To už dlouho není pravda, existuje SNI. Pro webové prohlížeče už velmi dlouho, pro servery sice kratší dobu, ale už je to také delší dobu běžně k dispozici i pro serverové edice. Více viz Wikipedia: http://cs.m.wikipedia.org/wiki/Server_Name_Indication
Může, akorát musíte mít všechny podporované domény v jednom certifikátu. Navíc podíl uživatelů s Internet Explorerem pod Windows XP je pod 2 % a bůhví, proč vlastně tuhle kombinaci ještě používají. Navíc jim nebude fungovat spousta webů, takže to, že jim na vašem webu ohlásí neplatný certifikát, bych nepovažoval za problém.
Googlu se nebude líbit, jestliže jen povolíte přístup přes HTTPS a dále se tím nebudete zabývat. Z pohledu jeho robota budete provozovat vlastně dva stejné weby na dvou různých adresách — jeho robot bude porůznu na webu nadále nacházet zpětné odkazy přes HTTP a bez vašeho zásahu nebude vědět, který z těch „dvou webů“ má indexovat a nabízet ve výsledcích.
V zásadě to není jiné, než kdybychom nepřesměrovávali všechny požadavky na http://lupa.cz na http://www.lupa.cz. To jsou pro vyhledávače také dvě různé adresy.
Tyhle argumety jsem nikdy nepochopil. Google si např. běžně za webmastery rozhoduje, že změní titulek webu ve vyhledávání za podle něj vhodnější verzi. Dokáže seřadit miliardy stránek podle relevance, vyloučit duplicitní stránky a rozeznávat nekalé praktiky. Tak ať mi proboha nikdo neříká, že se nedokáže vypořádat s tak triviálním problémem, jako je rozlišení duplicity typu http(s)://(www)! Navíc, kolik znáte webů, co nabízí odlišné obsahy na http:// https:// verzi?
Jediný důvod, co bych pochopil, je zbytečně zvýšené vytěžování robota při stahování téhož obsahu. Zbytek jsou pseudodůvody.
Tom:
A co když dáme místo www třeba lumpik.domena.cz a bude a ni stejný obsah jako na www.domena.cz pořád by to neměl hodnotit jako duplicitu?
Nešvejkuj ....dvojice http://www.domena.xx a http://domena.xx je zcela jasná a vyjimečná a zde bych to za duplicitu nepovažoval a také mi přijde zhovadilé, že goegles sankcionuje odkazy s(bez) www.
Další subdomény jsou o něčem jiném.
S tím www je to jasné. Akorát sranda je, že server umožňuje mít na obou odlišný obsah. To www je de facto subdoména, která může mít jiné nastavení než hlavní doména.
Ale jen bIbec by porušoval zavedená pravidla a na obou dával jiný obsah.
Ostatně server má i takovou vlastnost, že na jedné doméně může mít odlišný obsah. Všechno je to jen o nastavení. Na tuto obsahovou odlišnost Google vzpomíná - penalizuje. Situace kdy návštěvník dostane obsah, ale Google robot dostane na stejné adrese jiný obsah speciálně pro něj.
Záleží na typu certifikátu. Ty nejlevnější jsou "DV" a tam se ověřuje pouze vlastnictví domény - umístěním souboru na web, změnou dns záznamu nebo potvrzením emailu.
Chytřejší jsou třeba EV - tam se ověřuje i adresa, telefon atd. Jejich funkcí je ale návštěvníkovi sdělit, že web spravuje skutečně ten kdo tvrdí. Ověření je tam tudíž nutné a očekávatelné.
Pokud je cílem pouze zabezpečit komunikaci a ochránit návštěvníka, tak úplně stačí DV.
Pokud je potřeba, aby návštěvník jasně věděl komu web patří, tak se používají EV - typicky je to třeba u bank a podobně.
I u těch nejlevnějších certifikátů se ověřuje víc než jen vlastnictví domény. Například se vyžaduje, aby její držitel nebyl skryt za nějakou maskující entitou.
U těch dražších nejen že se ověřuje spousta údajů, ale mnohé z nich se také do certifikátu zapíší, takže se je dozví i kdokoliv, kdo umí do browseru naťukat adresu, ne jen certifikační autorita.
Ano. Ale to že se údaje o subjektu dozví každý návštěvník je funkcí toho dražšího certifikátu. Proto je dražší. Pokud budete provozovat službu, kde je potřeba, aby si mohl zákazník snadno ověřit identitu provozovatele, tak přesně takový certifikát chcete.
Na omezení whois jsem ještě nenarazil. Určitě ale bude stačit whois odkrýt během vystavování certifikátu a pak zase skrýt.
A není to logické?
pokud provozujete z nějakého důvodu web se zabezpečenou komunikací, přidje mi požadavek na možnost ověření jeho provozovatele logická.
návštěvník takového webu důvěřuje jeho zabezpečení a logicky musí důvěřovat i majiteli a provozovateli. Tudíž chce vědět, komu poskytuje svoje data, zda to je ta osoba, která to o sobě tvrdí na webu
Dobry den,
tak jste si udelali krasny bulvarni titulek a vsechno svalujete na nekonkretne oznacene "velke agentury", aniz byste si to overili.
Za agentury patrici do uskupeni GroupM (ano, sebestredne se povazujeme za velke) timto prohlasuji, ze nase reklamni systemy jsou https kompatibilni, takze s tim nemame problem, klidne si prejdete.
Take bych doporucil si priste overit o cem pisete.
preji hezky den
Jan Suda
Interaction Director
GroupM
Diky ze jste to napsal! Diskuse na Lupe by bez "adblockeru" nebyla kompletni, bavite mne uz 15 let :-D
Verim ze se pri kazde PageViews citite skvele jak jste vsechny kolem prechytracil. Novinari prece nepotrebujou dostat vyplatu, informace jsou zadarmo a jsou k dostani kdekoliv! :-)))
To, co se v clanku ani na googlu nedoctete je i firemni politika radi instituci, ktera brani navstevovani HTTPS stranek. Treba takova policie a armada. Takze pokud chcete prijit (pro nekoho) o vyznamny segment navstevniku, prejdete na HTTPS. Google vam zatleska, posune vas o jednu sprusli ve svem marketingovem reklamnim vyhledavaci, ale prijdete o spoustu uzivatelu, kterym to misto HTTPS proste nahlasi, ze error a nazdar bazar.
Mohl byste Vaše tvrzení o bránění navštěvování "HTTPS stránek" ze strany některých institucí blíže specifikovat? Na jedné z nich totiž působím, ale žádné problémy s HTTPS neregistruji. Ba dokonce to považuji za nemožné - řada služeb jinak než přes HTTPS dostupná není, třeba některé veřejné mailové systémy, banky apod.
Neazačne ... v takových organizacích dostane prohlížeč certifikát MTM proxy z AD a bude s takovým spojením spokojený. Uživatel nic nepozná. Jediný problém je s "osobními" certifikáty, například jako používá ebanking KB. Tam se ale obvykle dělá na MTM proxy výjimka. Takových situací je konečné množství.
Začne. Protože certificate pinning... https://en.wikipedia.org/wiki/Transport_Layer_Security#Certificate_pinning
Pokud admin nebude blbej, tak pošle pinning via AD GPO také. A browser si na "chybu" certifikátu nepostěžuje. V tom je právě ta krása (nebo zákeřnost) AD GPO, v klidu řízeně podhodíte certifikáty, na proxy se SSL vesele rozbaluje/zabaluje a uživatel komunikuje přece bezpečně.
ehm. existuje nejaky skutecny duvod, proc by melo byt vsechno prevedene na https? prijde mi to jako odezdikezdi - napred se na spouste webu na bezpecnost kasle (coz ale lze i tehdy, kdyz budou https) a paxe chce, aby https bylo vse. chapal bych to u webu, kde je nejaka aplikace komunikujici s uzivatelem, ale proc to maji mit weby, ktere clovek jen cte?
Třeba rychlost. S HTTPS jdou využívat moderní protokoly - viz http://www.httpvshttps.com nebo https://www.souki.cz/optimalizujeme-pro-rychlost-https
Jeden důvod je, že neexistuje žádný rozumný důvod, proč pro jednu a tu samou věc udržovat dva protokoly, když ten jeden je pouze horší varianta toho druhého. Další důvod je to, že spousta útoků na HTTPS spočívá v tom nepozorovaně použít HTTP. Když HTTP nebude, nebudou ani takovéto útoky.
Ad weby, které člověk jenom čte - většina lidí asi chce číst to, co napsal autor, ne co pozměnil nějaký hacker.
Už jenom proto, že u http ti může kdokoliv po cestě vložit škodlivý kód a ty nemáš možnost toto vůbec detekovat. Viz třeba zde:
http://j.mp/1E54rAx
Neexistuje vůbec žádný důvod, proč by VEŠKERÉ stránky musely být na HTTPS. Například zrovna na www.lupa.cz běžný návštěvník HTTPS vůbec nepotřebuje, rizika vyplývající z možnosti odposlechnout které stránky navštívil jsou blízké nule.
Co paraniokové zapomínají sdělit je vyšší žravost HTTPS v mobilech, tabletech a trochu i noteboocích, čas provozu na baterie je s HTTPS nižší, šifrování rozhodně není energeticky zadarmo.
Nesmysl. HTTPS je rychlejší než HTTP, pokud používáte rozumně udržovaný prohlížeč a admin umí HTTPS zkonfigurovat. Zkuste třeba https://www.httpvshttps.com, více info na http://j.mp/1bajfkz
Šifrování v HTTPS má tak malý vliv na spotřebu, že je pod statistickou odchylkou.
Jinak i www.lupa.cz má důvod být pod HTTPS. Nejde ani tak o odposlech, ale o to, že kdekoliv po cestě ke klientovi lze vložit do HTTP malware a klient nemá prakticky možnost toto rozpoznat.
Viz např. http://j.mp/1E54rAx
Nechápu, trapné výmluvy, v IInfo jsou opravdu asi neschopní, ani to přihlášení není na https, to už dneska je povinnost. Je tam sice nějaký Javascript hash či co, ale to na věci nic nemění.
A to platí i pro takové jejich weby jako digizone.cz, kde se tímhle identifikuje přístup na ten placený obsah a Tuesday kde se přes to kupují vstupy na konference.
Jak se zmínil předřečník o MITM, stačí strčit uživatelům do cesty vtipnou proxy, která si poradí s tím javascriptem a máme doma uživatele i s např. jejich předplatným, konferencemi atd. a můžeme začít pěkně škodit s likvidačními důsledky.
Pro uživatele - na webech Internet Info s uživatelským účtem velice opatrně, riziko, že se někdo nepovolaný dostane k vašemu účtu a zneužije ho je velké.