16:59
17/10/2019

Słuszna decyzja Mozilli. Certyfikaty EV nie będą już wyróżniane w pasku adresowym Firefoksa. Słuszna, bo:

    – prezentowanie kłódki przed stronami z HTTPS to zła sugestia, że strona jest bezpieczna. Nie musi być — patrz tu. W dodatku liczenie na to, że ktoś zawsze będzie pamiętał, że jak obok kłódki nie ma nazwy to strona jest mniej bezpieczna to droga do nikąd.
    – mało kto, poza nielicznymi osobami (które i tak były na tyle techniczne żeby wykryć że coś jest nie tak w inny sposób) nikt ich nie “weryfikował”.
    – w dobie Let’s Encrypt płacenie za SSL to pomyłka, zwłaszcza, że dało się też w pewnych sytuacjach wykupić “lewy” EV

The formerly green lock icon will now become gray, with the intention of de-emphasizing the default (secure) connection state and instead putting more emphasis on broken or insecure connections.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

9 komentarzy

Dodaj komentarz
  1. Słuszna decyzja, powinno tak być od początku.

    Wyraz “donikąd” pisze się łącznie, stawia się przecinek przed “że” lub “to”, gdy “to” oddziela zdanie podrzędne. Jeśli w wypunktowaniu używa się zdań rozpoczynających się z małej litery, to na końcu nie stawia się kropek, a przecinek lub średnik, tylko w ostatnim punkcie stawia się kropkę.

    • Aleś zabłysnął! Miałeś swoje 5 minut.

      Jest taka “zdrowa zasada”, że od programistów oczekuje się bardziej, aby nie popełniali błędów w kodzie źródłowym. Mniej boli i nie jest to później kosztowne.

      Co nie zwalnia jednak w publikacjach także ich unikać!

    • A to jest portal polonistyczny? Nie umiemy czytać ze zrozumieniem?

    • A czy ja muszę głupieć językowo podczas czytania technicznych treści?

      Taki problem żeby Niebezpiecznik zatrudnił jakiegoś korektora? Nie musi być na etat. Przecież mógłby zdalnie poprawiać teksty, nawet na telefonie siedząc na kiblu.

    • Zgadzam się w pełni. Błędów nie powinno się popełniać w żadnych publikacjach, nie ze względu na techniczność portalu ale ze względu na fakt publikacji czy choćby bycia wydawnictwem (wydającym artykuły w formie blog-postów).

  2. > w dobie Let’s Encrypt płacenie za SSL to pomyłka, zwłaszcza, że dało się też
    > w pewnych sytuacjach wykupić “lewy” EV

    Z tym się z redakcją nie zgodzę. Tzn wiadomo że dla małych firm i osób prywatnych to zdecydowanie prawda, ale jak ktoś ma bardziej rozbudowaną infrastrukturę, wiele serwerów, oraz wiele subdomen współdzielonych przez te same serwery (własny CDN) – to w przypadku letsencrypt czasami coś może pójść źle i możesz zostać z niedziałającą witryną. Po co sobie życie komplikować, jak za stosunkowo niewielkie kwoty można sobie wykupić wildcarda ważnego na 2 lata?

    Ale co do zasady, faktycznie EV nie mają sensu szczególnie przy znacznie wyższej cenie. Chrome czy Opera już od dawna nie wyróżniają EV (i nawet ciężko po kliknięciu w “kłódkę” się czegoś dowiedzieć)

    • Jak ma się coś sypnąć to się sypnie.
      Od Let’s Encrypt już też zdaje się można mieć wildcarda.

    • W dobie automatyzacji, infrastructure-as-a-code i szeroko rozumianego DevOps, korzystanie z 2 letnich wildcard-certs na maszynach które istnieją znacznie krócej niż ich certyfikat nie ma po prostu sensu. Jest też mniej bezpieczne niż korzystanie z szybko wygasających certyfikatów LE. Klucze istnieją tylko w jednym miejscu, odpada problem ich bezpiecznej dystrybucji i przechowywania poza docelowymi maszynami. Poza tym, dzięki temu że każda maszyna ma swój unikalny cert, w przypadku PWNa, nikt się nie podszyje pod inne, być może cenniejsze usługi w tej samej domenie. Innymi słowy wildcard-certs to zło.

    • @Szponek, W ten sposób to można działać w organizacjach gdzie pojęcie bezpieczeństwa nie istnieje.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: