Över hälften av all nättrafik i Chrome säkras via HTTPS

Det går åt rätt håll, bra.

Sidan måst stödja protokollet, det räcker inte med att bara slänga på ett "s" på slutet och tro att det skall fungera

Fram till bara några månader sen så använde gamla lärarportalen Novo klartext-inloggning... och finns säkert alldeles för många tjänster idag som fortfarande gör det. Bra att Google tar sitt ansvar här.

samma här :/ är det några nackdelar att ha https över http som swec inte vill ha eller blir det en extra kostnad??

Tog lite för givet att Swec skulle stödja det (det kan ju klassas som en IT-sida trots allt ) men jag vågade inte slänga ur mig allt för mycket. Lyckades inte ens ta hissen hem till rätt våning efter den här arbetsdagen, haha!

Det är för att Swec har ett nära sammarbete med NSA
Skämt å sido, jag har absolut ingen aning.

Ironiskt när Sweclockers inte använder HTTPS.

Certifikatet används inte för kryptering, certifikatet är bara ett bevis för att du har surfat in på rätt domän, och att domänen inte är kapad, och en försäkran om att ingen försöker sig på en MITM-attack. Själva https-anslutningen utan cert är lika säker som ett med cert.

Vill minnas att i många fall handlar det om att det blir problem med att få reklam att fungera.

Nej, certifikaten används för asymmetrisk kryptering i början för att förhandla fram en temporär slumpad symmetrisk krypteringsnyckel. Det är omöjligt att köra https utan ett certifikat.
Och det går att köra https med ett egenutgivet certifikat, som då enbart bistår med kryptering, utan en CA som garanterar att man kommit till rätt domän utan MITM.
https://en.wikipedia.org/wiki/Public-key_cryptography

Ja, jo, du har rätt, det var väl lite fumligt sagt av mig när jag sa "utan cert", det jag menade var "utan cert signerat av CA". Men den privata nyckeln stannar hos användaren/servern. Den skickas aldrig till någon CA.

Jag hade också fel i att den inte användes för krypteringen, men det inser jag nu att den visst gör. Men jag antar att man faller tillbaka på DH när certet inte godkänns (självsignerat)?

Certet inehåller inte kryphål riktigt på det sättet. I fallet Levono var det att dem ville kunna lägga in reklam i https skyddade anslutningar. För att göra det behövde dem fånga trafiken innan webbläsaren, dekryptera, lägga in reklam och kryptera för att skicka det till webbläsaren, en regelrätt MIM attack. Det som var så extremt illa var att dem ville ju inte få varningar och måste då få certifikat godkända. Deras lösning var att lägga in ett program som gjorde egna, själsignerade certifikat till varje domän. Det rootcert som signerade dem var utfärdat av Levono och låg inlagt som trusted. Smart folk insåg att man kunde använda det för att göra MIM på alla Levono datorer eftersom dem litar på det, och privata nyckeln(den som signerar) låg lokalt på datorn, dåligt skyddad.

Detta är även samma teknik företag använder på intranät om dem vill kunna kolla vad anställda gör.

Är det självsignerat får man en varning och kan välja ignorera eller lämna sidan. Vill du slippa dem kan man alltid göra sin egen CA som skriver under alla, samt lägga in den CAn i sin webbläsare som betrodd. Du slipper varningar (och kan även upptäcka MIM), men fungerar bara för datorer du pillat extra med.

Risken för tampering av stater är relativt låg, skall det fungera måste en redan internationellt betrodd org bli övertygad att signera falska (vilket är svårt) eller stjäla deras privata nycklar. Att övetyga är svårt då upptäckt gör att ingen litar på dig och du kommer konka nästan direkt. En belgisk firma provade för några år sedan (utfärdade falska google.com åt iran).

Vi får nog leva med CAs, alternativet är web of trust, som är well, inte användarvänligt (och nog lättare att fula sig med)

Man kan väl konstatera att om deras superfish-mjukvara hade genererat ett unikt rotcert per maskin och installerat det som trusted så hade det inte varit katastrof på samma sätt, det som var så fruktansvärt illa var ju just att alla maskinerna hade samma rotcert inlagt som trusted i kombination med att den privata nyckeln fanns tillgänglig på maskinerna.

Dvs, de hade kunnat göra i princip samma lösning med bara en liten skillnad i hur den sattes upp och ändrat konsekvensen från att alla som direkt eller indirekt haft tillgång till att mixtra lite med en dator med superfish, vilken som helst, kan MITMa alla andra datorer med superfish till att man om man haft tillgång till att mixtra lite med en dator med superfish kan MITMa just den datorn (vilket ju i princip är ett faktum oavsett superfish).

Lustigt, använde Chrome för ett par veckor sedan och fick massor med certifikat problem men när jag tog bort HTTPS och bytte det till HTTP så fungerade allting igen.

Kanske förklarar varför om det nu på riktigt är så att bara 50% använder.

Bara jag som ser lite ironi i att Google säger att 2/3 av det vi surfar på med deras webbläsare är säkert.... om det nu är säkert, hur f*n vet de det???
Säkert för mig innebär att ingen kan se trafiken, så vf är poängen att ha HTTPS mot en hemsida när din webbläsare är ett spionprogram?

Ja hmm nå det var allt mellan Outlook till Google till YouTube.