SSL сертификаты - поговорим об этом

вы понимаете различие между http и https ?

 

а вы зачем спрашиваете?

 

8 октября ломанули админку сайта thebell.io
Никакие ssl не помогли - доступ к подпискам перекочевал к хакерам, которые разослали всем подписчикам сайта призыв байкотировать выборы.

Если сильно захотят - шифрования не помогут. А виноваты в любом случае владельцы сайта. Ото и все гарантии...

 

vikaharkov, честно говоря я не пойму, что и кому вы хотите доказать этой своей темой ? колхоз дело добровольное, не хотите ставить сертификат, не ставьте. в чем проблема ?
насчет вот этой статьи которую вы привели выше

проблема решается за 5 минут и без всяких -no check
так что тот кто писал это или не грамотный в этих вопросах или дает заведомо ложную инфу для своих целей.
в связи с этим ваше упорные заявления что за сертификат надо платить и бесплатно его не получить, не имеют никакого обоснования.

 

Вы неверно поняли эту тему - с чего вы взяли, что я тут что-то доказываю? Наоборот, я как раз хочу понять, что это такое , зачем и с чем его едят. Но вы заметили только мои реплики-возражения моим оппонентам, поэтому и сложили у себя неверное представление о сути темы

 

Вот вы сказали про решение некой проблемы за пять минут. В отрыве от той цитаты, что вы привели при этом, хочу сказать, что не совсем так - сегодня уже признают спецы в деле хеширования (правда статья за 2009 год, но всё же), что всё, что базируется на md5 является ненадежным, а те же сертификаты (ну процентов 30 из них во всяком случае, потому что есть разные по уровню надёжности алгоритмы) строят свои алгоритмы именно на md5.

Но мы вероятно говрим о разном - возможно, вы почему-то решили, что у меня некая мелкая проблема в рамках https. Я же сейчас говорю вообще о целесообразности сертификата. Взять например этот сайт - он торгует дополнениями и ему наверное некий сертификат нужен. В тоже время мне этот сертифакт ну не нужен от слова совсем, потому что мы не принимаем денег через сайт и не собираемся этого делать - у нас сайт, это банальная витрина для наших оптовиков на период разных карантинов. Максимум, что они будут делать - формировать заказ и отправлять его в наш реальный магазин. Но вникая в тему я заметила, что меня всё сильней и сильней стали принуждать брать в аренду их сертификат (хотя вы сказали выше, мол, не хочешь не устанавливай). Как принуждают? Пугают людей, заходящих на сайт, надписями в браузере, что мол сайт не надёжен, ограничивают доступ. Почему, спрашивается? И ведь хитрят - надёжность понятие широкое, к ответственности их за это сложно будет привлечь. Из этого я сделала первичные выводы о том, что мне навязывают ненужное для меня и к этому причастны определённые круги владельцев софта, стоящего за сертификацией или кормящиеся от них (кстати, их надежность для меня тоже сомнительна, но я пока не могу на это повлиять).

Как вы понимаете, это всё лирика, но раз вы поставили мне вопрос, то я обязана была прояснить ситуацию и свою позицицию

 

1. вы опять поехали на своей волне и не поняли смысла моего высказывания, а на деле смысл такой, вы привели статью в которой говориться что бесплатный сертификат типа не работает, а я вам сказал, что проблема с работой бесплатного сертификата решается за 5 минут и все работает
2. вы упорно бьете на то что вас принуждают покупать не нужный вам сертификат который по сути никакой защиты не предоставляет, я же вам говорю. поставьте бесплатный и не раздувайте из мухи слона и это принесет пользу вашему сайту.
3. если следовать вашей логике, то вас так же принуждают делать микроразметку, каноникалы и т.д., но вы почему этим не возмущены ))) хотя суть одна и та же.

 

Вообще-то я с этого и начала тему, сказав, что есть не только платные, но и бесплатные сертификаты. Однако потом, в процессе вникания, была встречена инфа про то, что начались наезды на одну из компаний, которая раздавала такие бесплатные сертификаты. Пытаясь понять, что это было - частный случай или спланированный наезд, я решила, что последнее и начала вникать в суть происходящего. Первичные выводы изложила выше

Не совсем корректный пример - за это никто системно не требует денег, не публикует в браузере сообщений об опасности сайта и т.п., поэтому согласитесь, это всё же разные вещи

 

Кстати, пока НИКТО так и не подсказал какие такие ВСЕ защищённые файлы нужно загружать в каталог... Поболтать, поупрекать - мастеров хватает, уже вон вторая страница заканчивается. А простой вопрос прояснить - фигушки...

 

очень даже корректный пример, если нет микроразметки гугл, яндекс ругается, значит минус сайту, вы платите за модуль или за то что бы вам прописали, если нет каноникала, опять минус сайту, значит опять деньги и т.д. так же и сертификат, нету, минус сайту. все один в один.
вы выше писали что типа вас не устраивает что домен типа вы не покупаете а берете в аренду. извините у вас какое то извращенное понятие, вы же не возмущаетесь когда открываете счет в банке и он не ваш и вы платите за его ведение ? так в чем разница счета с доменом и сертификатом ? никакой. вас возмущает что гугл яндекс и прочие указывают вам что у вас нет сертификата поэтому вы не попадаете под их требования ? извините, это их требования и вам или надо их соблюдать или забить на них и не возмущаться почему ваш сайт в одном месте, вы возмущены почему создатели браузеров предупреждают что у вас нет сертификата, опять, это их условия и их требования, вас никто не заставляет их соблюдать и придерживаться.
если вы сняли ролик в котором вы к примеру бегаете по квартире голой и светите всеми своими местами, и ютуб его не пропустил в просмотр, вы так же будете возмущаться что ютуб принуждает вас одеться ? )))))

 

а что вы хотели конкретного услышать ?
в опенкарте НЕТ папки private_html, если она у вас есть, то ваш вопрос надо задавать хостеру, что он имел конкретно ввиду написав сообщение которое вы привели и зачем создана эта папка.

 

Опенкарт же не существует сам по себе. Много каких папок нет в Опенкарте. Но на хостинге (на любом) разные такие папочки системные есть - без них никак. Я так понимаю, у вас сайта на хостинге нет. Но насколько мне известно, private_html папка это системная папка на хостинге, которая предназначена для файлов зашифрованного веб-сайта, при использовании им ssl-сертификата, а public_html папка (или это ссылка) - для файлов сайта который без шифрования. Но суть вопроса ведь была не в этом - суть вопроса была в том, какие файлы и папки перемещать при установке сертификата в эту папочку. Вы ведь на него тоже не ответили и я понимаю вашу реплику так, что вы считаете туда не нужно ничего перемещать. Я вас правильно поняла?

 

ну конечно нет, откуда же ему взяться )))))

вот знаете, только без обид, я вам прямо скажу, большей чуши я еще не слышал ))))
я вам открою страшную тайну, папок private_html и public_html может вообще не быть )))

правильно поняли )))
и я не только так считаю, я знаю точно что нечего перемещать не надо.

 

Они же не кричат каждому вашему посетителю вот так:

как это делает уважаемая мною ранее Мазила

Потому и считаю, что пример не совсем то, что происходит с сертификацией

 

Нет, счетом не возмущаюсь, потому что он и вправду не мой, не моя собственность - я им всего лишь временно пользуюсь, как услугой, и оплачиваю за него, как за услугу. Но когда мне говорят "покупай" сертификат, то это подразумевает вроде как приобретение в собственность, а это ведь не так. Потому я и поправляю иногда тех, кто ведёт разговор о покупке сертификата, как собственности. А на счет доменного имени, то подумала, что может то я тоже не совсем удачный пример привела - всё же имя доменное хотя бы можно перепродать и даже дороже.

 

Да, может не быть, но они как правило есть. И раз у вас есть сайт, то можете дать скрин его структуры корневой, чтобы мы посмотрели, какие бывают сайты без этих папок?

Ну я так скажу - на вашем хостинге возможно так, как вы говорите и вы умудряетесь не использовать ни private_html, ни public_html, но это за рамками общепринятых правил и честь вам и хвала, раз вы так делаете (надеюсь скрин корня, где лежит ваш сайт, вы дадите). Но за рамками правил, не значит лучше. Вон Опенкарт, в нём много косяков, которые тут на форуме люди даже переделывают. Но это не означает, что эти люди умней в части сайтостроения создателя Опенкарта - просто у них появляются рациональней варианты, чем виделось при создании. Возможно когда-то уберут и озвученные нами тут папки, но пока я у себя их вижу (скрин приводила)

 

интересно, а с чего вы взяли, что это общепринятые правила ? вы можете конкретно показать, что это прописано ? я думаю, что вряд ли )))
а насчет скринов, да я вам могу привести не один десяток скринов корней сайтов у которых этих папок и в помине не было и все они прекрасно работают и с сертификатами и без них. ))))
вот вам структуры каталогов с 2 разных серверов и с 2 разных панелей, задача - найдите ваши папки ))) и если судить по вашим высказываниям то это исключение из правил и значит хуже. без обид - ржунемогу ))))
http://joxi.ru/p27ZXLkCnpoxJm
http://joxi.ru/zANMO58c8OBZW2
http://joxi.ru/BA0QK4zTvoJVEr

 

На данных скринах папки названы совсем по другому (но вы почему-то в этом случае не ругаетесь, что это не Опенкарт, как начали это здесь, когда зашли в тему). И это только лишний раз подтверждает моё правильное подмечание, что на сервере в корне сайта могут быть разные папки, которых не стояло при подготовке сайта перед заливкой туда.

И проясните, какой из этих сайтов ваш? Я почему спрашиваю - я проверила сайт openstor.ru, скрин которого вы дали, и как-то странно было увидеть хромающий на предмет SSL сайт у человека, который критикует других на этот же счёт...



Даже полезла в WHOIS, чтобы понять...


Не верифицирован. Шо ж так - другим говорите, что дело пяти минут, а сами держите свой сайт в таком запустении..? Или это не ваш?

 

Нет одинаковой инструкции, все зависит от условий. У одного хостера достаточно нажать одну кнопку, у другого например с панелью ISP нужно загрузить текст ключа в спец поля, у у третьих просто положить в директорию, которую укажут сами хостеры.

 

!!! Некоторые подробности о сертификатах интересующего вас сайта можно узнать здесь
https://www.ssllabs.com/ssltest/
(лучше в Хроме открывать - там на английском, а Хром переводит всю страницу сразу)