Senaste versionen av Chrome stämplar nu alla sajter utan HTTPS som osäkra

Permalänk
Medlem
Skrivet av dlq84:

0 kr är för dyrt?

Smartass.

Jag gick hem ock kollade min situation och varför jag upplever mina sajter så dyra. Det är som flera påpekade inte certifikaten jag betalar en massa pengar för. Utan för en tillräcklig Service-Plan hos Azure som tillåter SSL-certifikat. Dessa kostar i mina fall över 400 Kr/månaden per webbapplikation. Inte bra

Permalänk
Medlem
Skrivet av Homdax:

Det är inte det. Sidorna kör äldre versioner av PHP och några har inte ens bra stöd för UTF8, så det ligger i sid koden, inte i serverinställningarna. Enda distron jag sett som kan hantera flera olika versioner av PHP simultant är CloudLinux och den kostar den med.

Du har ingen möjlighet att få upp en proxy framför?
Du skulle du (i varje fall teoretiskt) kunna köra HTTPS från besökaren till proxyn (som gärna då får stödja lets encrypt) och sen http mot dina siter bakom.

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Permalänk
Medlem
Skrivet av MaloW:

Jag förstår inte varför det finns ett sånt driv på att ha HTTPS överallt. Det finns massor av exempel där HTTPS är helt useless, och HTTPS är slöare och dyrare. Känns så meningslöst att slösa bort tid, energi och data.

Skrivet av MaloW:

Menade inte tid som i tiden det tar att sätta på HTTPS, utan tid i att varje HTTPS request kräver extra rund-vändor av paket. I varje enskilt fall är det rätt lite tid, men 1 miljard människor om dagen som konstant gör requests och det blir en hel del tid wasted.

Rätt konfigurerad HTTPS är snabbare än ren HTTP och kräver inga extra round-trips.

HTTPS är säkrare, snabbare och ger tillgång till nyare webbstandarder. Det finns ingen anledning att inte använda HTTPS.

Permalänk
Medlem

Trenden att kryptera all data som rör sig på internet har gått till överdrift, visst är det bra att säkerheten förbättras på den fronten men samtidigt som HTTPS blir allt vanligare får Microsoft, Google och Facebook tillgång till mer och mer av min privata information.

Google själva har tillgång till att läsa min epost, och med ett endaste knapptryck kan jag (kanske t.o.m. oavsiktligt) ge en tredjepartsapp tillgång till att läsa mina mejl (se Reminder—Third Party Gmail Apps Can Read Your Emails, "Allow" Carefully!). Men gud förbjude ifall mejlen skickas okrypterat mellan min ISP och Googles servrar, över fiberkablar som ligger bakom låsta dörrar med hög säkerhet, ja då ska det visas stora varningar i rött:

Om man är lite konspiratoriskt lagd så är anledningen självklar: Google vill själva ha full kontroll över processen för hur de överlämnar epost till NSA, FRA, och vilka det nu finns, då kan de ta ut avgifter och liknande för tjänsten de erbjuder. Då är det ett problem för Google ifall NSA kan få tag på denna information gratis genom att avlyssna fiberkablarna.

Permalänk
Medlem
Skrivet av mats42:

Du har ingen möjlighet att få upp en proxy framför?
Du skulle du (i varje fall teoretiskt) kunna köra HTTPS från besökaren till proxyn (som gärna då får stödja lets encrypt) och sen http mot dina siter bakom.

Känns som att jag borde anlita dig och @MrShizzle för pizza och öl i ersättning så blir det lite bättre fart på grejorna...

...men nej, har inte ens funderat på den lösningen med proxy framför.

Visa signatur
Permalänk
Medlem

"Bästa pris på Låt den Rätte Komma In" 🤣

Skickades från m.sweclockers.com

Permalänk
Medlem

Lite trist att Chrome för Android inte gör detta. Med alla öppna wifi nätverk överallt borde det ju vara ännu allvarligare där. Men jag antar att det inte ger lika bra PR... Man ska också komma ihåg att bara för det står https är det inte säkert, finns många olika varianter av det.

Jag håller också med om att https ger extra arbete och kostnad för servern, klart märkbart när man servar tusentals i sekunden. Amazon gör dock ett bra jobb med att hjälpa till där!

Skickades från m.sweclockers.com

Permalänk
Medlem

HTTPS borde varit standard sen länge! Finnsi ingen anledning att låta andra smygtitta vad du gör! Okrypterad trafik borde blockas!

Visa signatur

r_wateralpha 0.3

Permalänk
Medlem

Jag tycker Certifikaten inte fungerar och är ett hot mot det fria internet.
Som slö surfare hur kan jag veta om jag kan lita på certificaten, vilka kollar vem som har givit ut certificatet?
För Sweclockers står det
CN = RapidSSL SHA256 CA
O = GeoTrust Inc.
C = US

Så på något sätt ska jag vara mera säker på att det verkligen är den Sweclockers som jag känner dom som har skrivigt hemsidan, för att det finns ett certificat frå GeoTrust Inc. som jag alldrig har hört talas om.
Så i praktiken är certificaten bara en metod för att ge mera makt åt de stora bolagen och staterna över internet. Och göra det svårare för "vanliga" personer att göra hemsidor.
Jag ser inte heller varför det ska behövas kryptering på sighter som inte har någon inloggning eller något som är hemligt för någon.

Permalänk
Medlem
Skrivet av Pie-or-paj:

Rätt konfigurerad HTTPS är snabbare än ren HTTP och kräver inga extra round-trips.

HTTPS är säkrare, snabbare och ger tillgång till nyare webbstandarder. Det finns ingen anledning att inte använda HTTPS.

Det får du ta och backa upp med en källa. Vad jag kommer ihåg från vad jag lärt mig, och som stämmer överrens med vad jag hittar när jag googlar det, så är HTTPS helt enkelt HTTP över TLS, dvs. man blandar in ytterliggare ett protokol som kräver handshakes samt overhead, och dekryptering av data. Det är således både teoretiskt och praktiskt omöjligt för HTTPS att vara snabbare än HTTP.

Du säger att HTTPS inte kräver några extra round-trips, detta är fel så vitt jag vet, se denna för en overview av extra handshakes som tillkommer med HTTPS. Som jag förstått det så kan man skippa dom 2 första om man redan har en öppen session, men resten går inte att skippa.

Här har du ytterliggare mer info att läsa om hur HTTPS är slöare än HTTP: https://stackoverflow.com/questions/149274/http-vs-https-perf...

Visa signatur

Intel i7-7700k @ 4.9Ghz - Noctua NH-U12P SE2 - MSI GTX 1070 Armor OC - AsRock Z270 Extreme4 - G.Skill Ripjaws V DDR4 3200MHz CL16 2x8GB - Corsair RM750x 750W - Samsung 970 EVO 500GB - Acer Predator X34 - Silverstone RV02-E - Asus Xonar Essence STX II 7.1 - Mionix Naos 8200 - Corsair Gaming MM400 - Das Keyboard 4 Ultimate MX Brown - Beyerdynamic DT990 Pro 250 Ohm - Antlion ModMic 4.0 Unidirectional

Permalänk
Legendarisk
Skrivet av Lubricus:

Som slö surfare hur kan jag veta om jag kan lita på certificaten, vilka kollar vem som har givit ut certificatet? [...] Så på något sätt ska jag vara mera säker på att det verkligen är den Sweclockers som jag känner dom som har skrivigt hemsidan, för att det finns ett certificat frå GeoTrust Inc. som jag alldrig har hört talas om.

Syftet med den typen av certifikat är att säkerställa att din dator talar med rätt server och att kommunikationen mellan er är skyddad, och för det räcker det att din webbläsare litar på GeoTrust. De ger inga garantier alls om vilka som står bakom domänen. Det finns EV-certifikat som kan hjälpa till med det senare problemet; banker brukar ha sådana.

Skrivet av Lubricus:

Jag ser inte heller varför det ska behövas kryptering på sighter som inte har någon inloggning eller något som är hemligt för någon.

Det handlar inte bara om att dölja information, utan även att data inte ska kunna manipuleras av t.ex. statliga aktörer, skumma ISPs eller VPN-tjänster. Utan HTTPS skulle dessa kunna injecera egen kod, annonser, förändra innehållet i nyhetsartiklar, wikipedia etc.

Visa signatur

Abstractions all the way down.

Permalänk
Medlem

Okej kollade samtliga sajter i listan. Hälften körde https, hälften inte, cirka.
Den listan borde ju uppdateras likaväl.

Skickades från m.sweclockers.com

Visa signatur

If nobody hates you, you’re doing something wrong.

Permalänk
Medlem
Skrivet av MaloW:

Det får du ta och backa upp med en källa. Vad jag kommer ihåg från vad jag lärt mig, och som stämmer överrens med vad jag hittar när jag googlar det, så är HTTPS helt enkelt HTTP över TLS, dvs. man blandar in ytterliggare ett protokol som kräver handshakes samt overhead, och dekryptering av data. Det är således både teoretiskt och praktiskt omöjligt för HTTPS att vara snabbare än HTTP.

Du säger att HTTPS inte kräver några extra round-trips, detta är fel så vitt jag vet, se denna för en overview av extra handshakes som tillkommer med HTTPS. Som jag förstått det så kan man skippa dom 2 första om man redan har en öppen session, men resten går inte att skippa.

Här har du ytterliggare mer info att läsa om hur HTTPS är slöare än HTTP: https://stackoverflow.com/questions/149274/http-vs-https-perf...

Du länkar en väldigt gammal källa. Det har hänt en hel del efter att man kom fram till att allt ska köras över HTTPS.

Till att börja med, för att slå ihjäl väldigt gamla argument (jag säger inte att du har sagt dem, men eftersom det är en publik diskussion så kan det vara bra att vara lite mer fullständig). Moderna CPUer har stöd i hårdvara för att kryptera så det kostar ingen extra CPU-tid. Och även om de inte haft det är modern hårdvara så snabb ändå att den kostnaden skulle vara trivial jämfört med nätverket även om man sitter på samma LAN som servern.
En rätt konfigurerad HTTPS server ska aldrig kräva mer en ett extra roundtrip för att etablera TLS sessionen. Redirecten från HTTP till HTTPS eliminerar man med HSTS och att registrera sin site i HSTS preload så att browsers vet om det redan innan första besöket av siten https://hstspreload.org/. För att slippa behöva vänta på svar från servern om att TLS är etablerat ska man aktivera TLS false start https://hpbn.co/transport-layer-security-tls/#enable-tls-fals...

Och så, mer moderna tekniker som gör HTTPS snabbare än HTTP:
HTTP2 går endast över TLS och eftersom HTTP2 stödjer flera samtida request över samma TCP koppel + har kompaktare headers så är nästan alla sidor snabbare med bara HTTP2 trots en extra round trip då du eliminerar TCP slow start för request efter stylesheets, javascript och bilder. Läs mer om HTTP2 här om du är intresserad: https://developers.google.com/web/fundamentals/performance/ht...

Den extra roundtrippen för att etablera TCP kopplet från början kan dessutom elimineras med TLS 1.3 https://blog.cloudflare.com/introducing-0-rtt/

Permalänk
Medlem
Skrivet av Glyph:

Lite trist att Chrome för Android inte gör detta. Med alla öppna wifi nätverk överallt borde det ju vara ännu allvarligare där.

Kan rekommendera Brave Browser som bygger på Chromium:
https://play.google.com/store/apps/details?id=com.brave.brows...

Brave uppgraderar alla HTTP accesser till HTTPS där det är möjligt. Sedan jag började köra Brave (mer än ett halvår), så har detta skett 18000 ggr!

Sedan kör jag med VPN i mobilen för bättre skydd när jag använder publika Wifi-nät.

Permalänk
Medlem
Skrivet av Pie-or-paj:

Och så, mer moderna tekniker som gör HTTPS snabbare än HTTP:
HTTP2 går endast över TLS och eftersom HTTP2 stödjer flera samtida request över samma TCP koppel + har kompaktare headers så är nästan alla sidor snabbare med bara HTTP2 trots en extra round trip då du eliminerar TCP slow start för request efter stylesheets, javascript och bilder. Läs mer om HTTP2 här om du är intresserad: https://developers.google.com/web/fundamentals/performance/ht...

Det är ju inte HTTPS i sig som är snabbare då, det är ju HTTP/2. Och HTTP/2 funkar visst det utan TLS, det är bara det att alla stora browsers har gått ut och sagt att dom inte kommer tillåta HTTP/2 utan TLS.

Skrivet av Pie-or-paj:

Moderna CPUer har stöd i hårdvara för att kryptera så det kostar ingen extra CPU-tid. Och även om de inte haft det är modern hårdvara så snabb ändå att den kostnaden skulle vara trivial jämfört med nätverket även om man sitter på samma LAN som servern.

CPUs har absolut specifika instruktioner för att hjälpa till att snabba upp kryptering, men som jag har förstått det så kostar fortfarande CPU tid att utföra dessa instruktioner. Att göra kryptering med hårdvaru stöd kräver fortfarande mer tid och ström än att inte göra kryptering alls.

Dina länkar om hur man trimmar HTTPS till att minska prestanda-påverkan var intressanta dock, men faktum kvarstår att om browsers inte hade tvingat in oss i TLS så hade HTTP/2 utan TLS varit det bästa alternativet för majoriteten av vår trafik. Även om man i dom flesta fall kan eliminera extra round-trips med TLS, så finns där fortfarande problemet med att HTTPS förhindrar viss typ av cachning och att det kräver mer energi och ström pga. att där krävs att extra instruktioner körs, både på servern och på enheter som ofta har limiterade batterier, för att hantera handskakning (även om denna kan göras parallellt med vanliga requests) och kryptering. Även om påverkan är rätt liten så blir det nog en del om man tittar på hur många HTTP requests som görs varje dag. Det känns bara så sjukt onödigt att pusha TLS så hårt när det finns uppenbara, även om dom är små, nackdelar med det för majoriteten av vår trafik. Varför tvinga allt att gå över TLS? Vad vinner vi på det?

Visa signatur

Intel i7-7700k @ 4.9Ghz - Noctua NH-U12P SE2 - MSI GTX 1070 Armor OC - AsRock Z270 Extreme4 - G.Skill Ripjaws V DDR4 3200MHz CL16 2x8GB - Corsair RM750x 750W - Samsung 970 EVO 500GB - Acer Predator X34 - Silverstone RV02-E - Asus Xonar Essence STX II 7.1 - Mionix Naos 8200 - Corsair Gaming MM400 - Das Keyboard 4 Ultimate MX Brown - Beyerdynamic DT990 Pro 250 Ohm - Antlion ModMic 4.0 Unidirectional

Permalänk
Medlem
Skrivet av MaloW:

Det är ju inte HTTPS i sig som är snabbare då, det är ju HTTP/2. Och HTTP/2 funkar visst det utan TLS, det är bara det att alla stora browsers har gått ut och sagt att dom inte kommer tillåta HTTP/2 utan TLS.

Nja, det finns en väldigt bra anledning till att inte tillåta HTTP2 utan TLS. HTTP2 stödjer push, så en webbserver kan skicka saker till webbläsaren innan den har bett om det för att minska round tripps ytterligare. Detta kan dock utnyttjas av en MITM attacker till och med efter att MITM är borta.

Scenario:
Du sitter på ett delat Wifi. Typ. café, tåg eller liknande. Du går in på Sweclockers (som i det här scenariot inte har HTTPS) för att läsa nyheter men loggar självklart inte in eftersom vem som helst på samma Wifi kan sno ditt lösenord, samma lösenord som du troligtvis (enligt statistik) använder även på mailen, Facebook o.s.v.

Med HTTP1 hade ditt lösenord aldrig läkt i det här fallet men med HTTP2 kan det göra det tack vare push:
MITM attackern gör en push av logginsidan, men har lagt till ett extra Javascript som också skickar lösenordet till attackerns servern.
När du kommer hem till ditt säkra nät och ska logga in så hämtar nu browsern inloggningssidan från push-cachen istället för serven eftersom "serven" redan har pushat den till browsern.

Av samma anledning tillåts inte heller Service Workers utan HTTPS. Båda teknikerna gör det möjligt för en MITM att utföra attacker på dig långt efter att du va på ett osäkert nät.

Skrivet av MaloW:

CPUs har absolut specifika instruktioner för att hjälpa till att snabba upp kryptering, men som jag har förstått det så kostar fortfarande CPU tid att utföra dessa instruktioner. Att göra kryptering med hårdvaru stöd kräver fortfarande mer tid och ström än att inte göra kryptering alls.

En extra instruktion och en extra memcpy kostar noll och inget i sammanhanget. Hade det gjort det så hade inte telefoner (både Android och iPhones) och macbooks kommit med fulldiskkryptering aktiverat per default...

Skrivet av MaloW:

Dina länkar om hur man trimmar HTTPS till att minska prestanda-påverkan var intressanta dock, men faktum kvarstår att om browsers inte hade tvingat in oss i TLS så hade HTTP/2 utan TLS varit det bästa alternativet för majoriteten av vår trafik. Även om man i dom flesta fall kan eliminera extra round-trips med TLS, så finns där fortfarande problemet med att HTTPS förhindrar viss typ av cachning och att det kräver mer energi och ström pga. att där krävs att extra instruktioner körs, både på servern och på enheter som ofta har limiterade batterier, för att hantera handskakning (även om denna kan göras parallellt med vanliga requests) och kryptering. Även om påverkan är rätt liten så blir det nog en del om man tittar på hur många HTTP requests som görs varje dag. Det känns bara så sjukt onödigt att pusha TLS så hårt när det finns uppenbara, även om dom är små, nackdelar med det för majoriteten av vår trafik.

Ingen cachning som webbplatsägaren bett om förhindras. Alla CDNer har stöd för HTTPS. Det som förhindras är cachning av tredjepart, t.ex. ISP. Denna cachningen är dock oönskad av många webbplatsägare eftersom den ofta förstör sidor vid uppdatering då webbplatsägaren har noll kontroll över den och den ofta orsakar problem med att man får en gammal version av en resurs och en ny av en annan där det kan finnas inkompatibilitet. Cachning är nog svårt när man har kontroll och kan veta vad som cachas och varför. Att sådan här typ av cachning förhindras är en fördel för både webbplatsägare och användare och endast ett problem för ISPer som vill snåla in på peeringkostnader.

Skrivet av MaloW:

Varför tvinga allt att gå över TLS? Vad vinner vi på det?

1. Nästan alla som kopplar upp mot delade Wifi har ingen aning om riskerna med det. HTTPS per default skyddar dem från en väldig massa olika saker.
2. Normalt folk vet inte skillnaden mellan HTTP och HTTPS och ska inte behöva veta det heller. Om allt alltid är säkert försvinner det problemet.
3. Många ISPer värden över injekterar extra reklam på siter utan lov, HTTPS tvingar bort sådant skit.
4. Samma punkt som trean fast virus istället.
5. Folk som bor i länder där regeringen inte kan antas ha goda avsikter har en enorm fördel av att alla siter stöder HTTPS.
6. Folk som har behov av kryptering oavsett anledning är behjälpta av att också det går mycket annan trafik över kryptering. Om endast viktig trafik går över kryptering är det mycket lättare att med olika analyser försöka förstå innehållet.
7. HTTPS gör det möjligt att introducera webbstandarder som ger siteägare mycket mer kontroll och därför kan förbättra prestandan enormt men som helt enkelt är för kraftfulla för att kunna tillåta utan HTTPS. Som nämnt tidigare är Service Workers och HTTP2 bra exempel på dessa.

Permalänk
Medlem
Skrivet av Pie-or-paj:

Bra argumenterat, var precis detta jag var ute efter att få förklarat. Du har övertygat mig! Tack!

Visa signatur

Intel i7-7700k @ 4.9Ghz - Noctua NH-U12P SE2 - MSI GTX 1070 Armor OC - AsRock Z270 Extreme4 - G.Skill Ripjaws V DDR4 3200MHz CL16 2x8GB - Corsair RM750x 750W - Samsung 970 EVO 500GB - Acer Predator X34 - Silverstone RV02-E - Asus Xonar Essence STX II 7.1 - Mionix Naos 8200 - Corsair Gaming MM400 - Das Keyboard 4 Ultimate MX Brown - Beyerdynamic DT990 Pro 250 Ohm - Antlion ModMic 4.0 Unidirectional