עידן ה–SSL

לאחרונה נודע לי על חברה (דווקא ישראלית) שמנפיקה אישורי הצפנה (signed certificates) בחינם עבור שימוש לא מסחרי. מדובר באישורים הזולים ביותר (רק שם המתחם חתום, לא זהות המפעיל), אבל זה מספיק בשביל לקבל התחברויות ללא אזהרות מעצבנות. לאור עידן post Snowden, אני חושב שזה ראוי.

לאור זאת, אני גאה להכריז שהבלוג שלי עכשיו זמין גם בכתובת https://blog.shemesh.biz! יפי!

עכשיו לבעיות…

הבעיה הראשונה היא שה-CA,‏ StartSSL, לא מוכר ע״י חלונות XP ועל ידי אנדרואיד. זה אומר שמי שגולש אל הכתובת הזו משתי המערכות האלו יקבל את אותה הודעת האבטחה שהייתם מקבלים אם הייתי מצפין ללא CA בכלל.

הבעיה השניה היא שמי שגולש עם Internet Explorer על חלונות XP עלול לא לקבל את האתר בכלל. הדינוזאור הזה לא תומך ב-SNI, ועל כן לא ניתן להפעיל מספר אתרים על אותה הכתובת ולהצפין אותם. אני לא סגור מה הוא כן יקבל: או דף שאומר "No site configured at this address", או תעודה שלא מתאימה לאתר שלי (שאז זה לא כל כך נורא – ממילא המערכת לא מכירה את ה–CA). כמו כן, אין לי מושג מה המצב על מערכות Apple למיניהן.

סטטיסטית, כ–10% מהגולשים לאתר מזדהים כגולשים מאנדרואיד, וכ–8% גולשים מחלונות XP, וכ–3% גולשים באינטרנט אקספלודר גרסה 7 או 6 (מה שזמין ל–XP). צריך לקחת בחשבון שחלק מהגולשים שציינתי הם, סביר להניח, רובוטים שמנסים להסתיר את עצמם. לצורך ההשוואה, בחודש אוקטובר קיבלתי כניסה אחת מחלונות ME, שתי כניסות מחלונות 3‎.xx, שלוש כניסות מחלונות 95 ו–98 (כל אחד), 180 כניסות מחלונות NT ו–830 כניסות מחלונות Vista. לאור זה שברור לגמרי שאף אחר לא באמת משתמש באף אחת מהמערכות האלו, סביר להניח שמדובר ברובוטים.

הבעיה היא שלא כל כך כדאי להחזיק את שני האתרים באוויר. כל מיני מנועי חיפוש עלולים לחשוב שמדובר בהעתקים לצרכי Page rank stuffing, ולתת קנס. מצד שני, אם אני שם redirect, אז אני מכריח אנשים להגיע לאתר מוצפן שאין בו, באמת, שום דבר סודי, או מצדיק הצפנה (למעט אם עושים log in, מה שאני מניח שרובכם לא עושים).

אני אשמח לשמוע דעות, כמו גם השלמה של הנתונים החסרים.

שחר

נ.ב.
למי שלא הבין, ההכללה של ויסטה ברשימת מערכות שלא משתמשים בהם היתה אמורה להיות בדיחה. לא ברור על חשבון מי.

מאת

שחר שמש

מייסד ומנכ"ל "לינגנו ייעוץ קוד פתוח בע"מ" חבר ועד בעמותת "המקור" וסתם פעיל קוד פתוח ולינוקס

10 thoughts on “עידן ה–SSL”

  1. בקשר לנתוני התעבורה – חלק מהזיופים נובע מגולשים שמשחקי עם הuser agent מסיבות שונות (לפעמים אני שוכח להחזיר אותו לברירת המחדל).

  2. אתה יכול להשתמש בשירות של CloudeFlare והם יספקו תעודת אבטחה שלהם לאתר שלך וישמשו כ-PROXY כך שאתה אפילו לא חייב להחזיק תעודה שנחתמה ע"י CA מוכר.

  3. נ.ב – (סליחה על ההודעה הכפולה)

    ל-WP יש מגבלה כרגע לעבוד במקביל גם ב-HTTP ו-HTTPS
    וכתבתי על ההתנסות שלי בנושא בבלוג שלי http://blog.rabin.io/296/make-wordpress-site-work-both-http-https

    החסרונות כרגע שהיתי צריך לוותר על ה-PLUGIN של ה-CACHE כי הוא יצר לי הרבה בעיות (לא ממש נורא, לא מרגיש בחסרונו ממש)

    ושהיתי צריך להכניס את ה-קוד ב-wp-config לצורך העניין.

    כמו כן אם אתה הולך להשתמש בשירות של CF אתה צריך לקנפג את השרת WEB שלך שירשום את הכתובת X-FORWARD ככתובת המקור, אחרת כל הפניות שלך ירשמו על הכתובות של CF.

  4. לרבין,

    תודה על הקישור. הוא אכן שימושי לי. במקרה שלי זה התוסף שמציג את רשיון Creative Commons שעושה קצת צרות, אבל יש לו תחליף ללא תוסף כלל.

    שחר

סגור לתגובות.