[ d ] [ b / cu / dev ] [ r ] [ a / ts ] [ ci ] [ gnx / int ] [ misc ] [ dev / stat ]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог] [Главная]

No.886  
С каждым днем моя паранойя всё сильнее и сильнее. Как вы смотрите на запил https?
>> No.887  
Надобно запилить.
>> No.888  
Ну что, что он даст? Ну выпушу я вам само-подписанный сертификат, вы ему поверите? А не хотите такой, башляйте Соусу.
>> No.889  
Ну что, что он даст? Шифрованный хттп трафик по всем хостам до автобуса?
Кэп

Не думаю, что внедряемые сегодня в промышленных масштабах анализаторы трафика способны заниматься подделкой сертификата. Мы ж не от целенаправленной атаки защищаемся, няш.
>> No.890  
>>3
https://www.startssl.com/ выдаёт бесплатные сертификаты же.
>> No.891  
Ну если ваша паранойя переживет левый УЦ (у меня его, кажется, нет в фуррифоксе)...
>> No.892  
Я так и не понял, мы что-то порешали, няши?
>> No.897  
http://410chan.org/secure/sm.crt сертификат УЦ.

После установки можно ходить по https://410chan.org

Можно и без установки сертификата, но любой вменяемый браузер покажет предупреждение.
>> No.898  
Страницы грузится довольно тормознуто.
>> No.899  
>>8
Теперь надобно по радио зачитать фингерпринт же.
>> No.952  
Это, Соус, а ты OpenSSL обновил?
http://habrahabr.ru/post/218609/
>> No.953  
http://filippo.io/Heartbleed/#410chan.org:443 https://www.ssllabs.com/ssltest/analyze.html?d=410chan.org
Ну вы бы хоть сказали, что всё теперь хорошо, чтобы пассажиры не волновались.
>> No.954  
Кто здесь?

_Пассажиры_
>> No.1009  
(Код ошибки: sec_error_inadequate_key_usage) Почему https мог сломаться? Браузер, набор аддонов и настройки всего этого не менялись (разве что обновления). Только сменился способ подключения к интернетом на, простите за выражение, 3g-модем.
Ещё у кого-нибудь?
>> No.1010  
https://bugzil.la/991902#c2
Мозилла намутилла, но, будет время, погляжу.
>> No.1011  
(Код ошибки: sec_error_inadequate_key_usage) Эта лабуда появляется после обновления на 31-ю версию, но так же внезапно сама проходит.
>> No.1012  
>>16
А с Iceweasel 31 ничего не ломалось.
>> No.1013  
Вот ещё на багзилле: https://bugzilla.mozilla.org/show_bug.cgi?id=956643
Пока можно удалить сам сертификат, потом зайти и добавить исключение. Так оно работает, вроде.
>> No.1074  
Соус-кун, у тебя сертификат истёк, сделай новый.
>> No.1075  
Ну сделай же!
>> No.1076  
Не надо.
>> No.1077  
Есть такая штука -- letsencrypt.com. Если запустят -- будет очень круто.
>> No.1139  
Это, Суос, а HSTS на 410чан - это сложно?
А то пытаюсь я тут сам себе сертификат подменить (испытываю оружие врага), а оно мне разрешает добавить исключение. Нехорошо.
Планируется ли внедрение его после восстановления разметки?
>> No.1257  
Почему может ругаться на хттпс? Сертификат установлен. По простому http не хочет работать, на https редиректится и вот такую лабуду пишет: https://410chan.org/b/src/147128521320.png
Лиса установлена из плейпаркета, ведроид - CM 12.1. В какой момент оно сломалось - не заметил.
>> No.1258  
>>27
Разве что нечто слетело из-за обновлений браузера, потому что ничего не менялось.
>> No.1260  
>>28
Судя по всему, мобильная лиса в самом деле почему-то перестала воспринимать сертификат супермаркета. Здорово было бы, если бы кто-нибудь проверил и подтвердил или опроверг. Вылечилось установкой костыля "Client Certificate Manager" (https://addons.mozilla.org/en-us/android/addon/client-certificate-manager/ ), хотя оно вроде как должно всего лишь отображать левые сертификаты и давать их удалять.
>> No.1261  
самоподписанный сертификат Это даже не смешно. Лучше уж никак, чем так. Дорогой Соус, ты вообще осознаешь, что делаешь?
>> No.1262  
>>31
Так не пользуйтесь.
>> No.1263  
>>32
Что мешает подключить Let's Encrypt?
>> No.1334  
Пришёл сюда с вопросом о самоподписном сертификате и просьбой запилить Let's Encrypt — а всё уже вопрошено и попрошено. Присоединяюсь к анонам выше.
>> No.1335  
>>34
Сколько платят то за рекламу этой херни?
>> No.1336  
>>35
Нисколько же. А какие ещё варианты?

Самоподписный — это моветон, далеко не везде можно добавить исключение или свой сертификат в систему. И движение идёт в сторону отмены исключений вообще, чтобы неумные пользователи не велись на разводки.

Платные — на этом моменте Ӂымми Ўэйлс окончательно грустнеет. Тем более никто покупать и пилить не будет.

StartSSL и Comodo — просрали все полимеры (гуглится).

Остаётся mozilla как бесплатный и доступный вариант. Единственное, что нужно — разобраться как в крон добавить скрипт на автопродление каждые три месяца. Ну или ручками, если совсем паранойя.
>> No.1368  
Совус, няша, у тебя 29-12-2016 сертификат истекает. Напоминаю зараннее.
>> No.1370  
Соус-кун, пришло время продлить сертификат. Сертификат сам не продлится!
>> No.1371  
Самоподписанный хоть продляй хоть нет, лучше он от этого не станет.
>> No.1372  
>>39
Обязательно станет.

>>38
Соус-кун, продли обязательно.
>> No.1439  
410chan.org использует недействительный сертификат безопасности.

К сертификату нет доверия, так как сертификат его издателя неизвестен.
Сервер мог не отправить соответствующие промежуточные сертификаты.
Может понадобиться импортировать дополнительный корневой сертификат.

Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
>> No.1440  
>>41

>>8
>> No.1441  
>>42
Почему нормально подписать нельзя было?
>> No.1444  
>>43
Потому что HTTPS существует неофициально, и планов делать полноценный у нас нет.
Самоподписанный же может быть убран в любой момент по тем же причинам.
>> No.1473  
Присоединяю свой неанонимный голос к хору анонимов, просящих о появлении у 410чана сертификата безопасности, «Let's Encrypt» выданного.

Средств для автоматизации выдачи такого сертификата (и не одной только выдачи его, но также и автопродления по мере нужды) есть уж превеликое множество разных, так что достаточно выбрать одно готовое средство по своему вкусу и запустить.

При этом сертификат «Let's Encrypt» ничуть не хуже годится на роль «существует на 410чане неофициально, может быть убранным в любой момент», но зато он имеет то очевидное достоинство, что не требует от читателя настройки браузера на доверие сертификатам, выданным «Супермаркетом». (Читатели бывают разные, не всѣ из них способны счесть «Супермаркет», по сравнению с Фондом Мозиллы, более способным устоять перед искушением выдать следующий сертификат на чужое имя фишингу какого-нибудь GMail, или онлайновых криптовалютных кошельков, или соседних недружественных имиджбордов, или что там ещё подсказывает фантазия усомнившихся маловерных.)
>> No.1474  
>>46
LE не умеет (пока?) в alt.dns
>> No.1475  
>>47

Дык что с того?
>> No.1476  
alt.dns
што

Если ты имеешь в виду расширение subjectAltName, то Let's Encrypt его поддерживает с самого начала.
>> No.1478  
Я не знаю, зачем вы опять возбудились.
Сертификат, чтобы оно работало, ставить в систему необязательно, можно просто добавить исключение для сайта.

ЛЕ выдаётся на один домен, а у нас их два, если кто забыл, так что подите к чертям.
Вам уже сказано, что мы в курсе этого всего.
>> No.1479  
ЛЕ выдаётся на один домен
Отказ. В одном сертификате можно указать до 100 доменов.
>> No.1480  
Please donate for comodo or gtfo.
>> No.1481  
>>52
Не не может мой Соус быть таким хамло~м.
>> No.1482  
>>50

ЛЕ выдаётся на один домен, а у нас их два, если кто забыл
Я, я забыл!

Какие два домена имеются в виду?

И далее: коль скоро получение сертификатов «Let's Encrypt» бесплатно, то не возможно ли получить сколько угодно сертификатов, хотя бы и приходилось по одному сертификату на один домен? — кажется, это вполне возможно.
>> No.1483  
>>53
Это не я, но вообще он всё правильно написал.
>> No.1485  
>>54
SNI в некоторых браузерах работает через жопу, но пункт, что можно получить один сертификат на несколько имен я пропустил. Подумаю.
>> No.1486  
Тем не менее, донатить не забывайте.
>> No.1495  
Посмотрел табличку https://en.wikipedia.org/wiki/Server_Name_Indication#Support и киваю головою: у пользователей Windows XP могут быть проблемы.

(Ну посидят на HTTP тогда.)
>> No.1631  
Не помню, был ли HSTS-заголовок раньше, но я зашёл сейчас в консоль и увидел:
Strict-Transport-Security: The connection to the site is untrustworthy, so the specified header was ignored.[Learn More https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security ] When your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header. Видимо с исключением он всё равно игнорится.
>> No.1644  
И это очень правильно, потому что надо «Let's Encrypt» напилить, а не заморачиваться самоподписыванием.

Тем более что это с каждым днём упрощается. Появление web-интерфейсов наподобие https://zerossl.com/ сокращает время получения SSL-сертификата от «Let's Encrypt» буквально до нескольких минут (достаточно сгенерировать файл-подтверждение, затем положить на сайт, ткнуть кнопку и дождаться реакции) — ну, может быть, в первый раз до десятка минут, потому что надо же наперёд прочесть инструкцию по употреблению web-интерфейса.
>> No.1645  
https://zerossl.com/
Родина им дала автоматизацию - пользуйся! Не хотим, хотим возить мышкой.
>> No.1647  
>>61

Мы не знаем, каковы условия хостинга имиджборды.

Случается так, что на хостинге есть только PHP, тогда как написанные на PHP клиенты letsencrypt хотят (как https://github.com/analogic/lemanager например) ещё docker, или же им (как https://github.com/kelunik/acme-client например) нужна достаточно новая версия — PHP 5.5.

А на просторах нашего Отечества нередко случается так, что подготовкой кода к новой версии PHP никто не занимался годами, и в итоге сайт реально ломается при переходе на новую версию PHP и притом в команде поддержки сайта никто не понимает почему.
>> No.2001  
Давно не заходил, а тут наконец запилили Let's Encrypt.

Спасибо тебе Совус, ты лучший! ^^



[ d ] [ b / cu / dev ] [ r ] [ a / ts ] [ ci ] [ gnx / int ] [ misc ] [ dev / stat ]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог] [Главная]