Kodomo

Пользователь

Многие страницы на kodomo публикуются в защищённом режиме. На kodomo используется самоподписанный сертификат (см. ниже, что это значит), что современные версии Firefox и Internet Explorer считают большим грехом.

Это значит, что в первый раз, как вы откроете одну из защищённых страниц, вы увидите довольно грозного вида сообщения, и вам нужно будет выполнить несколько действий (от которых браузер будет вас всячески отговаривать), после которых можно будет об этой теме снова забыть.

Инструкция

См. тж. та же инструкция в виде одной страницы со всеми картинками.

На мой вкус ровно так же следует вести себя и для всех сайтов, которые выдают в точности это же сообщение; к сожалению, есть очень похожее сообщение, которое действительно означает о некоторой опасности со стороны сайта. (См. ниже).

В чём суть

По порядку.

То, что называется "защищённым режимом", означает, что соединение с сервером шифруется (и ничего более). Для шифрования используется протокол https = http over SSL. (Кстати, тот же протокол SSL используется и для ssh, и много где ещё).

Протокол SSL в свою очередь предусматривает, что каждая из сторон может кроме шифрования ещё и предоставить доказательство, что это те, за кого они себя выдают. Такое доказательство называется сертификатом. Чтобы проверить это доказательство, проверяющая сторона (в нашем случае, это браузер) должна знать, что она видела этот сертификат раньше. То есть перед установкой соединений по идее нужно заранее обменяться сертификатами.

Важно отметить, что кроме знакомости сертификата, насколько это можно проверяется ещё и соответствие того, что в нём написано действительности (а в нём написано много всего: адрес сайта, срок годности, формальный адрес организации, e-mail администратора и куча прочего мусора).

В некоторых случаях (например, в рамках одной, но большой организации) осмысленно вместо того, чтобы каждый обменивался сертификатами с каждым, завести одного главного бюрократа, сертификат которого один раз будет получать себе каждый, после чего, этот главный бюрократ будет своим сертификатом ставить "подпись" на чужих сертификатах: "написанному внутри сертификата верить", и тогда перед установкой соединения обмена сертификатами не потребуется. (За всем этим стоит много интересной математики даже если не погружаться в конкретные способы шифрования).

Когда-то и зачем-то решили, что весь интернет тоже является такой вот одной большой организацией. Откуда-то появился список из примерно тысячи организаций, которые за некоторые деньги готовы поставить свою (электронную) подпись на чём угодно (условно говоря), и их сертификаты почему-то оказались прописаны в числе тех, кому доверяют браузеры. Эти организации называют "авторитетами" (certificate authorities).

Сертификаты, на которых не расписался один из "авторитетов", называются самоподписанными (self-signed). Из всего, что написано выше, надеюсь, понятно, что когда вы заходите на сайт с самоподписанным сертификатом, то:

Я надеюсь, из этого более-менее понятно, что "авторитеты", условно говоря, торгуют воздухом.

Вывод: если вы видите сайт с самоподписанным сертификатом, не пугайтесь, и смело "устанавливайте" (т.е. запоминайте в браузере) его сертификат.

Ко всему этому нужно добавить печальное: последнее время браузеры завели себе привычку ровно такими же сообщениями обозначать и ситуацию, несущую в себе гораздо большую потенциальную опасность: когда адрес в сертификате не совпадает с тем адресом, по которому вы открываете сайт, или когда сертификат противоречит тому, что вы уже запомнили о сайте. Получается точь-в-точь как в сказке про мальчика, который всё время кричал "волки-волки".

Мировой заговор

А мировой заговор, собственно, состоит в том, что два самых популярных браузера начиная с совсем недавних времён кричат "волки-волки" во всю глотку в ответ на самоподписанные сертификаты.