עידן ה–SSL

29 באוקטובר, 2014 | מאת שחר שמש |

לאחרונה נודע לי על חברה (דווקא ישראלית) שמנפיקה אישורי הצפנה (signed certificates) בחינם עבור שימוש לא מסחרי. מדובר באישורים הזולים ביותר (רק שם המתחם חתום, לא זהות המפעיל), אבל זה מספיק בשביל לקבל התחברויות ללא אזהרות מעצבנות. לאור עידן post Snowden, אני חושב שזה ראוי.

לאור זאת, אני גאה להכריז שהבלוג שלי עכשיו זמין גם בכתובת https://blog.shemesh.biz! יפי!

עכשיו לבעיות…

הבעיה הראשונה היא שה-CA,‏ StartSSL, לא מוכר ע״י חלונות XP ועל ידי אנדרואיד. זה אומר שמי שגולש אל הכתובת הזו משתי המערכות האלו יקבל את אותה הודעת האבטחה שהייתם מקבלים אם הייתי מצפין ללא CA בכלל.

הבעיה השניה היא שמי שגולש עם Internet Explorer על חלונות XP עלול לא לקבל את האתר בכלל. הדינוזאור הזה לא תומך ב-SNI, ועל כן לא ניתן להפעיל מספר אתרים על אותה הכתובת ולהצפין אותם. אני לא סגור מה הוא כן יקבל: או דף שאומר "No site configured at this address", או תעודה שלא מתאימה לאתר שלי (שאז זה לא כל כך נורא – ממילא המערכת לא מכירה את ה–CA). כמו כן, אין לי מושג מה המצב על מערכות Apple למיניהן.

סטטיסטית, כ–10% מהגולשים לאתר מזדהים כגולשים מאנדרואיד, וכ–8% גולשים מחלונות XP, וכ–3% גולשים באינטרנט אקספלודר גרסה 7 או 6 (מה שזמין ל–XP). צריך לקחת בחשבון שחלק מהגולשים שציינתי הם, סביר להניח, רובוטים שמנסים להסתיר את עצמם. לצורך ההשוואה, בחודש אוקטובר קיבלתי כניסה אחת מחלונות ME, שתי כניסות מחלונות 3‎.xx, שלוש כניסות מחלונות 95 ו–98 (כל אחד), 180 כניסות מחלונות NT ו–830 כניסות מחלונות Vista. לאור זה שברור לגמרי שאף אחר לא באמת משתמש באף אחת מהמערכות האלו, סביר להניח שמדובר ברובוטים.

הבעיה היא שלא כל כך כדאי להחזיק את שני האתרים באוויר. כל מיני מנועי חיפוש עלולים לחשוב שמדובר בהעתקים לצרכי Page rank stuffing, ולתת קנס. מצד שני, אם אני שם redirect, אז אני מכריח אנשים להגיע לאתר מוצפן שאין בו, באמת, שום דבר סודי, או מצדיק הצפנה (למעט אם עושים log in, מה שאני מניח שרובכם לא עושים).

אני אשמח לשמוע דעות, כמו גם השלמה של הנתונים החסרים.

שחר

נ.ב.
למי שלא הבין, ההכללה של ויסטה ברשימת מערכות שלא משתמשים בהם היתה אמורה להיות בדיחה. לא ברור על חשבון מי.

תגיות: , , , ,

  1. 10 תגובות עבור “עידן ה–SSL”

  2. מאת גיא דפני גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Windows Windows XP בתאריך 29 באוקטובר, 2014 | תגובה

    בקשר לנתוני התעבורה – חלק מהזיופים נובע מגולשים שמשחקי עם הuser agent מסיבות שונות (לפעמים אני שוכח להחזיר אותו לברירת המחדל).

  3. מאת שחר שמש גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Ubuntu Linux Ubuntu Linux בתאריך 29 באוקטובר, 2014 | תגובה

    מתוך הנחה שה-User agent שלך כרגע אמיתי, תוכל לבדוק מה מקבלים אם גולשים עם אינטרנט אקספלורר מ-XP?

    שחר

  4. מאת גיא גולש באמצעות Internet Explorer Internet Explorer 8.0 על Windows Windows XP בתאריך 29 באוקטובר, 2014 | תגובה

    הוא לא היה אמיתי, אבל בשבילך הרמתי מכונה וירטואלית – XP עם אקספלורר 8

  5. מאת שחר שמש גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Ubuntu Linux Ubuntu Linux בתאריך 29 באוקטובר, 2014 | תגובה

    ו….?

    האם אפשר לגלוש לאתר המוצפן? האם יש שגיאה בהתחברות?

    שחר

  6. מאת גיא גולש באמצעות Internet Explorer Internet Explorer 8.0 על Windows Windows XP בתאריך 29 באוקטובר, 2014 | תגובה

    אפשר, דורש אישורים חוזרים ונשנים.

  7. מאת רבין גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Linux Linux בתאריך 29 באוקטובר, 2014 | תגובה

    אתה יכול להשתמש בשירות של CloudeFlare והם יספקו תעודת אבטחה שלהם לאתר שלך וישמשו כ-PROXY כך שאתה אפילו לא חייב להחזיק תעודה שנחתמה ע"י CA מוכר.

  8. מאת רבין גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Linux Linux בתאריך 29 באוקטובר, 2014 | תגובה

    נ.ב – (סליחה על ההודעה הכפולה)

    ל-WP יש מגבלה כרגע לעבוד במקביל גם ב-HTTP ו-HTTPS
    וכתבתי על ההתנסות שלי בנושא בבלוג שלי http://blog.rabin.io/296/make-wordpress-site-work-both-http-https

    החסרונות כרגע שהיתי צריך לוותר על ה-PLUGIN של ה-CACHE כי הוא יצר לי הרבה בעיות (לא ממש נורא, לא מרגיש בחסרונו ממש)

    ושהיתי צריך להכניס את ה-קוד ב-wp-config לצורך העניין.

    כמו כן אם אתה הולך להשתמש בשירות של CF אתה צריך לקנפג את השרת WEB שלך שירשום את הכתובת X-FORWARD ככתובת המקור, אחרת כל הפניות שלך ירשמו על הכתובות של CF.

  9. מאת גיא דפני גולש באמצעות Google Chrome Google Chrome 32.0.1700.123 על Linux Linux בתאריך 29 באוקטובר, 2014 | תגובה

    גם כרומיום ישן

  10. מאת משה גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Windows Windows XP בתאריך 29 באוקטובר, 2014 | תגובה

    ב XP פיירפוקס נכנס לאתר בכיף
    באקספלורר זה מציג שלא כדאי להכנס לאתר

  11. מאת שחר שמש גולש באמצעות Mozilla Firefox Mozilla Firefox 33.0 על Linux Linux בתאריך 31 באוקטובר, 2014 | תגובה

    לרבין,

    תודה על הקישור. הוא אכן שימושי לי. במקרה שלי זה התוסף שמציג את רשיון Creative Commons שעושה קצת צרות, אבל יש לו תחליף ללא תוסף כלל.

    שחר

לא ניתן להגיב כעת.