1 Тема от Freeman

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Тема: Тестируем HTTPS

Эта тема должна была появиться еще 1-го июля. Отставание от графика — 2 недели. roll

Объявленный ранее переход на HTTPS не является принудительным — форум по-прежнему доступен по HTTP. Это сделано ради KolibriOS и пользователей старых ПК и браузеров, являющихся нашей целевой аудиторией на данный момент (в числе прочих).

Принята следующая концепция:

  • На форумах целевой аудитории даются ссылки HTTP.

  • В поисковики выдаются ссылки HTTPS — с расчетом, что сами поисковики уже давно несовместимы со старыми браузерами и париться уже не стоит. Таким образом приходящие на сайт с поисковиков будут открывать его по HTTPS.

Вместо безусловного перенаправления на HTTPS сервер выдает заголовок HSTS (Strict-Transport-Security), который я понимаю как «приглашение» к продолжению «диалога» на HTTPS браузерами, понимающими этот заголовок.

Собственно, в этом и состоит тестирование. На ПК у меня браузер Vivaldi добровольно переходит на HTTPS, даже получая перенаправление с http://forum.cantorsys.com на http://cantor.systems, а на телефоне с Android браузер Opera этого не делает, открывая сайт по HTTP и рисуя значок небезопасного соединения в адресной строке.

Если возьметесь тестировать, напишите:

Если у вас есть какие-то замечания или предложения, также прошу озвучить.

Сертификат

Готовый сертификат Let's Encrypt — единственная полезная вещь, оставшаяся в наследство от моей попытки взять хостинг. Плохо, что он действует всего 90 дней — истечет уже 21 сентября. Если оставлять HTTPS, придется заморочиться с его продлением. Снова время... Насколько вообще полезно защищенное соединение на практике применительно к нашему проекту?

2 Ответ от 0CodErr

  • 0CodErr
  • Заинтересованный
  • Неактивен
  • Зарегистрирован: 08.06.2019
  • Сообщений: 264

Re: Тестируем HTTPS

Firefox 47, Яндекс.Браузер 17 — обе ссылки открываются по https.
Opera 12, Firefox 3, Firefox 2 — обе ссылки по http, но смайлики и аватарки по https, при этом, они всё равно не отображаются(ошибка), а вручную по http отображаются, если вручную вбить https, то сами ссылки не открывает(ошибка).
В KolibriOS обе ссылки по http, но если вручную вбить https, то пишет "403 Forbidden", но это сейчас со всеми сайтами так, аватарки\смайлики тоже не отображаются.

3 Ответ от Freeman (изменено: Freeman, 15.07.2023 в 22:16)

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Re: Тестируем HTTPS

Спасибо за тест. Смайлики и аватары надо исправлять, они до сих пор по-старому заведены — с абсолютным путем, который сейчас HTTPS — для поисковиков.

Меня, как обычно, на всё не хватает. А в Питере снова начинается жара. roll

0CodErr пишет:

Opera 12, Firefox 3, Firefox 2 — обе ссылки по http, но смайлики и аватарки по https, при этом, они всё равно не отображаются(ошибка), а вручную по http отображаются, если вручную вбить https, то сами ссылки не открывает(ошибка).

А что за ошибка? Неподдерживаемые TLS и/или шифры? Наверное, было бы полезно узнать, какие именно, хотя не уверен, что смогу соответствующим образом настроить сервер...

А с телефона можешь посмотреть?

4 Ответ от 0CodErr

  • 0CodErr
  • Заинтересованный
  • Неактивен
  • Зарегистрирован: 08.06.2019
  • Сообщений: 264

Re: Тестируем HTTPS

Freeman пишет:

А что за ошибка? Неподдерживаемые TLS и/или шифры?

Firefox 3 пишет:

Во время загрузки страницы соединение с cantor.systems было прервано.

В настройках на вкладке шифрование включены протоколы SSL 3.0 и TLS 1.0

Opera 12 пишет:

Безопасное подключение: критическая ошибка (40)

https://cantor.systems/

Ошибка подключения к серверу. Возможно, методы шифрования, поддерживаемые сервером, не включены в настройках безопасности.

Имейте в виду, что некоторые методы шифрования более не поддерживаются и доступ к сайту будет закрыт до тех пор, пока сайт не будет обновлен для поддержки надёжного шифрования.

В настройках включены протоколы безопасности SSL 3, TLS 1, TLS 1.1, TLS 1.2 и шифры:

  • 128 bit AES(DHE_RSA/SHA)

  • 128 bit AES(ECDHE_ECDSA/SHA)

  • 128 bit AES(ECDHE_RSA/SHA)

  • 128 bit AES(RSA/SHA)

  • 128 bit AES GCM(DHE_RSA/SHA-256)

  • 128 bit AES GCM(ECDHE_ECDSA/SHA-256)

  • 128 bit AES GCM(ECDHE_RSA/SHA-256)

  • 128 bit AES GCM(RSA/SHA-256)

  • 128 bit ARC4(ECDHE_ECDSA/SHA)

  • 128 bit ARC4(ECDHE_RSA/SHA)

  • 128 bit ARC4(RSA/SHA)

  • 128 bit ARC4(RSA/MD5)

  • 168 bit 3-DES(RSA/SHA)

  • 256 bit AES(DHE_RSA/SHA)

  • 256 bit AES(ECDHE_ECDSA/SHA)

  • 256 bit AES(ECDHE_RSA/SHA)

  • 256 bit AES(RSA/SHA)

Freeman пишет:

не уверен, что смогу соответствующим образом настроить сервер...

Ну можно и по http оставить как сейчас, разве это принципиально?

Freeman пишет:

поисковики уже давно несовместимы со старыми браузерами

Google вполне работает на Opera 12.

Freeman пишет:

А с телефона можешь посмотреть?

Проверил тут — открывается по https.

5 Ответ от Freeman

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Re: Тестируем HTTPS

0CodErr пишет:

Google вполне работает на Opera 12.

Нашел в загашнике Opera 12.18 — ту самую, в которой обновили протоколы безопасности и шифры. Открыла сайт по HTTPS!

TLS v1.2 256 bit AES ([384, 2048] bit ECDHE_RSA/SHA)

Помнится, ошибку 40 выдавала как раз предыдущая сборка — 12.17. Обновление 12.18 было неожиданным и весьма приятным старым фанатам браузера, хотя и прошло незамеченным. К тому времени Opera Software уже окончательно переключилась на движок Chrome и стала стыдливо относиться к прошлому.

Поскольку Opera 12.18 работает под XP, ее можно смело рекомендовать любителям старого ПО. А для совсем старого остается HTTP.

Google, кстати, выдает в Opera какую-то облегченную версию интерфейса, явно адаптированного под старые браузеры. Сначала подумал даже, что это мобильная версия. Одно время некоторые сайты принудительно переключали Opera в мобильный интерфейс, в том числе работающую на ПК. Не показалось и в этот раз:

<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd">

Причем шифр менее стойкий, чем у нас:

TLS v1.2 128 bit AES GCM ([256, 2048] bit ECDHE_ECDSA/SHA-256)

Короче, текущую настройку считаем на данный момент оптимальной.

6 Ответ от Freeman

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Re: Тестируем HTTPS

Freeman пишет:

а на телефоне с Android браузер Opera этого не делает, открывая сайт по HTTP и рисуя значок небезопасного соединения в адресной строке.

Открыл сегодня форум с телефона, и Opera внезапно «нашла» HTTPS! Тем самым поведение стало как на ПК. Ничего не менял — ни в форуме, ни в телефоне. Возможно, обновление самой Opera было, не знаю.

7 Ответ от Freeman

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Re: Тестируем HTTPS

0CodErr пишет:

аватарки по https, при этом, они всё равно не отображаются(ошибка), а вручную по http отображаются, если вручную вбить https, то сами ссылки не открывает(ошибка).

Freeman пишет:

Смайлики и аватары надо исправлять, они до сих пор по-старому заведены — с абсолютным путем, который сейчас HTTPS — для поисковиков.

Ссылки на аватары и смайлики сделаны относительными. Упавший интернет помог. roll

8 Ответ от 0CodErr

  • 0CodErr
  • Заинтересованный
  • Неактивен
  • Зарегистрирован: 08.06.2019
  • Сообщений: 264

Re: Тестируем HTTPS

Ещё осталась проблема с favicon.ico, например, в этом сообщении: так не работает, а так работает.

Заметил, что быстрее всего сайт грузился сразу же после перехода с sourceforge, но в данный момент при первоначальной загрузке нужно немного подождать, затем через несколько минут ситуация повторяется снова, такое было в Chrome.

9 Ответ от Freeman

  • Freeman
  • Freeman
  • Администратор
  • Неактивен
  • Зарегистрирован: 08.06.2015
  • Сообщений: 602

Re: Тестируем HTTPS

0CodErr пишет:

Ещё осталась проблема с favicon.ico, например, в этом сообщении: так не работает, а так работает.

Ссылки с www.cantorsys.com и не должны работать. Доменное имя относилось к блогу, я пока не подключал его. Всё еще надеюсь выложить материалы блога в том или ином виде, после чего настроить перенаправления с путей блога на пути форума. Тогда-то домен и откроется.

Но! Сейчас значок с логотипом доступен как favicon.ico домена cantor.systems, но идет через перенаправление. Теоретически можно было бы поправить те сообщения, но Chromium не понимает перенаправлений в теге <img>. Firefox и Opera на Presto понимают, а прапорщик идет не в ногу. Поэтому не знаю как исправить, прошивать абсолютный путь не хочу.

0CodErr пишет:

Заметил, что быстрее всего сайт грузился сразу же после перехода с sourceforge, но в данный момент при первоначальной загрузке нужно немного подождать, затем через несколько минут ситуация повторяется снова, такое было в Chrome.

Не знаю, у меня такого нет (Vivaldi). Зато обратил внимание, что последние пару дней твои заходы начинаются якобы из поиска Яндекса. Раньше они были прямыми и IP был другой.