Есть последствия редиректа с https на http и обратно?

Question

[psiklop]

Цепочка редиректов с домена на домен, где начало и конец с сертификатами.

И посередине будет домен без сертификата это может иметь последствия отличные от ноля, хотя бы минимальные нехорошие потери трафика?

Например на домене#1 есть сертификат. Перенаправляем на домен#2 без сертификата
header("Location: http://домен#2");

на домене#2 нет сертификата. Перенаправляем на домен#3 с сертификатом
header("Location: https://домен#3");

Comments

[Алексей Уколов]

нехорошие потери

Потери чего и для кого?

[Everything_is_bad]

запах спама, а чё мешать получить халявный сертификат?

[psiklop]

Алексей Уколов, имел ввиду потери трафика, из-за хоть малейшего шанса, что браузер может выдать какое-то уродливое сообщение.

[psiklop]

Everything_is_bad, нет никакого спама, все честно. С сертификатом лишние мороки, домен-алиас и что-то подобное, вообщем можно сделать, но хочется знать если без него.

[Василий Банников]

psiklop, да, браузер обязательно выдаст такое сообщение

[psiklop]

Василий Банников, я потестил своими силами, оно не обязательное, я не видел не разу.

[Василий Банников]

psiklop, пробуй не на своём браузере, а на чистом, чтобы исключить вариант, что ты для себя отключил такие предупреждения

[psiklop]

Василий Банников, я их не отключал, я их просто нигде не увидел, поэтому и спрашиваю.

[Refguser]

psiklop, судя по твоим ответам в комменты ты хочешь получить одобрение твоей кривули, а не сделать правильно. Ибо есть единственно гарантированный рабочий вариант - с https.

[psiklop]

Refguser, перестраховался и спишь спокойно.

[psiklop]

Refguser, и правда тупой вопрос, после Let’s Encrypt сам господь теперь не скажет, что так можно.

Answer 1

[rPman]

Наличие в цепочке http означает что атакующий (к этому уязвима любая free wifi сетка или если пароль подобрать) может направить по следующему редиректу на любой свой домен, или исключить https на последнем звене и подменять содержимое сайта на свое. Само собой провайдеры тоже могут (и занимаются) чем то похожим, как минимум встраивая рекламу (привет ОпСоС-ы).

Чем опасен http - атакующий (и владелец веб сайта что в данном случае одно и то же) может атаковать локальную сеть пользователя сайта, сейчас это сложнее, в браузеры подкрутили по мелочи, но все есть ряд лазеек (например сделать запрос в админку на роутере, где сохранилась твоя сессия авторизации, в т.ч. к примеру изменять конфигурацию и добавлять свои правила, открывая еще более полный доступ злоумышленника в локальную сеть), так же атакующий может из браузера, в котором открыт http сделать DDOS-илку других сайтов в интернете (особенно если пользователей много), формально это можно сделать и с https но так проще. Ну и само собой, кража личных данных пользователя (пароль) к атакуемому сайту...

Comments

[psiklop]

Владелец веб-сайта может атаковать локальную сеть своего пользователя? Крутой скилл конечно, я пока так не умею, еще бы знать зачем.

Украсть пользователя при редиректе, это вообще стрём какой-то, дно полное. Дело даже уже в самом пользователе, кликнуть на одно, а увидеть другое. Встраивают свою рекламу на сайт с http не только опсосы, в Ростелеком жаловался.

[psiklop]

Напишу тогда и о минусах которые всем принес Let’s Encrypt.

Сертификаты нужно обновлять раз 90 дней, при изменение конфига веб-сервера автообновление не срабатывает и все сайты встанут, только не надо сам виноват, так надо и так, никто не застрахован, есть возможность для проблем значит они будут случаться, можно как бы и в больницу прилечь - 90 дней не срок.

Https дает нагрузку особенно это заметит кто создаст сайт где можно скачать большие файлы и все пойдет через одно место. Особенно если захочется сделать что-то на сокетах или веб-сокетах и тогда выяснится что с этим https мозги сломать можно, но ничего уже нормально не заработает, не скачка, функции php fread и fwrite начнут лагать, потому что ssl живет своей какой-то отдельной жизнью. Раньше это была привилегия, сделали обязанностью, а велосипед тот же и оставили.

[SagePtr]

psiklop, нормальные люди настраивают, чтобы все сертификаты продлевались автоматически. И никакой ручной правки для этого тоже не надо, certbot всё умеет автоматом и получать, и прописывать, и обновлять, и в планировщик себя добавлять. А если не нравится certbot, есть куча решений с аналогичным функционалом, да для любой веб-панели управления сервером в 2024 году есть плагин letsencrypt, либо там это из коробки, достаточно лишь галочку поставить, и всё заработает само.

[psiklop]

SagePtr, у тебя скорее всего мало опыта или есть одиночный домен домашний годами. Let’s Encrypt если не запариваться автоматом навесит на один сертификат несколько доменов, и если конфиг сменится, домен уже не направлен на сервер или не продлен, все домены не продлятся.

[SagePtr]

psiklop, вы говорите про какую-то кривую реализацию ACME-клиента. Оригинальный certbot, и многие другие ACME-клиенты позволяют прописать в командной строке конкретный набор доменов для конкретных сертификатов. Плагины к веб-панелям тоже. Ни разу не сталкивался с такими клиентами, которые бы скопом сгребали все подключённые к веб-северу домены и на их всех выдавали один сертификат. Поделитесь информацией, каким клиентом вы пользовались?

[psiklop]

SagePtr, certbot --nginx и далее выбираешь домены циферками или так certbot --nginx -d список доменов

Это подтверждение домена по http, а если будешь вынужден по dns записи, можешь забыть про автообновление, там даже ручками задолбаешься.

[SagePtr]

psiklop, и какая у вас проблема с certbot в связке с nginx? много лет пользовался, ни разу проблем не было.
С подтверждением по DNS тоже проблем не было, есть плагины для certbot для популярных DNS-провайдеров и регистраторов доменов.

[psiklop]

SagePtr, да все есть и инструкции даже, установи свой DNS сервер, напиши скрипт и нет проблем. Поработай во славу хз кого. А проблема с nginx простая: сделай по команде сразу на 30 доменов и увидишь, что создастся всего один сертификат в который будут вписаны все эти домены. Здесь я не узнавал, давал команду как в онлайн-справочниках, может и есть какое-то простое решение типа ключа секретного.

[SagePtr]

psiklop, а зачем мне для 30 доменов выпускать один-единственный сертификат? Логично же, что для каждого домена необходимо отдельный сертификат выпускать. Защиты от подобного рода дурака не предусмотрено, предполагается, что человек хотя бы на минимальном уровне понимает, что именно он делает.

[psiklop]

SagePtr, неправильная у тебя логика, сам certbot предлагает добавить списком, а дурак я. Так какой твой план действий, запускать certbot 30 раз видимо.

[SagePtr]

psiklop, правильная логика - это прочитать документацию, где чёрным по белому расписано, как пользоваться сертботом. Если юзер игнорит документацию и осваивает инструмент методом тыка - это его проблемы, а не проблемы этого инструмента.

[psiklop]

SagePtr, хоть в глаза все божья роса, да и сразу видно не работал ты много и опыта мало, максимум домашние проделки или лендинги для клиентов и все тебе хорошо.

[psiklop]

SagePtr, у тебя тоже логика "хороша", получить от меня новое для себя инфо о certbot которое я узнал "методом тыка" ничего нового самому не сказать и после обвинить меня в том, что я не читал доки.

Answer 2

[SagePtr]

Если в браузере включён режим HTTPS Only, то при попытке редиректа на HTTP он заблочит соединение и предупредит пользователя об опасности. За других пользователей не скажу, но сам всегда первым же делом включаю этот режим, чтобы никто мне трафик не подменял.

Comments

[psiklop]

Интересно, никогда о такой не слышал. Но судя по ее названию себе вообще запретили заходить на http сайты, сочувствую.

[SagePtr]

psiklop, заходить можно, но при попытке зайти будет предупреждение браузера с необходимостью подтвердить вход

[psiklop]

Редирект это не подмена трафика. Подмена трафика понятие относительное. Проще говоря если вы кликаете на ссылку, где написано "Черный кот" и вам показывают черного кота, не все ли равно как технически это произошло. А если вам показали вместо танки или блог, это похоже на подмену и редирект не нужен, можно в один прием это сделать в том числе и по https.

[SagePtr]

psiklop, подмена - это если я открываю условный Яндекс, а вместо него перебрасывает на сайт казино, потому что провайдер решил на этом заработать дополнительных денежек с меня и вклиниться в небезопасный трафик. Или заменил на сайте все баннеры на свои, попутно сломав на нём половину функционала. И с HTTPS-сайтами такое провернуть нельзя, потому что трафик между клиентом и сервером зашифрован. То, что вы описали, это не подмена трафика, а просто введение в заблуждение на стороне недобросовестного сайта, а не промежуточных участников обмена данных.

[psiklop]

SagePtr, так и работает пропаганда и зомбирование, я помню времена когда сайты работали по http и никто не жаловался, соц сети и банки покупали сертификаты, а другим они были не нужны. А теперь ты заблочил для себя сайты http по глупости, эксперты рассказывают сказки о взломах которых никто в глаза не видел.

Ты хоть понимаешь какую ерунду сейчас пишешь? Если ты открываешь яндекс, а тебя направляет на сайт казино провайдер - это вообще не услуга интернета, любой пользователь сразу заметит такое и подумает, что это вирус - провайдеры словят миллионы жалоб, это чьи-то выдумки, такого блин просто нет.

По факту тебя заставили плясать под чужую дудку и заниматься ненужными обновлениями сертификатов которые тебе не нужны никаким боком, и ты как зомби продвигаешь этот чужой велосипед рассказывая повсюду чужие выдумки и гнобя веб-мастеров которые не обновились.

[SagePtr]

psiklop, и я тоже помню времена, когда сайты работали по http, и лично снифил трафик и вытягивал оттуда куки и пароли других пользователей. Но цвет моей шляпы не позволял распоряжаться ими во вред. Если для вас безопасность не имеет значения - то городите свои костыли, никто это не мешает вам делать, но не удивляйтесь, если найдутся люди, которые этими костылями воспользуются не по тому назначению, который вы первоначально в них вкладывали.

[psiklop]

SagePtr, никто не мешал покупать сертификат для сайтов. С 99% процентов сайтов взять нечего кроме пароля от личного кабинета в котором кроме публичной переписки от своего имени нет ничего, в большинстве и этого нет, там чукча только читатель, так вместо велосипеда с сертификатами лучше бы сделали что-то для паролей. А многим сайтам сертификат вредит, а их объявили вне закона, хотя никакой угрозы там нет. Зато какой-то школьник Вася на виртуальном хостинге научился нажимать кнопку let's encrypt и он якобы правильный вебмастер. От этого зла больше, были варианты, теперь их нет.

[SagePtr]

psiklop, предложите ваш собственный вариант защиты сайта от перехвата и модификации трафика. Если не понимаете, зачем, то представьте себе, есть сайты, которые посещает не только разработчик, но и также другие пользователи из России (за другие страны не скажу, как у них ситуация с наглостью провайдеров). И у половины из них провайдеры периодически норовят что-то встроить в передаваемые данные: подсунуть свои баннеры, перекинуть на левую страницу с рекламой своей супер-важной тарифной опции, часто это всё сопровождается поломкой функционала сайта (вместо какого-нибудь скрипта грузится подставной от провайдера). Хуже того, не только заменяется, но и оседает в кэше, и нажатие на F5 не спасёт, а чистить кэш далеко не все пользователи побегут, они просто подумают, что сайт поломаный. Сталкивался с этими проблемами неоднократно, после перехода на HTTPS и включения заголовка HSTS эти проблемы волшебным образом испарились.
Если не верите, наберите в гугле "провайдер вмешивается в трафик" и почитайте, случаев огромное множество. И никаким образом, кроме принудительного включения HTTPS, вебмастер избежать подобного безобразия не сможет, так как не имеет никакого влияния на трафик клиентов.

[psiklop]

SagePtr, как и писал, я бы сделал для некоторых сайтов защиту пароля от личного кабинета. Никакой трафик защищать мне причин нет. Для многих сайтов я бы не сделал и этого, вообще ничего. Возможно для одного своего сайта я бы купил сертификат, и то скорее для понтов, чтобы выделиться. Модифицировать там нечего, это все на уровне, если сам пользователь не хочет гадить себе и вебмастеру, но уж перехватывать его трафик и гадить от его имени и подавно никто не захочет. Вообщем такая политика и с ней прекрасно жили.

Как защищать пароль и куки? Хм, на самом деле сразу в голову не придет, но думаю это реально, особенно если бы вместо велосипеда с SSL придумали какой-то новый api для браузеров. Главное ведь он не стал бы обязательным, а вебмастер сам бы решал как ему поступать.

Api по любому лучше какой-то организации хоть и не коммерческой. По любому бабло клянчит, раз находятся фанаты против всех и за нее, значит будут и платить сердобольные.

[psiklop]

SagePtr, смотри вот этот сайт вне закона rgdb.info А сайт торгующий палеными айфонами или хуже мошенников теперь хвастается зеленым замочком, вот это принес этот let's encrypt. Допустим rgdb.info они даже вынуждены будут обновиться благодаря и таким как ты, но какой в этом смысл ?

[SagePtr]

psiklop, сертификаты не имеют никакого отношения к легальности и к законам, они всего лишь подтверждают, что приватный ключ, который сервер использует для генерации общего сеансового ключа, принадлежит именно этому конкретному домену по заверению доверенного центра сертификации. И всё, больше никакую роль не выполняют. И замочков зелёных в браузерах уже много лет как нет, напротив, браузеры теперь предупреждают, если соединение не защищено.

[psiklop]

SagePtr, молодец, заблочь все сайты http и денежку кинь let's encrypt на донат, и не забудь при каждом удобном случае гнобить веб-разрабов которые не хотят возиться с тем что им навязали.

[SagePtr]

psiklop, нет уж, лучше я буду терять посетителей, у которых рандомно отваливаются части сайта из-за того, что некоторые провайдеры подменяют скрипты, и тратить время на техническую поддержку, в сотый раз объясняя, как почистить кеш браузера, вместо того, чтобы один раз настроить автопродление сертификата и забыть.

[psiklop]

SagePtr, вот только вопрос про редирект и просто настроить не получается.