Использование на сайте защищённого протокола https вместо http. Эта мера будет полезна хотя бы на этапе ввода пароля, чтобы защитить его от перехвата. Плюс ко всему, большее доверие к сайту, благодаря зелёному замочку в адресной строке. К тому же это ничего не будет стоить, в 2017 году сертификат типа "domain validation" можно получить абсолютно бесплатно.

Кстати, не подскажете, где можно получить SSL-сертификат бесплатно и сразу на год, хотя бы DV?
А то чего-то мне не сильно нравится, что гугл форсит свою тему с https, заставляя владельцев отстёгивать лишнее бабло.

un4given, а как гугол форсит? На выдачу влияет?

Зачем на год серт, все уже давно переехали на letsencrypt, перевыпускай хоть 5 раз на день, серт действует 3 месяца, халявный, простое подтверждение хоть на базе DNS, хоть через вебсервер. За letsencrypt уже давно "вписались" google, facebook, cisco, mozilla, так что можно не бояться за то что "а вдрух сдуются". По итогам 2016 они изменили огромную часть интернета, предоставля халявные серты (перевели около 30 миллионов доменов на грин серты) и каждый день у них прирост в сотнях тысяч новых клиентов. А простой https ничем не поможет от перехвата, это уже не гарантия защиты, давно есть инструменты подмены сертификатов, только небольшое усложнение для злоумышленника. Надо на TLS, http/2 переезжать

Да кому из тех, кто может перехватить ваш http-трафик, сдался ваш пароль от КГ? Ровно как и зелёный замочек, для тех, кто понимает, что он означает. В принципе, можно, конечно, но насколько это нужно? Разве что в выдаче гугла, кажется, https-сайты в целом имеют больший приоритет, чем http.

Впрочем, без защищённого протокола теоретически возможна MITM-атака, при которой на странице дозаправки вас будут перенаправлять не на тот кошелёк.

я такого не припоминаю за собой.
я возможно говорил о том, что сейчас любой дурак может зайти в гугл и показаться умным, но это никоим образом не говорит о крутости Гугла.


Я уже давно в курсе о бесплатных 90дневных сертфикатах, просто вы не умеете смотреть вперёд.
Сейчас они бесплатны (нужно же народ подсадить на это дело), но потом они волшебным образом сделаются платными, только не сразу, а уже тогда, когда спрыгивать обратно будет поздно. Вы как маленькие, всему вас учить нужно.

Ну вот когда сделают, тогда и будешь писать, что гугол заставляет отстёгивать лишнее бабло. Сейчас это выглядит как спекуляция, потому что за letsencrypt помимо гугла стоят ещё 33 компании, из которых далеко не все ноунеймы. И тащемта, переехать назад на http никто не мешает, если вдруг что-нибудь с letsencrypt случится.

Я конкретно имел в виду следующее: гугол форсит свой драный хттпс где надо и где не надо
Тем самым косвенно вынуждая владельцев сайтов тратить лишнее бабло на сертификаты. Это ведь у нас, братьев-славян, менталитет из разряда «как бы так на халяву чего-нибудь поиметь?», но много кто просто тупо заплатит денег, чтобы решить эту проблему.

Это во-первых, а во-вторых: сертификаты по 90 дней − гемор ещё тот. Конечно, когда у вас один сайт (или вообще ни одного, лол), то можно каждые 3 месяца переполучать сертификат, ок. Но что делать, когда этих сайтов десятки? И, самое главное, ради чего?

cron/systemd ?

У Let's Encrypt же есть инструмент для автоматического управления сертификатами - Certbot, настроили один раз и забыли про него.

certbot не лучший клиент, тянущий за собой python с зависимостями, его только в контейнер запихивать, как вариант. Есть минималистичные клиенты, типа lego на Go и др., но не суть. Сейчас перевыпускать сертификаты на сотни доменов проще простого. Это будет происходить автоматически, единственные первоначальные телодвижения по внесению записи в dns зону, как самый простой вариант подтверждения. И все. Далее как и сказал agile, хоть раз в сутки переполучай по расписанию или через сколько-то дней, тем же at.
Гугл правильно делает, что форсит тему, они двигают прогресс и делают интернет хоть немного безопаснее. Если бы они не предоставляли альтернативу, типа иди в Комодо, покупай гринсерт, а то и траться на wildcard сертификат, если нужны поддомены, тогда уже другой разговор. Была бы причина их пинать.
Про глобальный замысел обмана, с целью подсаживания, а затем развода - полнае ерунда. Это изначально некомерческая организация, созданная членами Mozilla, с целью сделать интернет безопаснее. Ну, допустим такую совершенно утопическую ситуацию, когда гугл и ко решат кинуть владельцев доменов. Ну тогда есть альтернативы, у того же Comodo Positive SSL, за какие-то копейки в год (3$ вроде).
Короче надуманая проблема, никаких материальных затрат от владельца домена не потребуется, один раз настроил и забыл.

Ребята, человек (ТС) в самом начале обосновал причину создания темы, в смысле, чтобы был зеленый замочек, чтобы не перехватили пароль.
Что касается замочка, https соединение идет по определенному порту 443. Если злоумышленник перехватывает трафик и с ним пароль, который хочет сохранить в недосигаемости для злоумышленника ТС, то он естественно перенаправит трафик с этого порта на 80-й, чтобы соединение установилось без шифрования. В данном случае - замочек уведомляет пользователя минимум, по какому порту происходит соединение. Поэтому, ТС тут прав.
Что касается сертефикатов, мне кажеться о них речи не заходило.

да и в полне на разумных сайтах, вдруг, можно встретить табличку: "(тут простыми словами, не помню дословно) У сайта плохой сертификат, поэтому вам туда нельзя..." и думай теперь, 100 раз заходил, а тут нельзя! Вот в чем манипуляция... а видимо просто сайт не пробашлял серт.

что ты опять городишь?)

Ворон, извини, не вижу картинки...
Я горожу, то что написано, читай внятней! )
...опять будет разжижение темы чтоли...

ну если ты в теме ничего не соображаешь, зачем лезешь умничать? Твой бред в комментарии даже пояснять смысла не имеет. Если ты не знаешь каким образом существляется перехват https трафика и дешифрация его, зачем ахинею городить подобную этой:

Если в двух словах - нужно реальзация типа SSL-proxy, вклиниваясь между клиентом и сервером, предоставлять клиенту легитимный сертификат. А не перенаправлять запросы на 80 порт. Создается 2 активных соединения - с клиентом и сервером. В kali есть для этого инструменты типа SSLSplit

)) щя Ворон, я перезвоню... я поясню свою позицию, как освобожусь, лады?!

Можешь не утруждаться. Если мы говорим о ресурсе, который использует https, то стандартное правильное поведение - это перенаправление всех запросов с http на https.
http://gmail.com
http://habrahabr.ru
Действуй! :)