17.12.2015, 13:01
IIRC není problém s certifikátem, nýbrž s vlastní veřejnou adresou, která je k tomu potřeba - jestli si to dobře pamatuju, vlastní certifikát "zdarma" vyjde prakticky na stejné peníze, jako tohle řešení.
Připomínky a návrhy k obsahu Bronies.cz
|
17.12.2015, 13:01
IIRC není problém s certifikátem, nýbrž s vlastní veřejnou adresou, která je k tomu potřeba - jestli si to dobře pamatuju, vlastní certifikát "zdarma" vyjde prakticky na stejné peníze, jako tohle řešení.
17.12.2015, 14:17
@LunoOndra: klidně můžem i když v případě tvého příspěvku si nejsem jist, zda se jedná o neznalost, nebo o prudu... Takže od začátku, protože jsi evidentně v tomhle vlákně ani jinde na fóru po informacích na tohle téma nepátral - jinak by ses (doufám) ptal jinak:
Důvěryhodný https certifikát jsem prosazoval od doby, co jsem přišel na fórum. Nicméně na jeho nasazení došlo až později. Nejprve se hosting přesunul z Awanhilova soukromého serveru na komerční hosting (kde v tu dobu už běžely stránky např. czequestria.cz) a měli jsme s ním dobré zkušenosti - zároveň se tím vyřešily další věci, jako např. e-mail hosting, hosting domén atd. na jedno místo. Upgrade na https verzi jsme provedli spolu s upgradem na novou verzi fóra (která se taky hodně dlouho odkládala). Takže ty velké změny proběhly v rychlém sledu, když admini měli dost času je provést. Hosting máme u active24.cz (to sis předpokládám zjistil) - důvodů bylo víc, jedním z nich bylo zjednodušení celého systému a reference, které jsme na hosting dostali (shitstorm o tom, že jiný hosting je samozřejmě lepší, prosím do jiného vlákna), teď co se certifikátu týče: 1) Certifikát jsi prozkoumával, takže víš, že má platnost jeden rok od 23.4.2015 - pokud ti to není známo, tak Let's Encrypt v té době nefungoval a v současné době (od 3.12.2015) je stále v režimu public beta. 2) StartSSL je samozřejmě možnost, která existovala i tenkrát - nicméně pokud hosting nepodporuje SNI (což byl i případ active24 v té době na našem typu hostingu), tak bylo nutno mít k https certifikátu také vlastní veřejnou IP adresu. Takže jsme klidně mohli mít důvěryhodný certifikát od StartSSL, nicméně nasazení vlastního certifikátu na active24 hosting bylo zpoplatněno stejnou částkou, jako koupě certifikátu, který teď máme a který používáme. Ten samý postup se týká i důvodu proč certifikát stejného typu má i czequestria.cz A než se tu rozvíří diskuze na příbuzné téma "proč mi prohlížeč přesto hlásí nezabezpečené prvky na stránce", tak vězte, že jde o o obsah (převážně obrázky, včetně avatarů), které jsou načítány skrze nezabezpečené http z jiných serverů (typicky image hostingy). Jistě by se to dalo zakázat, ale přineslo by to víc problémů než užitku.
Princess Luna: Everypony has fears, Scootaloo. Everypony must face them in their own way. But they must be faced, or the nightmares will continue.
Rainbow Dash: It feels good to help others get something they always wanted but never had. Almost as good as getting it yourself. The Last Rebel... still alive
17.12.2015, 17:53
(Tento příspěvek byl naposledy změněn: 17.12.2015, 17:59 uživatelem LunoOndra. Edited 1 time in total.)
At Jamis:
Spíše o neznalost, nepátral jsem po celém fóru. (Tím se také omlouvám, jestli příspěvek zněl útočně - tak to rozhodně nebylo myšleno.) Já důvěryhodné HTTPS certifikáty prosazuju také všude kam přijdu. Ano, vím, že Let's Encrypt v té době nefungoval - spíše si myslím, jestli to není dobré řešení do budoucna... Jinak si u toho Active24 nejsem jistý, ale SNI mám pocit podporuje - možná to v té době bylo jinak. Co se týče obsahu - dal bych někam při přidávání příspěvků prosbu o přidávání obrázků přes https adresu. Ony to skoro všechny image hostingy umí, akorád se tam musí místo http napsat https, vypadalo by to pak lépe (potom taky, možná by stálo za to najít možná plugin, který by nahrazoval http za https v příspěvcích automaticky, pokud by to šlo...) Jinak díky za objasnění. Mimochodem, když už tu běží to DNSSEC, což takhle tam přidat i TLSA záznam... Viz https://www.huque.com/bin/gen_tlsa
17.12.2015, 18:31
Ohledně https certifikátů tady se vedly dost bouřlivé diskuze - ať už na fóru, nebo třeba na IRC. Zbyla z toho v některých věcech hlavně pachuť, protože třeba někteří nechápali, proč neměníme hosting pokaždé, když se objeví nějaká akční nabídka, nebo proč fórum neběží na jejich serveru z vyřazeného PC železa někde u nich doma pod stolem... a tak podobně. Navíc pro drtivou většinu uživatelů to nepřineslo žádný rozdíl (protože prostě neví, jak moc velký je to rozdíl) a některým problémy: občas píšou lidi, že jim prohlížeč hlásí nedůvěryhodný certifikát na bronies.cz - obvykle protože jsou někde za firewallem, který kontroluje obsah HTTPS (který funguje v podstatě stejně jako MITM). A další věci (ty vkládané obrázky jsou jen špička ledovce), které vnímají pozitivně spíš jen lidé znalí problematiky a pro ostatní jde jen o omezení navíc.
Let's Encrypt sleduju (protože se to týká i mé profese), nicméně stále vyčkávám, jak se to bude celé vyvíjet. Jelikož se jedná pouze o Domain Validated ověření s vysokou mírou automatizace, může to dost zamávat systémem důvěry ve vydávané certifikáty a způsobem, jakým uživatelé vnímají důvěryhodné HTTPS. SNI u Active24 tehdy fungovalo pokud vím pouze na Windows hostingu - my používáme jako podkladový OS Linux (protože jde o multi-webhosting s podporou PHP a MySQL), teď by mělo fungovat SNI i pro Linux webhosting (minimálně tak funguje teď s možností instalovat self-signed certifikát zdarma, což se hodí tak pro administraci CMS, ale ne pro uživatelský přístup). Jelikož se Active24 chlubilo (jako další), že podporu Let's Encrypt certifikátům svým zákazníkům bezplatně zavedou, vyčkáváme, jak se situace vyvine - stále máme ještě cca 5 měsíců čas, než současný certifikát vyprší. Ohledně obsahu - ano, tak by to šlo, celá věc vynucení https má několik nemalých háčků: * přijdeme o historii, protože mnoho obsahu sem bylo nalinkováno přes http, což ručně autoři předělávat nebudou a zautomatizovat se to dá jen do určité míry * pro nové linky je to jistě možné, ovšem zda existuje plugin, který dovede otestovat, zda je zadaný ten samý obrázek dostupný i přes https, nevím * zakázat http obecně linkování obsahu mi přijde v případě místního fóra trochu přitažené za vlasy (byť vím, co to může mít v extrémních případech za následky) * nejde ani tak o technický, jako spíš lidský problém - běžné uživatele to bude otravovat a přidanou hodnotu zabezpečení příliš neocení (bez urážky) ad TLSA: Jistě ono takových nedodělávek je tu mnoho, protože v posledních letech má admin/mod tým další cíle s vyšší prioritou: jako například udržování fóra v chodu, moderování, změny struktury fóra, pořádání setkání, conů, programu na conech, školu, zaměstnání a taky trochu soukromý život takže všechny tyhle věci, byť jsou to krátkočasové úkoly, se řeší postupně, často bez publicity, takže to může navenek vypadat, že se "zas tak moc neděje". Jinak díky za připomenutí - připíšu si to na seznam poté, co se z toho organizačního maratonu trochu zotavím
Princess Luna: Everypony has fears, Scootaloo. Everypony must face them in their own way. But they must be faced, or the nightmares will continue.
Rainbow Dash: It feels good to help others get something they always wanted but never had. Almost as good as getting it yourself. The Last Rebel... still alive
17.12.2015, 18:47
A úplně k jinému tématu - všiml si někdo hlášky zde? https://bronies.cz/Vlakno-Vase-fotka?page=480
Jinak já samozřejmě ty důvody běžného uživatele chápu, ale stejnak bych se na to (až bude chvilka času) nějak podíval, přece jenom, potom je to HTTPS někde i zbytečné (nehledě na to, že hlavní problém jsou ustom cavatary - tam bych https stritkně prostě vyžadoval)
29.01.2016, 18:14
Čaute,
Jelikož už skončila s5 a bude začínat s6, mohla by už být založená sekce pro 6. sezónu pro diskuzi? (Už byly uvěřejněny i spoilery )
30.01.2016, 18:57
@LunoOndra: Mne beží avatar, ako PHP skript (vďaka ti madA) na "mojom" serveri ktorý https ale nepodporuje. A nepoznám nejakú službu čo im dáš skript a budú ti ho zadarmo poskytovať. Takže ja by som mal problém.
Nový kus nábytku keramický Tree of Harmony, Zlatá Harfa(pony) a Discord Lampa!
Prezývky na počkanie (by me) AleXan sa pustit nechce, nepujde to jen tak lehce... Mácaman The decisions you make and the actions that follow are reflection of who you are. Song of The Sea Chcete meniaci avatar ako ja? Napíšte mi PM!
31.01.2016, 18:55
Momentálně je nasazen plugin, který nahrazuje zdroj obrázků http->https u vybraných serverů, kde je potvrzená jejich funkčnost. Mezi nimi je např. také Imgur nebo Deviantart, takže většina uživatelských obrázků je načítána zabezpečeně.
Je připravena i část, která by ostatní obrázky nahrazovala linkem (tak, aby se na něj dalo kliknout i u avataru), ale zatím není v plánu ji uvádět do provozu.
15.02.2016, 18:19
Neděje se něco se serverem? Dneska mi celej den přijde forum nějaký zadejchaný
15.02.2016, 19:08
Nepřišlo mi, že by forum přes den nějak zpomalovalo.
Czequestria 2021 stream in works. Další srazy a přednášky jsou v mém webu a YT channelu.
Archiv: Komixový index TeamSpeak 3 Server fangfactory.net Web|Twitter|Steam |
|