Метка «HTTPS»

На Хабре опубликовано много статей по настройке https. В том числе возможные конфигурации nginx с объяснениями и комментариями к самой статье. Некоторые из статей обретали свой ценный информационный посыл уже после того, как сообщество поделилось своим опытом. По моему скромному мнению, полнота, целостность и ясность информации – лучший друг любой из технологий. Предлагаю собрать воедино всю информацию и написать следующие статьи, которые войдут в серию «Only HTTPS».

  • Конфигурируем web-сервер nginx;
  • Nginx. Массовый редирект на TCP-порт;
  • CDN–провайдер. Ускорение отдачи web-контента.

Only HTTPS. Nginx. Массовый редирект на TCP-порт - 1

Все запросы клиента на 80 порт будем перенаправлять на 443.
Ещё мы можем на прямое обращение клиента по ip и не заданные у вашего web-сервера хосты возвращать код 444, закрывая тем самым соединение без передачи заголовка ответа.
Читать полностью »

Второго декабря Россия лишилась доступа к GitHub по решению Роспотребнадзора. Информация с разъяснением причин блокировки для широкой общественности выглядит так:

image

Для узких кругов есть ещё вот такая информация:

скриншот с rublacklist

image

Все заблокированные страницы содержат копию какого-то пародийного (и местами смешного) текста, описывающего способы себяцида (простите за это слово, боюсь за хабр).

Проблема

В реестр внесено всего семь страниц. В интернете есть много обсуждений, почему из-за семи копий текста заблокирован весь ресурс, ведь закон требует ограничивать доступ именно к отдельным страницам. Результаты обсуждений сводятся к тому, что плохие провайдеры поскупились на DPI, поэтому банят сайты по IP. Читать полностью »

Бесплатные SSL сертификаты для проектов Open SourceЦентр сертификации GlobalSign начал раздавать бесплатно SSL-сертификаты квалифицированным проектам Open Source. Это хорошая возможность для тех проектов, которые до сих пор не имеют сертификата, получить его. Сертификат действует бессрочно, то есть пока проект соответствует заявленным требованиям.

Требования:

  • Свободная лицензия из списка Open Source Initiative.
  • Действующая поддержка проекта.
  • Соответствие требованиям благонадёжности.
  • Правильная конфигурация SSL (после выдачи сертификата) с получением высшего балла “A” при проверке в SSL Checker.
  • Соглашение со стандартными условиями.
  • Сайт не должен использоваться в коммерческих целях.

Читать полностью »

Эта статья является продолжением статей:
Простейший кросcплатформенный сервер с поддержкой ssl
Кроссплатформенный https сервер с неблокирующими сокетами
В этих статьях я постепенно из простенького примера, входящего в состав OpenSSL стараюсь сделать полноценный однопоточный веб-сервер.
В предыдущей статье я «научил» сервер принимать соединение от одного клиента и отсылать обратно html страницу с заголовками запроса.
Сегодня я исправлю код сервера так, чтобы он мог обрабатывать соединения от произвольного количества клиентов в одном потоке.
Читать полностью »

Эта статья является продолжением моей статьи Простейший кросcплатформенный сервер с поддержкой ssl.
Поэтому для того, чтобы читать дальше очень желательно прочитать хотя бы часть предыдущей статьи. Но если не хочется, то вот краткое содержание: я взял из исходников OpenSSL файл-пример «serv.cpp» и сделал из него простейший кроссплатформенный сервер, который умеет принимать от клиента один символ.
Теперь я хочу пойти дальше и заставить сервер:
1. Принять от браузера весь http заголовок.
2. Отправить браузеру html страницу на которую будет выведен http заголовок.
3. Кроме этого, я хочу чтобы сокеты не блокировали процесс сервера и для этого я переведу их в так называемый «неблокирующий режим».
Читать полностью »

Рабочая группа, которая работает над новой версией стандарта HTTP/2, обсудила несколько вариантов использования шифрования в HTTP/2. Руководитель рабочей группы Марк Ноттингем (Mark Nottingham) обдумал все предложения и сегодня высказал своё мнение на этот счёт.

По мнению Ноттингема, наилучшим способом защиты коммуникаций будет, если протокол HTTP/2 будет поддерживать только URL типа https:// в «открытом» интернете. Адреса типа http:// продолжат использовать предыдущую версию протокола HTTP/1. Естественно, клиенты HTTP/1 тоже сохранят возможность обмениваться данными с защищёнными узлами.

Это довольно смелое решение. Если его утвердят в стандарте, то оно может привести к тотальному внедрению криптографии по всей Сети.
Читать полностью »

Для чего я это пишу?

В последнее время в связи с кучей факторов (АНБ, DPI с рекламой и другое) у меня начала просыпаться паранойя и я подумал полностью перевести свой небольшой сайт на https. На хабре было несколько статей с техническими подробностями работы SSL/TLS, однако поискав информацию на тему настройки https-вебсервера обнаружил традиционное деление статей — либо это статьи «Делайте вот так», где просто даны настройки без каких-либо разъяснений и вариантов использования, либо это большие теоретические статьи, где обсуждаются различные схемы использования, но без практически применимых готовых вариантов. На хабре была статья о настройке, однако в ней нет информации про DH-кодировки, да и некоторые параметры не описаны. Подумал, что стоит упорядочить найденное в виде статьи, которая будет полезна тем, кто хотел бы развернуть https у себя на сервере, но не слишком углубляться в дебри SSL.

Повествование будет вестись с учетом того, что веб-сервером выступает nginx (и в одном месте будет параметр для php-fpm).
Читать полностью »

Во время последней недели на конференции BlackHat общественности был представлен новый тип атаки, направленный на SSL-защищенный контент. Этот тип атаки был назван BREACH (англ. “брешь” прим. перев.), и вызвал целую волну обсуждений в различных сообществах. Технические блоги были забросаны ссылками на сайты со статьями о том, что нет никакой возможности это исправить, и как вы можете попытаться защититься от уязвимости. Многие уважаемые специалисты в ИБ писали об этом.

И я здесь, что бы сказать вам, не беспокойтесь об этом.
Читать полностью »

в 6:04, , рубрики: Facebook, HTTPS, метки: ,

image

Facebook сегодня объявил о завершении перевода всех пользователей сайта на HTTPS, пишет The Next Web. До этого, с 2011 года, этот протокол, поддерживающий шифрование, пользователи при желании могли включить самостоятельно.

По данным Facebook, более трети пользователей и так использовали HTTPS. Теперь же весь трафик сайта Facebook и 80 % мобильной версии будет проходить через защищённое соединение. Пользователей мобильной версии полностью перевести пока не получилось, потому что есть телефоны, которые не поддерживают HTTPS.
Читать полностью »

Аутентификация по новому, или суперкукиНа сегодняшний день идея ухода от паролей и традиционных методов аутентификации на веб-ресурсах поднимается все чаще, причем этим озаботились такие гиганты IT-индустрии, как Google, Paypal и другие члены альянса FIDO. В рамках научных исследований, проводимых сотрудниками Google, были предложены способы усовершенствования методов аутентификации, а также черновик стандарта расширения TLS, позволяющего избавиться от использования cookies.

В данной статье я расскажу о проблемах традиционных схем аутентификации, о подводных камнях при введении двухэтапной аутентификации и рассмотрю предложенный стандарт расширения TLS. Текст статьи будет полезен веб-разработчикам, планирующим встроить двухэтапную аутентификацию.

Читать полностью »