Означает ли "Безопасное доменное пространство", что я не смогу получить доступ к своему домену по незащищенным протоколам?
Я собираюсь купить домен .dev. Однако регистраторы предупреждают, что это "безопасное доменное пространство" и что мне понадобится SSL-сертификат для домена. Я более чем рад убедиться, что Интернет работает по протоколу SSL, но я мог бы также захотеть подключиться по незащищенным протоколам, например, при использовании моего VPS для игр с друзьями.
Что технически означает "Безопасное доменное пространство"?
2 answers
Что технически означает "Безопасное доменное пространство"?
Ничего особенного, так как это не техническая спецификация.
Вот что происходит.
1) HSTS - это новый стандарт, реализованный многими браузерами, который запрещает им подключаться по протоколу HTTP и принудительно использовать HTTPS. Это либо происходит после первого подключения по протоколу HTTP (сервер отвечает некоторыми заголовками, предписывающими браузеру перезапустить соединение по протоколу HTTPS и продолжать делать это для данного времени - конечно, это уязвимо для первого взломанного соединения) ИЛИ потому, что веб-сайт зарегистрирован в "списке предварительной загрузки HSTS", который затем включается в исходный код браузеров (в этом случае уязвимости нет, так как даже первое соединение будет через HTTPS, никогда через HTTP)
2) Реестр Google решил добавить все свои новые TLD (DEV, NEW, APP) в список предварительной загрузки HSTS. Это означает, что ни один стандартный браузер никогда не будет выполнять HTTP-запрос к любому имени хоста в эти ДВУ
3) По контракту Google Registry заставляет регистраторов отображать сообщение во время регистрации, чтобы предупредить их об этом. Конечно, было бы слишком просто просто объяснить вышесказанное, и вместо этого они просто поставили какие-то расплывчатые маркетинговые термины и даже такую ерунду, как "SSL-сертификат". Каждый регистратор может использовать текст, предоставленный реестром, или любой другой, но реестр обязывает регистратора показывать скриншоты своей проверки перед реестром Google принимает его как достаточно хороший и разрешает регистрацию доменов через этого регистратора.
Короче говоря, все это означает, что из-за добавления Google своих TLD в список предварительной загрузки, если у вас там есть веб-сайт и вы хотите, чтобы к нему обращались обычные браузеры, вам нужно включить HTTPS (и, следовательно, иметь сертификат), потому что он никогда не будет работать по HTTP.
Все вышесказанное не имеет никаких последствий для любых других протоколов (что показывает, что "безопасное доменное пространство" является необоснованным утверждением, ибо любой достаточно умный, чтобы помнить, что домен не обязательно используется для Интернета или не только для этого; к сожалению, часто неправильно думать, что Интернет и Всемирная паутина - это одно и то же), или любой HTTP-клиент, не реализующий HSTS.
Защищенные доменные пространства ДВУ шифруются на уровне домена с помощью HSTS.
Теоретически вы все равно сможете подключиться к нему для игр, но размещенные веб-сайты будут зашифрованы по умолчанию.
HTTP Strict Transport Security (HSTS) - это механизм политики веб-безопасности, который помогает защитить веб-сайты от атак с понижением уровня протокола1 и кража файлов cookie. Источник Википедия