모든 것은 보안 요구 사항, 사용자 선택 및 암시 적 다운 그레이드 위험에 따라 결정됩니다. 브라우저는 사용자 경험 / 편의성의 이름으로 클라이언트 측에서 절대적으로 끔찍한 암호로 넘어갈 수 있기 때문에 서버 측에서 오래된 암호를 비활성화하는 것이 필수적입니다. 당신의 확인 아무것도 만들기 없다 따라 사용자에게 보안 채널에하는 것입니다, 물론, 매우 소리가 안전하지 않은 방법으로 도달 할 수 없습니다.
내가 왜 루비보다 파이썬을 더 좋아하는지에 대한 블로그 게시물 (일반적인 예는 아니지만)이 내가 짜증나거나 대중에게 아는 것이 아니라고 생각했을 때 안전하지 않은 HTTP로 명시 적으로 다운 그레이드 할 수 없다 나는 HTTPS가 사소한 것이라고 가정하여 정당한 이유없이 접근하고 있습니다.
오늘날에는 기본적으로 TLS를 사용할 수있는 기능이 없거나 기존 구현에 갇혀있는 시스템이 있습니다 (이것이 끔찍한 것은 좋지만 [insert embed의 고급 사용자] 여기에 기기]를 추가 한 경우가 있습니다.
재미있는 실험이 있습니다 : 충분히 오래된 TLS / SSL 구현으로 HTTPS를 통해 업스트림 OpenBSD 사이트에서 최신 버전의 LibreSSL을 다운로드하십시오. 당신은 할 수 없습니다. 다른 날에는 2012 년부터 오래된 OpenSSL 빌드가있는 장치에서 시도했습니다.이 임베디드 시스템을 소스에서보다 안전하고 새로운 것으로 업그레이드하고 싶었습니다. 사전 빌드 패키지의 고급 스러움이 없습니다. 내가 시도했을 때의 오류 메시지는 정확히 직관적이지 않았지만 이전 OpenSSL이 올바른 것을 지원하지 않았기 때문인 것으로 추정됩니다.
이것은 유일한 HTTPS의 움직임이 실제로 사람들을 해칠 수있는 한 가지 예입니다. 최근 사전 구축 된 패키지가없고 소스를 기반으로 직접 문제를 해결하려는 경우에는 잠겨 있습니다. 고맙게도 LibreSSL의 경우 HTTP를 명시 적으로 요청하는 것으로 넘어갈 수 있습니다. 물론, 이렇게하면 공격자가 이미 트래픽을 다시 작성하여 소스 패키지를 손상된 버전으로 교체하고 사용자가 찾은 웹 페이지에서 다운로드 할 수있는 패키지를 설명하는 HTTP 본문의 모든 체크섬을 다시 작성할 수는 있지만 여전히 유용합니다. 더 일반적인 경우.
우리 대부분은 APT (Advanced Persistent Thread : 국가 정보 기관을위한 보안 전문 용어 및 기타 리소스가 매우 엄격한 사이버 위협)가 소유하고있는 보안되지 않은 다운로드가 아닙니다. 때로는 wget
가장 일반적인 암호 제품군을 지원하지 않는 상자에 대한 소스 (예를 들어 GitHub의 작은 유틸리티 / 스크립트)를 신속하게 감사 할 수있는 일반 텍스트 문서 나 작은 프로그램을 원합니다 .
개인적으로 다음과 같이 묻습니다. "공개 지식에 액세스하는 것이 괜찮습니다"라고 합법적으로 결정할 수있는 귀하의 콘텐츠입니까? 비 기술적 인 사람들이 실수로 귀하의 콘텐츠에 대해 HTTP로 다운 그레이드 할 수있는 실질적인 위험이 있습니까? 보안 요구 사항, 사용자에 대한 개인 정보 보호 요구 사항 및 사례별로 정보를 선택하여 위험을 감수 할 위험을 이해하는 사용자의 능력에 대한 암시 적 다운 그레이드 위험에 가중치를 부여하십시오. 귀하의 사이트에 대해 HTTPS를 시행하지 않을 이유가 없다고 말하는 것은 전적으로 합법적입니다. 그러나 여전히 일반 HTTP에 대한 유스 케이스가 여전히 있다고 말할 수 있습니다.