SagePtr, у тебя тоже логика "хороша", получить от меня новое для себя инфо о certbot которое я узнал "методом тыка" ничего нового самому не сказать и после обвинить меня в том, что я не читал доки.
SagePtr, молодец, заблочь все сайты http и денежку кинь let's encrypt на донат, и не забудь при каждом удобном случае гнобить веб-разрабов которые не хотят возиться с тем что им навязали.
SagePtr, хоть в глаза все божья роса, да и сразу видно не работал ты много и опыта мало, максимум домашние проделки или лендинги для клиентов и все тебе хорошо.
SagePtr, смотри вот этот сайт вне закона rgdb.info А сайт торгующий палеными айфонами или хуже мошенников теперь хвастается зеленым замочком, вот это принес этот let's encrypt. Допустим rgdb.info они даже вынуждены будут обновиться благодаря и таким как ты, но какой в этом смысл ?
SagePtr, неправильная у тебя логика, сам certbot предлагает добавить списком, а дурак я. Так какой твой план действий, запускать certbot 30 раз видимо.
SagePtr, да все есть и инструкции даже, установи свой DNS сервер, напиши скрипт и нет проблем. Поработай во славу хз кого. А проблема с nginx простая: сделай по команде сразу на 30 доменов и увидишь, что создастся всего один сертификат в который будут вписаны все эти домены. Здесь я не узнавал, давал команду как в онлайн-справочниках, может и есть какое-то простое решение типа ключа секретного.
SagePtr, как и писал, я бы сделал для некоторых сайтов защиту пароля от личного кабинета. Никакой трафик защищать мне причин нет. Для многих сайтов я бы не сделал и этого, вообще ничего. Возможно для одного своего сайта я бы купил сертификат, и то скорее для понтов, чтобы выделиться. Модифицировать там нечего, это все на уровне, если сам пользователь не хочет гадить себе и вебмастеру, но уж перехватывать его трафик и гадить от его имени и подавно никто не захочет. Вообщем такая политика и с ней прекрасно жили.
Как защищать пароль и куки? Хм, на самом деле сразу в голову не придет, но думаю это реально, особенно если бы вместо велосипеда с SSL придумали какой-то новый api для браузеров. Главное ведь он не стал бы обязательным, а вебмастер сам бы решал как ему поступать.
Api по любому лучше какой-то организации хоть и не коммерческой. По любому бабло клянчит, раз находятся фанаты против всех и за нее, значит будут и платить сердобольные.
SagePtr, никто не мешал покупать сертификат для сайтов. С 99% процентов сайтов взять нечего кроме пароля от личного кабинета в котором кроме публичной переписки от своего имени нет ничего, в большинстве и этого нет, там чукча только читатель, так вместо велосипеда с сертификатами лучше бы сделали что-то для паролей. А многим сайтам сертификат вредит, а их объявили вне закона, хотя никакой угрозы там нет. Зато какой-то школьник Вася на виртуальном хостинге научился нажимать кнопку let's encrypt и он якобы правильный вебмастер. От этого зла больше, были варианты, теперь их нет.
SagePtr, так и работает пропаганда и зомбирование, я помню времена когда сайты работали по http и никто не жаловался, соц сети и банки покупали сертификаты, а другим они были не нужны. А теперь ты заблочил для себя сайты http по глупости, эксперты рассказывают сказки о взломах которых никто в глаза не видел.
Ты хоть понимаешь какую ерунду сейчас пишешь? Если ты открываешь яндекс, а тебя направляет на сайт казино провайдер - это вообще не услуга интернета, любой пользователь сразу заметит такое и подумает, что это вирус - провайдеры словят миллионы жалоб, это чьи-то выдумки, такого блин просто нет.
По факту тебя заставили плясать под чужую дудку и заниматься ненужными обновлениями сертификатов которые тебе не нужны никаким боком, и ты как зомби продвигаешь этот чужой велосипед рассказывая повсюду чужие выдумки и гнобя веб-мастеров которые не обновились.
SagePtr, у тебя скорее всего мало опыта или есть одиночный домен домашний годами. Let’s Encrypt если не запариваться автоматом навесит на один сертификат несколько доменов, и если конфиг сменится, домен уже не направлен на сервер или не продлен, все домены не продлятся.
Редирект это не подмена трафика. Подмена трафика понятие относительное. Проще говоря если вы кликаете на ссылку, где написано "Черный кот" и вам показывают черного кота, не все ли равно как технически это произошло. А если вам показали вместо танки или блог, это похоже на подмену и редирект не нужен, можно в один прием это сделать в том числе и по https.
Напишу тогда и о минусах которые всем принес Let’s Encrypt.
Сертификаты нужно обновлять раз 90 дней, при изменение конфига веб-сервера автообновление не срабатывает и все сайты встанут, только не надо сам виноват, так надо и так, никто не застрахован, есть возможность для проблем значит они будут случаться, можно как бы и в больницу прилечь - 90 дней не срок.
Https дает нагрузку особенно это заметит кто создаст сайт где можно скачать большие файлы и все пойдет через одно место. Особенно если захочется сделать что-то на сокетах или веб-сокетах и тогда выяснится что с этим https мозги сломать можно, но ничего уже нормально не заработает, не скачка, функции php fread и fwrite начнут лагать, потому что ssl живет своей какой-то отдельной жизнью. Раньше это была привилегия, сделали обязанностью, а велосипед тот же и оставили.
Владелец веб-сайта может атаковать локальную сеть своего пользователя? Крутой скилл конечно, я пока так не умею, еще бы знать зачем.
Украсть пользователя при редиректе, это вообще стрём какой-то, дно полное. Дело даже уже в самом пользователе, кликнуть на одно, а увидеть другое. Встраивают свою рекламу на сайт с http не только опсосы, в Ростелеком жаловался.