Nasazení http/2 vs "nedostatek" IPv4 a dopad na nabídku a ceny SSL

Ahoj, IETF dokončila standard HTTP/2, vycházejícího z modulu SPDY. Jak jsem pochopil z pár zmínek na netu jej prakticky všechny prohlížeče v TOP 5 již podporují a jakmile se změní situace u webserverů (pominu minoritní H2O atd...), třeba u Apache a Nginx (BTW, ti plánují až konec letošního roku, nechápu proč?), začne se asi provoz po HTTP 2 rozšiřovat. Například Google ale oznámil, že v Chrome výhradně na SSL, myslím že u ostatních bude situace podobná. Zajímalo by mě, jak plánujete tuto situaci řešit a jak se k tomu postaví třeba hostingové firmy. SSL je tady již dlouho a myslím, že prakticky každý, kdo to na webu myslí vážně a využívá nějaké přihlašování, spravuje osobní nebo citlivé údaje, již dávno SSL na svém webu má, což je naprosto v pořádku, ale tady bude dle mě situace jiná.. Firma, provozující web example.cz si zakoupí certifikát pro tuto doménu, co ale jejich blog.example.cz, vývojové betaXY.example.cz, atd.. Nemluvě o jazykových mutcích, kdy je dnes běžně využíváno example.cz + example.de + example.com, resp cs.example.com, de.example.com, atd.. Další věcí je nedostatek IPv4, je tedy běžná praxe využívat UC/SAN certifikáty, kdy se na 1 stroj a pod 1 certifikát strčí více nesouvisejích věcí, případně se koupí wildcard a jede se na doménách III. řádu. Ale k jádru věci. Nabídka SSL certifikátů je u hostingových firem velmi omezená, přičemž předpokládám, že zavedením HTTP/2 se rovnice web = doména + hosting rozroste o automaticky + SSL. Jak to plánujete řešit? Omezíte počet domén, koupíte wildcard pro primární doménu a třeba pro jazykové mutace, blogy, feedy atd budete využívat subdomény? Budete nakupovat sdružené SAN certifikáty pro web + eshop + blog atd? Co na to hostingové společnosti? Plánujete rozšířit nabídku certifikátů? Jako základ bych bral upozornění na končící platnost, možnost plynule měnit počet doplňkových SAN (samozřejmě s nutným přegenerováním).. Očekáváte, že certifikační autority na zvýšený zájem zareagují i nějakou razantnější změnou ceny? Pro mě jako vývojáře jen málokdy končí projekt předáním GIT repozitáře, dost často to pak pokračuje nákupem domény, nasazením na web, oživením. Momentálně "provozuji" asi 10 VPS různých velikostí, takže mě to zajímá hlavně z pohledu uživatele, kdy i SSL budu muset napojovat na nějaké API a přefakturovávat, podobně jako domény a hosting..

Certifikát stojí stovku, což je méně jak doména. Problém to samozřejmě může být u subdomén, ale stejně to není nijak zásadní výdaj. Pro nekomerční weby jde navíc pořídit zdarma StarSSL. Od léta by taky mělo fungovat Let's encrypt, které bude mít certifikáty zdarma pro všechny.HTTPS zkrátka bude standardem a je dobré to řešit s předstihem.Nedostatek IPv4 s HTTPS až tolik nesouvisí. Samostatná adresa je potřeba akorát pro podporu IE8 na Windows XP - všechno ostatní funguje bez vyhrazené IP. IE8 na XP je aktuálně pod 1% a neustále klesá.

Radeji bych vybiral napr. zde - https://www.ssls.com/Pokud má hosting nasazenu podporu SNI, tak již není vyhrazená IP adresa pro HTTPS nutností

To vdusek: :-) A možno by som mal uverejniť našu ponuku ktorá je momentálne len pre klientov verejne, jede by sa čudoval za kolko sa dá u nás kúpiť rovnaký Wildcard ako na spomenutej stránke

Nase penize, Vase skoda ze o tom temer nikdo nevi

Napsal Jamira40;1176784

To vdusek: :-) A možno by som mal uverejniť našu ponuku ktorá je momentálne len pre klientov verejne, jede by sa čudoval za kolko sa dá u nás kúpiť rovnaký Wildcard ako na spomenutej stránke

:-) V PM som poslal bližšie info, cenu viete a ubezpečujem že to bude verejné behom týždňa.

Díky všem, SNI mi je jasné, self-sign certifikáty do rozšíření DANE (pochopil jsem správně, že chromium implementaci zatím odložilo?) jsou však max na bastlení na lokálu, což je i vhodné, protože produkční Nginx má stejně vlastní config, pro lokální mám self-sign CA autoritu a pro každý projekt si tím podepíši vlastní cert, nicméně na nějaké bety, ke kterým má přístup klient, marketing a další je to k ničemu, vysvětlovat proč jim prohlížeč křičí, nebo je nutit přidávat mnou vygenerovaný CA cert do prohlížeče se mi tak nějak nechce :-)Samozřejmě záleží na konkrétním projektu, některý se spokojí se 3 certifikátama za pár stovek, neřeším, na větší mi však stále nezbývá, než pořizovat wildcard v řádu cca od 1 500,-/rok.Simplia a spol jdou bohužel mimo mě, jednak mám na serverech mix single, wildcard i SAN certifikátů, navíc nikde nenašel žádné API, ručně to generovat a hlídat nebudu :-)Momentálně nakupuji také u ssls.cz a v US (resellerzoom).---------- Příspěvek doplněn 13.03.2015 v 19:54 ----------

Napsal Jamira40;1176790

:-) V PM som poslal bližšie info, cenu viete a ubezpečujem že to bude verejné behom týždňa.

Také jsem dostal Vaší nabídku, ceny jsou nižší, ale stejně jako @vdusek jsem zvědavý na provedení administarce a api .)

I-PRESS :-) A čo keby som Vám povedal že to čo ste dostal ide ešte cca o 15-20EUR / Wildcard crt menej ako ste mal uvedené v PMTo už znie lákavejšie nie?

Napsal i-PRESS;1176819

Simplia a spol jdou bohužel mimo mě, jednak mám na serverech mix single, wildcard i SAN certifikátů, navíc nikde nenašel žádné API, ručně to generovat a hlídat nebudu :-)

O API zatím nebyl zájem, tak jsme to ani neřešili. Vzhledem k blížícímu se Let's encrypt, které už bude mít jen API už to ale asi ani nemá význam.

Tak zrovna Let's encrypt jde z mého pohledu úplně proti bezpečnosti, moc jsem to nezkoumal, ale tak nějak jsem vytušil že jde pouze o DV ověření, takže na nějaký blogísek s beruškama oukej, ale na seriozní web patří certifikát, který nejen že šifruje komunikaci, ale také garantuje s kým (samozřejmě pokud důvěřuji vydavateli).. Nechci tu vyvolávat diskusi ohledně přínosnosti těchto nesmyslů, ale myslím že dává spíše pocit falešné bezpečnosti, takže bude spíše kontraproduktivní. U mě půjde jejich CA pravděpodobně spíše blacklist :-)Takže za mě CA vydávající i certifikáty OV či EV s API bude stále potřebná.

Samozřejmě je to jen DV. Není o nic lepší ani horší, než jiné DV. Pokud je cílem jen zabezpečit web proti změnám po cestě a využít moderní protokoly, tak to bude stačit. DV sice není ideální úroveň ověření, ale pořád je to 10000x lepší než HTTP.Na seriózní věci bude potřeba EV/OV, ale na tom se nic nemění. Zkrátka se jen DV přesunou do kategorie "zdarma".