikaty Let's Encrypt, Sponsorowane przez niektórych producentów przeglądarek a honorowane przez wszystkich. Ze względu na limitowane generowanie certyfikatów, są ograniczenia dzienne i tygodniowe. Warto wspomnieć, że aktualnie obowiązuje limit do 20 subdomen. Aktualne limity dostępne są tutaj https://letsencrypt.org/docs/rate-limits/ A dla osób posiadających własne serwery czy vps jest parę gotowych skryptów integrujących certyfikaty. Praktycznie do każdego panelu zarządzającego są już są gotowe integracje. A jak nie ma to rekomendowanym rozwiązaniem jest Certbot, obsługuje wiele systemów operacyjnych nie tylko najpopularniejsze linuxowe dystrybucje.

A tak wygląda test certyfikatu dla PiO przez Qualys SSL Labs

 

Niestety, tak jak wspomniał w swoim artykule mkane Google ze swoją dominującą pozycją na rynku przeglądarek internetowych zmusi wszystkich do używania certyfikatów, a zaplecza bez SSL będą bardzo odstawać i zostaną szybko wyłapane. Trzeba się przygotować na następne zmiany a mobile first jeszcze przed nami.

 

P.S. przy okazji testujemy obsługę artykułów na forum. 

[jimmi]

P.S. II

jeszcze trochę czasu upłynie zanim pojawi się osobna sekcja artykułów. 

[Carnagge]

Hmmm ciekawe jak to np. będzie z wordpressem, bo przecież tam jest formularz do logowania - niezły bigos by był jakby tak każdego WP oznaczało. I też ciekawe, czy to na każdej podstronie będzie, czy tylko na tej na której jest logowanie.

[jimmi]

Na każdej podstronie. To co teraz jest na PiO nie będzie działać. Dedykowana podstrona do logowania jest ok, ale popup już nie.

Wysłane z telefonu

[mcmagik]

A ja poczekam czy ktoś złoży przeciw nim pozew o naruszenie dóbr

Wszak określenie "niebezpieczna" ma zupełnie inne znaczenie niż "niezabezpieczona"
 

[SzlafRock]

8 godzin temu, jimmi napisał:

Na każdej podstronie

Nie na każdej podstronie a tyko tam gdzie jest formularz logowania.

Po za tym komunikat "niebezpieczna" dotyczy tylko przeglądarki Chrome.

 

[Mion]

9 minut temu, SzlafRock napisał:

Po za tym komunikat "niebezpieczna" dotyczy tylko przeglądarki Chrome.

Która przy okazji  jest najpopularniejsza przeglądarką internetową:

https://www.w3schools.com/browsers/
https://ranking.pl/pl/rankings/web-browsers.html

[SzlafRock]

Tak, tak. Znam podział rynku przeglądarek. Ten ranking jest ogólnodostępny.

Powiem inaczej. Kto zarabia na stronie i dba o swój biznes dawno już wdrożył certyfikat SSL. Strach spadł tyko na mało znaczące strony.

 

E.

Zwłaszcza, że Google już w wrześniu ubiegłego roku o tym informowało. Skąd ten lament?

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

[jimmi]

@SzlafRock pisałem że problem robi się przy posiadaniu dużej ilości serwisów domen. Wyobrażasz sobie kupowanie i instalacja certyfikatów dla 1000 domen z preclami ?

[Mion]

10 minut temu, jimmi napisał:

pisałem że problem robi się przy posiadaniu dużej ilości serwisów domen.

Tym sposobem mogą wyciąć znaczną ilość zapleczy, które nie mają SSH = cała masę miejscówek, które zostały porzucone przez ich właścicieli.

[jimmi]

według mnie właśnie o to chodzi, wreszcie G. znalazł sposób na pozbycie się śmieciowych zaplecz.

[jimmi]

@Mion widziałem Twoje ogłoszenie czy teraz VestaCP ma już natywną obsługę let's encrypt, jak patrzyłem chyba z rok temu, to coś tam ktoś kombinował ale projekt wyglądał porzucony ?

[Mion]

Teraz już z poziomu domeny w penalu można wybrać SSL i jest co instaluje  Let's Encrypt SSL https://vestacp.com/roadmap/

[moto-strefa]

16 hours ago, jimmi said:

Niestety, tak jak wspomniał w swoim artykule mkane Google ze swoją dominującą pozycją na rynku przeglądarek internetowych zmusi wszystkich do używania certyfikatów, a zaplecza bez SSL będą bardzo odstawać i zostaną szybko wyłapane. Trzeba się przygotować na następne zmiany a mobile first jeszcze przed nami.

P.S. przy okazji testujemy obsługę artykułów na forum. 

Ja u siebie na forum również kupiłem SSL (Comodo PositiveSSL), choć przyznaje że dopiero po podobnym mailu. Czy instalacja certyfikatu i włączenie https:// w skrypcie jest wystarczające.

Widziałem w na innym forum, że niektórzy próbują by https:// był na wszystkich podstronach witryny, nawet tam gdzie nie ma konieczności logowania - czy to jest poprawne? 

[jimmi]

docelowo G. chce wymusić używanie wszędzie https na razie wystarczy tam gdzie jest logowanie, wiadomo że koszyk i płatności już od dawna są zabezpieczone.

Jedno małe ale większość skryptów teraz oferuje możliwość logowania się na każdej podstronie, tak jak tutaj. A to niestety ma powodować ostrzeżenie.