SSL-hell

опубликовано:  21.02.2019  <весь блог>

Некогда "добрые" поисковые системы трансформировались в пузатых чиновников с нарукавниками, налево и направо штампующих печати "ОТКАЗАТЬ" и "УПЛОЧЕНО". Это раньше вебмастер и поисковик шли "рука об руку"; нынче последний в ультимативном порядке раздаёт приказы - что делать и чего не делать. "Неповиновение" карается выкидыванием из поисковой выдачи (читай, забвением, что равносильно смерти ресурса). Самое смешное: алгоритмы поисковиков косячат, и под раздачу попадают ни в чём не повинные ресурсы. У меня самого был случай с навешиванием ярлыка на один из моих сайтов "по беспределу". И, как у истинных бюрократов, "разруливание" ситуации заняло около трёх месяцев. Благо, сайт не из разряда "зарабатывающих мильоны в день" и я ничего не потерял.

Поисковики прямо заявляют свои "требования к коду", "удобству" и всему такому прочему. Во многих случаях, эти "требования" продиктованы персональными хотелками какого-то унылого программера, который "дорвался до порулить" и транслирует свои комплексы на всю вебмастерскую братию. Чего стоят призывы вставлять в код элементы, вообще отсутствующие в спецификациях HTML и придуманные "на коленке". Последнее время это пытались исправить, но анонимус (и я) помнят и не забывают. Или требования оптимизировать сайт под мобильные устройства, в то время как есть сайты, которым посетители с мобилок не нужны от слова "нахер". Да и мобильные устройства ныне позволяют просматривать какие угодно сайты - времена разрешений 320х240 и GPRS прошли лет десять назад. Тем не менее, фактор "оптимизированности под мобилки" - это фактор ранжирования!

Вишенка на торте - беспрецедентное пропихивание HTTPS/SSL на сайты. В условиях, когда развитие и поддержка сайтов и так-то обходятся недёшево (если речь о реальных проектах), вебмастеру предлагается за каким-то лядом установить вдобавок платный сертификат. Уже слышу крик про "ЕСТЬ ЖИ БЕСПЛАТНЫЕ!!!11!", но подождите. Не затем всё это устраивали, чтобы вот так просто вам что-то бесплатно дать. Бесплатные сертификаты устанавливаются сроком на 90 дней, после чего их надо менять. Представьте, что в вашем владении порядка 20 сайтов - сразу всё станет понятно. Бонусом является то, что до сих пор переход на HTTPS в самих поисковиках может принести неочевидные результаты. Интернеты полны отзывами, когда после перехода происходило проседание/выкидывание сайтов из выдачи. Всё по бюрократическим канонам: заплатил - ещё и потрахайся.

Продвинутые тут мне скажут, что есть спецпрога, которая обновляет бесплатные сертификаты на сервере автоматом (действительно, она есть). Но для меня это - нелепость; установка непонятного сервиса в систему, который только и делает, что обновляет эту беду. Почему не дать беду бесплатно на больший срок - хотя бы на год? А не для того беда задумывалась.

Вообще, подобное навязывание платной ерунды - нонсенс для некогда свободного интернета. Сама парадигма платности сертификатов вызывает очень много вопросов. Для того, чтобы подтвердить, что вы владеете сайтом, достаточно разместить на нём какой-нибудь специальный файл. А для получения сертификата почему-то надо заплатить какой-то левой конторе, которую вы и знать-то не знаете. На сайт можно установить самоподписанный сертификат (как у меня, например), но любой браузер будет орать, что "сайт небезопасен". Почему небезопасен? Потому что гладиолус. Я не оспариваю нужность подписанного SSL там, где он действительно нужен - в банках, финансовых системах и т.п. Но зачем ресурсу, не озабоченному ничьими финансами и сверхсекретными данными, платить за сертификат? Ответ всё тот же: потому что гладиолус.

Самоподписанный сертификат (в плане шифрования соединения с сайтом) ничем не отличается от подписанного. Последний нужен лишь тогда, когда надо удостовериться в том, что сайт - не подделка какого-нибудь другого (как это часто случается с банками, соцсетями и прочими популярными ресурсами). Хотя и тут всё довольно безблагодатно: сама по себе "подписанность" не гарантирует вообще ничего. Она лишь показывает, что владелец сайта сертификат купил. От чего ушли - к тому пришли.

Бонус: скриншот моей переписки с представителем некоего поисковика. Обратите внимание на тон общения "представителя".

На деле, "представитель" не врёт: проблема подмены трафика действительно существует. Но, как я упоминаю в переписке - это проблема отдельных недобросовестных провайдеров; не какое-то специальное мошенничество, от которого "спасу нет". Но это и не проблема сайта - в первую очередь, это проблема посетителя. Для ресурса типа моего (как и многих других информационно-развлекательных) - только и только посетителя. Но поисковику лучше известно, что мне, неразумному, нужно.

©2019, Анатолий Савенков

комментариев: 19

по годам: 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

Комментарии

1  viktor гость	21.02.2019 09:38
Отл инфо.Как раз мне для общего развития,на будущее.
+0

2  chel-forum свой человек	21.02.2019 12:27
Самый дешмань-сертификат видел от штуки рублей в год, но при оплате сразу за два года. Вроде и недорого но да, ебала та еще, заменять надо потом в голове держать. С одним сайтом можно и 90дневный бесплатный юзать, правда тоже держать в голове и тоже ебала.)) Но самая мякотка что при переезде в том же яндексе дофига проблем может возникать (и обычно возникает что бы они там не говорили). У знакомого сайт выпадал из выдачи и возвращался за несколько месяцев, он на жопе все оборвал. Потом он в выдачу вернулся но что-то там с ранжированием не то было... Короче пичалька это все.
+0

3  SaAnVi tzar	21.02.2019 12:31
Я цены сколько смотрел - там жесть какая-то, рубля три в год и больше от того же Комода. Некоторые хостинги в погоне за клиентами на себя берут переустановку бесплаток этих. Но это не те хостинги, которые я люблю.
+0

4  Садисто свой человек	21.02.2019 13:04
Инет вообще превратился в дикое помойное ведро, а как туда полезли "умные и разбирающиеся"- так оно и сральным стало. Если n лет назад сама мысль отрубить российский инет от остального казалась бредом, то теперь... так же кажется, но заметит ли кто в массе? Не знаю.
+10

5  SaAnVi tzar	22.02.2019 07:18
Меня монополизация заботит. Реально сейчас 80% народа сидит на пяти сервисах, не подозревая о том, что ещё где-то что-то вообще есть. То есть на ТВ 80% сидят на двух каналах, когда есть 300. А в интернете - на пяти сайтах, когда есть миллиард.
+4

6  Axxon гость	22.02.2019 07:43
SSL насколько я понимаю изначально задумывался разводом на бабло, только непонятно что так долго медлили. А может наоборот - жилу почувствовали. Не зря Google подсуетился со своим центром сертификации и потом ВНЕЗАПНО стал пинать всех на SSL. ВОт есть же работающая технология, есть самоподписанные сертификаты - почему их не принимать? Разнцы ведь никакой - трафик шифруется точно так же как на подписанном. Да, развод чистой воды.
+0

7  Садисто свой человек	22.02.2019 08:50
к 5- логичный результат развития соцсетей как места, "где есть фсё". Музло и видео есть- большинству больше и не нужно...
+0

8  SaAnVi tzar	23.02.2019 13:08
Клиент ща звонил. По непонятной причине, у него при заходе на Яндекс выскакивает файрфоксовое "неправильный сертификат, бла-бла-бла" и не пускает. Карма - она такая. :)
+3

9  ed свой человек	23.02.2019 13:41
У меня на линуксе Яндекс выдавал, шо полно на компе вирусов. Правда интернет мобильный через билайн был.
+0

10  SaAnVi tzar	23.02.2019 13:43
Дада, на эту херню тоже жалуются. :)
+0

11  ed свой человек	23.02.2019 14:11
А гугл, ежели у меня инет через билайн, ежели я туда раз в месяц захожу, пускает меня в поиск через капчу, типа я сутками напролёт F5 нажимаю каждые полсекунды. Правда сейчас исправился.
+0

12  Amin гость	09.04.2019 23:28
Let's Encrypt отчасти спасает. certbot для него есть в репах debian. Но есть во всей этой ssl-кухне много нездоровой централизации, проблем доверия и выкручивания рук. Хотя тётя Яровая тут очень стимулирует затащить под TLS даже веб-интерфейс для мониторинга сливного бачка. Меня, кстати, больше бесит даже не ругань на самоподписанные сертификаты, а иногда очень брутальная реакция браузеров на ряд сбоев в настройке HTTPS. Самое хардкорное - HSTS и особенно - HPKP, там если косяк - то даже внятных путей выхода нету.
+0

13  R666 свой человек	10.04.2019 01:52
>..при заходе на Яндекс выскакивает файрфоксовое.. Интересно, но почему такое бывает при заходе на технические сайты? Если мне оттуда всего-то надо скачать [что-то].pdf и на превьюхе уже видно искомое, - какое огнелису дело до всяких фигатов? Дык, несмешно как-то получается. Похоже, что или надо вправлять файерфоксу мозги, или же придется искать что-то более сговорчивое..
+0

14  SaAnVi tzar	10.04.2019 04:23
> почему такое бывает при заходе на технические сайты? Да потому что люди забывают сертификаты продлить. Истинно говорю - гемор.
+0

15  SaAnVi tzar	28.07.2020 18:01
SSL победил. [ссылка, bad-good.ru] Чувак долго замечал. :) Интересно, на ровном месте заставили всех перейти к шифрованному трафику в интернете. Ну, то есть как - на ровном? Было бы законодательство вменяемое... Но оно только беткоэны может запрещать.
+0

16  Мимо Крокодил гость	06.08.2020 15:23
Самоподписанные сертификаты от вставки провайдером не спасут, т.к. никто не мешает провайдеру сделать самоподписанный сертификат для любого сайта в интернете - и он технически ничем не будет отличаться от такого же сертификата, сделанного автором сайта. Пользователь будет видеть, что соединение зашифровано, но на самом деле провайдер может менять всё, что есть на странице (например, добавить рекламу, или изменить счет в банке / адрес доставки в интернет-магазине). Сертификационные центры (СЦ) перед тем, как выдать сайту сертификат, должны сделать какие-то движения, чтобы проверить, что выдают сертификат действительно владельцу сайта, а не кому-то левому. Потом этот сертификат подписывается ключом этого СЦ, что технически (программно, без участия пользователя) можно легко проверить. Если СЦ начинает выдавать сертификаты кому не надо - его исключают из списка доверенных, и браузеры перестают доверять сертификатам, которые он подписал. Так, например, случилось с Symantec. А самоподписанный сертификат, ещё раз, проверить невозможно, поэтому самоподписанный сертификат - это то же самое, что без сертификата, т.к. невозможно проверить, кто его подписал.
+0

17  SaAnVi tzar	06.08.2020 17:08
> никто не мешает провайдеру сделать самоподписанный сертификат Геморроя в этом случае сильно больше. Хотя, уже ничему не удивлюсь. Насрали же на HTTP, и туда насрут.
+0

18  SaAnVi tzar	21.05.2022 08:10
А теперь вспомним эту запись и отзывы сертификатов левыми пидорскими конторами, которым наши конторы в своё время платили бабки. Бабки на ровном месте, в никуда, за строчку цифрового говна, которое ничего не значит и не стоит. Вспомним и порадуемся за придурошные технологии, придуманные в адовом солевом бреду. :) Вернее, порадоваться стоит за тех, кто получает бабки ни за что. Хорошо устроились, в принципе. Остальным - платить, каяться, воспевать оды "высоким технологиям" и "безопасности", которых как не было, так и не будет.
+5

19  SaAnVi tzar	16.09.2025 19:33
По теме. [ссылка, habr.com]
+2

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.