Which is run by (unknown)

Так вот кто на самом деле серый кардинал ресурса.

Оно уже давно так смотрится. По ссылке пишут, что это несправедливость и атака :)

Пока проблемы только у гугла: наиндексировал всего, чего попало, а по ссылке когда теперь кликаю (под TBB), должно открыться www.pgpru.com/novosti/2010/planovoedekabrjskoeobnovleniesslsertifikatasajjta?show_comments=1. Вместо этого происходит редирект на страницу https://www.pgpru.com/. Что самое интересное, если скопировать эту ссылку как есть и вставить в строку адреса, то она открывается: хоть напрямую, хоть через TBB. Не знаю, что там мудрит гугл:

openPGP в России / Новости / 2010 / Плановое декабрьское ...
23 дек 2010 ... unknown, т.е. это всё-таки были Вы? :) Я думал, что там должно быть. which is run by SATtva. —, SATtva (17/04/2011 13:02) ...
www.pgpru.com/.../planovoedekabrjskoeobnovl... – Archiv

Archiv — это ссылка https://webcache.googleusercontent.com/search?q=cache:8UzqrHtQX_EJ:http://www.pgpru.com/novosti/2010/planovoedekabrjskoeobnovleniesslsertifikatasajjta%3Fshow_comments%3D1%2B%22which+is+run+by%22+site:pgpru.com&hl=cs&output=search&sclient=psy-ab&gbv=1&ct=clnk. Если на неё кликнуть, то всё же срабатывает редирект на нужную страницу.

Может быть, дело в чём-то типа этого (JS у меня отключен).

Не знаю, что там мудрит гугл

Мудрит не гугль, а SATtva. Вместо нормального редиректа типо такого:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} идёт редирект всех http-запросов на https://www.pgpru.com.

Если пользоваться правилом для HTTPS Everywhere, тогда редирект будет правильный.

Пока проблемы только у гугла: наиндексировал всего, чего попало, а по ссылке когда теперь кликаю (под TBB), должно открыться www.pgpru.com/novosti/2010/planovoedekabrjskoeobnovleniesslsertifikatasajjta?show_comments=1. Вместо этого происходит редирект на страницу https://www.pgpru.com/.

С гуглом подружились, теперь переходы отрабатываются корректно.

А подписать домен — это насколько трудно и долго? Стоит ли ожидать в ближайшем будущем? Или вы считаете, что в силу полного перехода на HTTPS и certificate pinning это стало совсем неактуальным?

В данном случае это просто фенечка, не добавляющая практически ничего сверх того, что есть.

SATtva, чем обсуловлен выбор именно Camellia 256-bit? Разве список предпочтений шифров в сертификате нельзя поменять при смене сертификата?

Выбор шифра зависит от настроек веб-сервера и браузера. Не нравится Camellia — отключайте на здоровье.

Выбор шифра зависит от настроек веб-сервера и браузера. Не нравится Camellia — отключайте на здоровье.

Так это реакция сервера на клиентский список, по умолчанию. Будем твикать браузер, будем выделяться из толпы.

И как и в случае с гуглом, AES более приоритетен для клиента, но гугл и пгпру все равно выбирают что-то другое — менее приоритетное для клиента.

— SATtva (17/06/2012 14:50) профиль/связь <#>
комментариев: 8476 документов: 968 редакций: 1375
отпечаток ключа: ...FAEB26F78443620A

Собственно, теперь мы принудительно работаем через HTTPS. Пожалуйста, сообщайте, если обнаружите какие-либо проблемы, вызванные этим переходом.

А я вот не хочу через HTTPS. Ничем он не спасет, если что случится. С HTTPS только анализ траффика затруднен, и в HTTPS может влезать что угодно, и передаваться что угодно.

Ничем он не спасет, если что случится.

Ну так не полагайтесь на HTTPS, он явно ничем не хуже простого HTTP.

С HTTPS только анализ траффика затруднен, и в HTTPS может влезать что угодно, и передаваться что угодно.

А мужики-то не знают!

Выбор шифра зависит от настроек веб-сервера и браузера.

Почему настройки по умолчанию оказались именно таковы? С гуглом ещё понятно — огромный трафик, накладные расходы, а RC4 быстр, но неужели Camellia быстрее или безопаснее AES?

И как и в случае с гуглом, AES более приоритетен для клиента, но гугл и пгпру все равно выбирают что-то другое — менее приоритетное для клиента.

Тоже хотел сказать это. Доколе?

Это правда, что сертификат привязывает сайт не только к домменому имени, но и к конкретному IP? (Это я про то, что якобы смена IP для сайта с HTTPS сразу выявится браузером). Если же так, то почему Certificate Patrol проверяет только домен (судя по его предупреждениям), а не домен+IP? Наверняка бы это уменьшило количество ложных тревог для сайтов типа гугловских.

Почему настройки по умолчанию оказались именно таковы? С гуглом ещё понятно — огромный трафик, накладные расходы, а RC4 быстр, но неужели Camellia быстрее или безопаснее AES?

А Вам не всё равно? SSL установлен на сайте только для предотвращения перехвата/поддерлки трафика на exit-узлах Tor'а, не более. Что AES, что Camellia обеспечивают идентичный уровень безопасности с учётом нашей модели угрозы. Если кому-то сильно понадобится наш/Ваш/мой трафик, его снимут прямо с сервера — опять же, что AES, что Camellia не играет никакой роли.

Это правда, что сертификат привязывает сайт не только к домменому имени, но и к конкретному IP?

Нет.