hup.hu only via HTTPS

"Politikai" indok miatt nincs egy https://letsencrypt.org/ -es cert a hup.hu-ra?

Közhely, de a Google hátrébb sorolja a non-HTTPS oldalakat: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

Az elmúlt pár évben egyre inkább HTTPS a trend: https://www.google.com/transparencyreport/https/metrics/

A felelőtlen CA-k, BGP alapú támadások, risk (impact x probability) szempontból még mindig kevésbé bajosak, mint hogy 2016-ban plaintextben menjen a kommunikáció.

Érdekességből próbálok szavazást indítani, hátha kikerül.

Szép napot!

Hozzászólások

100x ki lett vesezve:
Majd egyszer ha bra raer akkor lesz oszoljanak kerem nincs itt semmi latnivalo...

Ezt a foscunamit, amit ide öntöttetek, atya ég...
Úgy érzem annyit el kell mondanom, hogy rég megállapodtunk (a tulajdonos magánszemélyekkel :), hogy az oldal elkerül tőlem, mivel nekem sem időm, sem energiám nincs már ehhez a hobbihoz. Tizenvalahány éve, amikor még fiatal voltam, nem volt családom, teljesen rendben volt, de vén faszként, mindennapi problémákkal, családdal, akikről gondoskodni kell, és egy átdolgozott éjszaka után nem egész nap aludni, vagy hullafáradtan, zombiként bolyongani az állatkertben, szóval így már sok ez.

Ennek ellenére az oldal még itt van, amihez -mint arról nyilván értesültetek (a kontextusba helyezéshez érdemes megnézni a videó dátumát, nem tegnap alakult ki ez a helyzet)- néha vasárnap hajnalban járkálok, ha gond van, tisztán úri passzióból, saját költségre.

A "hőskorban" megfelelt ez a konstrukció, de már rég le kellett volna váltani, amire én is csak várni tudok, más feladatom (már) nincs a dologban.

Ettől függetlenül, csak hogy újabb problémákat találhassatok, beállítottam a https-t, abban a reményben, hogy ez volt az utolsó, amit itt tennem kellett... :)

https://hup.hu/

Felreertesek elkerulese vegett en nem teged basztatlak meg aztan nekem hotmindegy hogy van e https vagy sem.
Ha ez mashogy jott le akkor elnezesed kerem.

Masokkal ellentetben en tisztaban vagyok vele hogy neked rengeteg munkad van a hupban illetve egyeb opensource tamogatasban. Peldaul hanyni tudtam volna az fsn megallt topicban az emberek hozzaallasatol hogy hat megallt az a szar es hogy kb hulye aki azt hasznalja mirrorkent...

A hozzaszolasom inkabb arra iranyult hogy ha valakinek baja van akkor lehet segitseget felajanlani.

Új lehetsz errefele... :)
--
"Sose a gép a hülye."

M mint Megmondó.?
--
God bless you, Captain Hindsight..

Szerintem nincs gond avval, hogy plain textet plain textben kommunikálunk.
A login legyen https, esetleg minden POST request. De a többire csak felesleges CPU terhelés. Illetve emelei a browser barrier-of-entry-t.

### ()__))____________)~~~ ########################
# "Do what you want, but do it right" # X220/Arch

Routeren atirod a dns szervert olyanra, ami pl. http://www.google-analytics.com valodi ip-je helyett egy masik gep ip-jet adja meg, aki a kiszolgalt js fajlba belerak egy ilyen kodot (vagy csak siman hozzafuzod minden atmeno http oldal tartalmahoz):

https://www.youtube.com/watch?v=EO4a_a8hN6g
vagy egy ilyet:
https://www.youtube.com/watch?v=zcVsyA4Imys
vagy csak minden beirt jelszot elkuldi egy szervernek.

(par hete talalkoztam ismerosnel egy routerrel amin pont ez tortent, szoval valoszinu letezik ra malware)

"Routeren atirod a dns szervert olyanra"

Eloszor hozzaferest kell szerezned a router-en. Hacsak nem valami luzer helyen vagy, ez nem fog menni 'csak ugy'.

Masodszor, tovabbra is 2 ev bortonnel jutalmazzak ezt, ha barki is veszi a faradtsagot, hogy tegyen egy feljelentest a rendorsegen. Szerinted barkinek is meger ez a moka ennyit?

Luzer hely = Gykorlatilag barhol, ahol nem bizol 100%-ban a routerben es annak beallitasaiban es hogy a firmware nem tartalmaz hibat/backdoort.

Szerintem ezt sehol nem teheted meg, par pelda:
- CVE-2016-1287 - A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
- Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...)
- Hazai UPC modemek biztonsagi vizsgalata

Megneznem, hogy a rendorseg mit tudna kezdeni azzal a feljelentessel, hogy egy kinai malware atirta a routered bellitasait, majd egy bongeszo hibat kihasznalva egy ransomware-t telepitett a gepedre es most 1000 USD-t ker az unlockert.

Ha ennyire bizol a feljelentes erejeben, akkor nyugodt szivvel publikalhatod az osszes jelszavad, hiszen 2 ev borton fejeben kinek erne meg azokat hasznalni?

https://www.youtube.com/watch?v=XlgHZIjz5eQ

akinek 0day browser sebezhetosege van, az vagy eladja milliokert, vagy komolyabb dolgokra hasznalja.
hupperek feltoresere, komolyan?

A dlink meg a standard-issue upc modemeket aki alapbeallitasokon hagyja es/vagy nem tesz ele/moge egy masik routert, az mar kezdodo luzer kategoria, igen.

Ha valakinek sikerul mondjuk parezer routert megfertoznie egy malware-el, ami kepes barmit beinjetalni a http forgalomba, akkor szerintem jobban megerheti neki egy ransomwaret feltelepiteni sokezer gepre, mint bejelnteni a google-nak. (+ igy a radar alatt maradhat es a fekete piacon ugyanugy eladhatja)

PC-n eleg jol mukodik az automatikus bongeszo frissites, de pl. 80%-a az Android usereknek nem kapja meg a biztonsagi frissiteseket, igy van mibol csemegezni (csak iden 43 tavoli kodfuttatasi hibat javitottak)

De igazabol nem is kell 0day az atlagos user atveresehez: A kedvenc videomegosztoja oldalara berak egy "a flash player elavult" uzenetet, linkkel az adobe.com -ra (amit persze a sajat szervererol szolgal ki), ahol egy, az igazival megegyezo oldalrol letoltik a lockyval fertozott setup.exe -t.

Allitgathatod a routered, ha a 39889 portra kuldott "HELODBG" uzenet utan barkinek nyit egy rootshellt. Ha a sajatod, akkor persze telepithetsz ra openwrt-t, de a szolgaltato altal adott kabelmodemhez nem sok hozzaferesed van.

napi wtf:

$ wget https://indavideo.hu
--2016-11-22 22:31:16-- https://indavideo.hu/
Resolving indavideo.hu (indavideo.hu)... 217.20.131.245
Connecting to indavideo.hu (indavideo.hu)|217.20.131.245|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://indavideo.hu/ [following]
--2016-11-22 22:31:16-- http://indavideo.hu/
Connecting to indavideo.hu (indavideo.hu)|217.20.131.245|:80... connected.

Már rég van az oldalnak SSL tanúsítványa, de ebben a formában, ahogy van, értelmetlen bekapcsolni az ismerten sebezhető verziójú SSL-t. Ugyanis olyan régi az operációs rendszer és az összes rajta levő port, hogy simán többet ártunk vele, mint használunk. Az SSL csomagok évekkel ezelőttiek, tele sebezhetőségekkel.

Kérdezhetnénk, hogy miért nincs akkor az OS és a többi komponens frissítve? Sajnos a mostani Drupal verzió nem fut rendesen újabb PHP és egyéb csomagokkal. De, akkor miért nincs a Drupal frissítve? Mert ígéretet kaptam arra (évekkel ezelőtt), hogy valaki(k) megcsinálják.

Legutóbb éppen arról volt szó, hogy az oldal az ősrégi vasról egy modern (virtuális) hosting környezetbe költözik, majd utána lesz rendbe szedve a többi része.

Úgyhogy nem olyan egyszerű az egész.

--
trey @ gépház

Root account-om van, viszont nem én vagyok a rendszergazda. A rendszergazda feladata technikai döntéseket hozni, ő pedig úgy döntött, hogy nem lesz bekapcsolva az SSL addig, amíg nem lehet OS-t frissíteni. Mivel nem az én dolgom a rendszer terelgetése, én ezt a döntést elfogadtam.

--
trey @ gépház

Én számtalanszor kérdeztem rá arra az elmúlt években, hogy mi lesz a frissítéssel. Számtalanszor írtam le, hogy milyen rizikója van annak, hogy nincs frissítve a CMS, az AMP stack, az OS.

Számtalanszor kaptam dátumokat, határidőket, hogy mikor mi lesz.

Többször untam meg a várakozást, gondoltam elébe megyek a dolognak. Többször csináltam tesztrendszert naprakész OS-sel, naprakész Drupal-lal, naprakész virtualizációs platformra átrakva, megcsináltam a migrációt, majd a végén az eredményt bemutattam. Egyetlen skin-t kellett volna ráhúzni és készen lett volna. Ebben kellett volna megegyezni. Az ígéretek szerint már régen új vason (virtuális vagy fizikai tökmindegy) kéne futnia az egésznek, új OS-sel, Drupal 8-cal (de minimum 7-tel) és új layout-tal, kinézettel.

Sajnos az ügy ennél tovább nem jutott és nem én voltam az oka. Többször volt időpont megbeszélve találkozókra (személyesre is), ami aztán nem vezetett eredményre. Emiatt felautóztam Bp-re, voltak ígéretek, de ennél többet én nem tudok és megmondom őszintén, nem is akarok tenni.

Úgyhogy most én is várok. Politikailag.

--
trey @ gépház

Azért az kicsit furcsa, hogy kis hazánk talán egyik leglátogatottabb IT/UNIX/LINUX/szakmai stb portáljának tulajdonképpen nincsen (rendszer)gazdája.

Legközelebb tedd CentOS-re az legalább 10 évig supportált, és nem kell elavult libekkel szarakodni. 10 évente egy upgrade/reinstall meg csak belefér :D

Fedora 24, Thinkpad x220

"Azért az kicsit furcsa, hogy kis hazánk talán egyik leglátogatottabb IT/UNIX/LINUX/szakmai stb portáljának tulajdonképpen nincsen (rendszer)gazdája."

Nekem is valami ilyesmi jött le a szál olvasása során.
És ez azért durva..... na.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Van az úgy, hogy az embereknek, akik belekezdenek egy-egy ilyen projektbe fiatalon, egy idő (jó sok idő) után más dolgok lesznek fontosabbak az életükben. Pl. munka, család stb. Főleg akkor, ha gyakorlatilag fizetés nélkül csinálják a dolgot.

És ez teljes mértékben érthető.

--
trey @ gépház

Ha az a lehetőség áll fenn, hogy vagy marad így az irányítás vagy átveszi egy IT cég és akkor lesz pénz naprakészen tartani esetleg modernizálni is, akkor nem olyan sürgős szerintem az a frissítés, mert ez is kiszolgálja az igényeinket. Nem hiányozna egy akármennyire is IT, de külsős irányítás.
Jelenleg is tudunk egymásnak segíteni, segítséget kérni, blogolni, aktuális híreket kapni, híreket és cikket beküldeni, stb. Szóval a portál működik. Az hogy a "főszerkesztő" idejétől és elfoglaltságától függ a hírek pörgése, nem okoz olyan fene nagy kellemetlenséget szerintem.

[szerkesztve]
Persze egy alapítvány is megoldaná a problémát, de túl "sokba kerülne". Nem csak pénzügyileg, mert kellene egy csomó önkéntes aki működteti, no meg kellenének támogatók is akik a bevételt biztosítanák.
Vagy pályázatokból előteremteni időnként a felmerülő költségeket, de ebben végképp nem vagyok járatos.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Itt most csak a szerver, az OS, a szoftverstack üzemeltetéséről van szó. A tartalom más lapra tartozik. Az utóbbi kézben van tartva. Az előbbiek lötyögnek.

Egyébként is van roadmap és terv a probléma megoldására. Csak lassabban haladnak a dolgok, mint azt én szeretném.

--
trey @ gépház

Ez világos. Én a kiszolgáló üzemeltetésének pénzügyi nehézségeinek megoldására gondoltam, mint ahogy te is arra utaltál azzal, hogy ezt mindenki önkéntes alapon fizetség nélkül csinálja. Professzionális (pénzért dolgozik rajta) segítség is jól jöhetne olykor vagy folyamatosan, periodikusan a háttérben.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nincs külső irányítás. Együttműködés van a HWSW-vel és van némi reklám az oldalon, de ez nem zavar.
A HWSW-s linkek és hírek meg kifejezetten jók, mert azt az oldalt ritkábban látogatom, de az érdekesebb dolgokról így itt is értesítést kapok. :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nem tudom kikre gondolsz a "partnereim" alatt. Azt sem tudom, hogy az általad hivatkozott dokumentumot ki írta és hogy aki írta, a szándékosan írt-e valótlant vagy tévedésből. Szóval én nem ítélkezem. Te azt csinálsz, amit akarsz. Terjeszthetsz valótlan infókat is, vagy elfogadod azt, amit én mondok.

--
trey @ gépház

Az oldal nem a HWSW tulajdona. Ha pontosak akarunk lenni, akkor az oldal három magánszemély tulajdona. A tulajdonosok pedig a részesedésük arányában részesülnek a "bevételből". Nyilvánvaló, hogy a részesedés aránya nagyjából arányban van a beletett munkával és egyéb más dolgokkal. Hogy azért tiszta legyen... Sok rendszergazdai munka nem kell ide, így a rá eső lóvé is inkább a vicc kategória hosszú évekre lebontva. Ha pedig így van, akkor nyilván nem ez az ember életében az első...

--
trey @ gépház

Én a saját hosting rendszerünkön raktam össze, de nem akarok a munkahelyemtől függeni. Van már lebeszélt hely Bp-en, ahova az oldal költözhetne. Hogy mikor, milyen paraméterekkel, azt nem én beszéltem le. Elvileg - ha jól emlékszem - szeptember lett volna (a sokadik) határidő, hogy elköltözik az oldal. A rendszergazda és a harmadik személy ez ügyben (is) találkoztak, hogy megbeszéljék, hogy hogyan megtörténjen meg az átadás / átvétel stb.

Hogy hol áll a dolog, arról nincs infóm. Én nem kellek ehhez a részhez.

Én a tartalommal és a vele kapcsolatos dolgokkal foglalkozom, az nap mint nap frissül.

Ennyit tudok.

--
trey @ gépház

Miért nekem teszed fel ezeket a kérdéseket? Ott a HWSW elérhetősége, kérdezd meg ott, hogy miért állítanak olyat, ami nem igaz. Nem érzem azt, hogy nekem mindent cáfolnom kéne, ami az interneten megjelenik.

Egyébként látom, hogy ez évek óta foglalkoztat téged, csak azt nem értem, hogy ha neked ez ennyire PITA, akkor miért nem jársz utána, illetve az sem tiszta, hogy neked ehhez mi közöd van.

Félre ne értsd, szabadidőmben eldiskurálok veled erről ha nincs jobb dolgom, de egy idő után már unalmas.

Az sem tiszta, hogy ez a diskurzus mennyiben mozdítja elő a $subject ügyet.

--
trey @ gépház

Azért neked, mert te vagy az, aki feléjük bizonyítani tudja, hogy amit állítanak, az nem igaz. Nekem nem dolgom (mint ahogy semmilyen más hirdetőnek sem, aki megnézi a médiaajánlatot) feltételezni, hogy valótlant állítanak. Mivel veled szemben állítanak valótlant, a te dolgod helyreigazítást kérni, és nem nekem.
Ha meg nem cáfolod, akkor elfogadod, hogy így van, amit leírnak az üzleti partnereid a HUP-ról, az helytálló.

"Ha meg nem cáfolod, akkor elfogadod, hogy így van, amit leírnak az üzleti partnereid a HUP-ról, az helytálló."

Ezt te sem gondolod komolyan... Eddig azt sem tudtam, hogy létezik ez a médiaajánlat, azt sem, hogy mi áll benne. De most hogy tudom, sem izgat különösebben.

Csak azért tettem itt helyre a dolgot, mert hátha valakit érdekel az igazság. Ha nem, nem.

--
trey @ gépház

Ez sok mindentől függ. Ha az én érdekeimmel ez egybeesik, akkor semmi problémám sincs vele. Pl. ha a hirdetések szervezése miatt egyszerűbb ezt így feltüntetni, mint hosszasan regélni arról egy ajánlatban, hogy "Volt egyszer három ember, akik megegyeztek abban, hogy X-nek ez a feladata, Y-nak az, Z-nek pedig amaz és hogy a weboldal bla, bla, bla".

--
trey @ gépház

Meg a Nemzeti Média- és Hirközlő Hatóság nyilvántartása is ;)

Sajtótermék neve: HUP Online Informatikai Hírmagazin
Sajtótermék fajtája: Internetes
Internetes elérhetőség: www.hup.hu
Kiadó neve: HW SW Számítástechnikai Szolgáltató és Kereskedelmi Bt.
Alapító(k) neve: HW SW Számítástechnikai Szolgáltató és Kereskedelmi Bt.

Élő nyilvántartás: http://webext.nmhh.hu/sajto_kozzetetel/app/index.jsp
Egy régebbi pdf lista: http://nmhh.hu/dokumentum/154088/internetes_sajtonyilv_81_mentes_201210…

Téged átszabtak.

trey, tényleg van ez így, tanúsítom .. Csak ha valaki üzemeltet egy ilyen portált, vagy legalábbis a nevét adja hozzá, akkor ne kezdjünk el itt a családról meg egyebekről beszélgetni .. Nagyon kihangsúlyozod ezt a fizetés nélkül dolgot, valóban, fizetés nélküli dolog ez az egész hup és? A linuxforum is az volt anno és most is az, fizetés nélküli dolog, hogy a két portál hol tart az most mellékes. Hogy a két "ember" aki "mögötte" áll (egy egy oldalnak) az már annyira nem mellékes. Az egyik mondja, hogy a család és hogy "mennyi enerigát fektettem én ebbe az egészbe" a másik meg mondja hogy "hát itt van tessék használni.".

Érezzük a különbséget.... LF manapság kuka, de anno régen együtt futott a HUPpal.

5.2.x lenne jó

https://api.drupal.org/api/drupal/INSTALL.txt/5.x

"Drupal requires a web server, PHP4 (4.3.5 or greater) or PHP5 (through 5.2.x
only; 5.3.x and later versions are not supported) (http://php.net/) and either
MySQL (http://www.mysql.com/) or PostgreSQL (http://www.postgresql.org/). The
Apache web server and MySQL database are recommended; other web server and
database combinations such as IIS and PostgreSQL have been tested to a lesser
extent. When using MySQL, version 4.1 or greater is recommended to assure you
can safely transfer the database."

--
trey @ gépház

Egy oldalon, ahol nagyjából minden nyilvános, kivéve az emailed és a jelszavad, tulajdonképp mi értelme a HTTPS-nek?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

MITM:Pár hete találkoztam egy ismerősnél olyan routerrel ahol "valahogy" átíródott a dns szerver címe és kínai szerverekről töltött be .js fájlokat. (ugye milyen jó ötlet, hogy egy központi CDN domainről töltjük be azokat)
Ilyen esetekben feltételezhető, hogy a malware teljes hozzáférést kapott a routerhez, szóval sima html injection se lehet probléma.

Tehát még ha ügyelsz a biztonságodra és nem látogatsz ismeretlen oldalakat akkor is megeshet, hogy pl. valami 0dayt sebezhetőséget kihasználva megfertőződjön a géped.

Publikus wifiről nem is beszélve, ahol ennek a veszélye méginkább fenáll.

Nem kell túlragozni. Nekem egy Tesco-s lépésszámlálós ora androidos appja tette ezt meg.
Felraktad a telefonra, az eulához nyitott egy böngészőt, valahogy kikavarta belőle a router jelszót, és hajrá.
Más nem lehetett. Rekonstruálható volt az eset.
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

A Google valós célja a https-el feltehetőleg az, hogy csak ő lássa a google analitika (google fontok,...) segítségével (nagyon sokan használják) a honlapok részletes forgalmát, és kizárja az internetszolgáltatókat a részletes forgalom elemzésből.
A biztonsági problémákat viszont összefoglalhatnád, nem mindenki jártas a témában.

Nem ők fogják értelmezni az adatokat:
"Öltönyös urak érkeztek, és kértek egy transzparens portot a BIX, illetve a nemzetközi vonal felé. Ezekre olyan számítógépeket csatlakoztattak, amikhez mi hozzá sem nyúlhatunk" - állítja egy budapesti internetszolgáltató rendszergazdája. Mindez néhány hete történt, de egy másik, névtelenséget kérő informátorunk szerint a berendezések telepítése nem mostanában kezdődött: a Nemzetbiztonsági Hivatal minden internetszolgáltatóval szerződést köt a műszaki hozzáférésről, a lehallgatóberendezéseket pedig a Nemzetbiztonsági Szakszolgálat telepíti. "
- 2002

Egy nem szokványos kérdést is felvetek: ha erőltetjük a teljes interneten arra is a https-t, amire elég a plain text, nem okozunk ezzel feleslegesen jelentős környezetszennyezést, a több CO2 kibocsátást?

Hogyan lehet költséghatékonyan bevezetni a HTTPS-t?
Mennyivel fognak drágulni a tárhelyek?
A tanúsítvány árakat nézve, nem lesz olcsó, főleg ha plusz IP címek is fognak kelleni.

:D

De ugye az megvan, hogy régen (10+ éve) volt itt SSL?

https://web-beta.archive.org/web/20020524135355/https://portal.fsn.hu

Én magam telepítettem, anélkül, hogy itt elmesélték volna nekem, hogy

a) mi az SSL
b) mi értelme van
c) szakik elkezdték volna taglalni, hogy azt hogyan kell telepíteni

Csak akkor meg azért ment a hiszti, hogy miért nincs kikényszerítve, hogy csak az legyen? Most, amikor újra szóba került, akkor felmerült, hogy csak https://hup.hu legyen.

Erre elkezdődött a cimmogás, hogy "jáááéj, ászt nálunk tilcsa a rendszergázdá"

A faszom se tud nektek jót csinálni.

--
trey @ gépház

Az még gond hogy a belépés vissza dob sima http-re. Ott is le kéne venni a http előtagot.

Előre is köszönjük ha megoldható.

Szerk.: Még egy probléma van, a Hupper Firefox kiterjesztés megzavarodik, és https használatakor a bejegyzés címek elé rakja a "first, next, [new]" gombokat, nem pedig utána. Ajnásznak kell jelezni.

Szia!

Még mixed contentet jelez az egyedi google keresőre (http://www.google.com/cse) - ennek https-re való javításával orvosolható a probléma

Illetve a http://www.feedburner.com/fb/a/emailverify -vel van baja. Ez hasonlóképpen megoldható, mivel van https elérése az oldalnak.

Analytics ugyancsak...

Üdv.

Ahogy máshol többen leírták, nem biztos hogy jó ötlet alapértelmezettnek vagy kizárólagos lehetőségnek beállítani a https verziót, mert lehet olyan cég ahol nem engedik a https-t vagy egyéb ok miatt felmerül a hima http verzió igénye.

Az hogy van, innétől kezdve mindenki eldöntheti mit használ. Nem látok benne további problémát személy szerint.

Nem tudom elképzelni hogy 2016-ban valahol - a http engedélyezése mellett - tiltanák a httpst. Gyakorlatilag letiltod vele a böngészést, iparági best-practise átirányítani httpsre. A HSTS preload list - a teljesség igénye nélkül - egy remek lista mi mindent esélyed sincs elérni https nélkül.

A http elérés lehetőségét meghagyni pedig számos veszéllyel jár, ennek elég nagy irodalma van, a HSTS és a downgrade attack kulcsszavakra érdemes keresni. (Ettől függetlenül felőlem maradhat a http, mert egy HTTPS Everywhere böngészőpluginnel elég jól "workaroundolható" a dolog.)

A https mindenképpen üdvözlendő, végre nem muszáj VPN-eznem ha HUP-ot akarok olvasni. :-)

Én úgy tapasztaltam hogy ilyenkor
a) ami nincs whitelisten az saját CA-val MITM proxyzva van
b) ami nincs a whitelisten az tiltva van http-n és https-en egyaránt.

Egyik esetben sem jelent előnyt ha egy weboldal http-n (is) elérhető. Gyakorlatilag iparági best-practise a https kényszerítése.

Persze én is tudok direkt szar hálózatot kiépíteni, elég ha szimplán blokkolom a 443-as portot.

Nagyon jó ez a Let's Encrypt. Most használtam egy sima osztott cpaneles tárhelynél, akik támogatják alapból. Annyi az egész, hogy belépek a cpanelbe, kiválasztam a domaint, issue Let's Encrypt SSL, és kész. 3 hónapig jó csak a tanúsítvány, de utána elvileg automatikusan hosszabbítja a tárhely. Tényleg pár kattintás és 1 perc az egész, ha alapból támogatja a tárhelyszolgáltató, már itthon is van ilyen tárhely, külföldi tárhelyek közül meg már a legtöbb támogatja.