С каждым днем моя паранойя всё сильнее и сильнее. Как вы смотрите на запил https?
Надобно запилить.
Ну что, что он даст? Ну выпушу я вам само-подписанный сертификат, вы ему поверите? А не хотите такой, башляйте Соусу.
Ну что, что он даст? Шифрованный хттп трафик по всем хостам до автобуса? Кэп Не думаю, что внедряемые сегодня в промышленных масштабах анализаторы трафика способны заниматься подделкой сертификата. Мы ж не от целенаправленной атаки защищаемся, няш.
>>3 https://www.startssl.com/ выдаёт бесплатные сертификаты же.
Ну если ваша паранойя переживет левый УЦ (у меня его, кажется, нет в фуррифоксе)...
Я так и не понял, мы что-то порешали, няши?
http://410chan.org/secure/sm.crt сертификат УЦ. После установки можно ходить по https://410chan.org Можно и без установки сертификата, но любой вменяемый браузер покажет предупреждение.
Страницы грузится довольно тормознуто.
>>8 Теперь надобно по радио зачитать фингерпринт же.
Это, Соус, а ты OpenSSL обновил? http://habrahabr.ru/post/218609/
http://filippo.io/Heartbleed/#410chan.org:443 https://www.ssllabs.com/ssltest/analyze.html?d=410chan.org Ну вы бы хоть сказали, что всё теперь хорошо, чтобы пассажиры не волновались.
Кто здесь? _Пассажиры_
(Код ошибки: sec_error_inadequate_key_usage) Почему https мог сломаться? Браузер, набор аддонов и настройки всего этого не менялись (разве что обновления). Только сменился способ подключения к интернетом на, простите за выражение, 3g-модем. Ещё у кого-нибудь?
https://bugzil.la/991902#c2 Мозилла намутилла, но, будет время, погляжу.
(Код ошибки: sec_error_inadequate_key_usage) Эта лабуда появляется после обновления на 31-ю версию, но так же внезапно сама проходит.
>>16 А с Iceweasel 31 ничего не ломалось.
Вот ещё на багзилле: https://bugzilla.mozilla.org/show_bug.cgi?id=956643 Пока можно удалить сам сертификат, потом зайти и добавить исключение. Так оно работает, вроде.
Соус-кун, у тебя сертификат истёк, сделай новый.
Ну сделай же!
Не надо.
Есть такая штука -- letsencrypt.com. Если запустят -- будет очень круто.
Это, Суос, а HSTS на 410чан - это сложно? А то пытаюсь я тут сам себе сертификат подменить (испытываю оружие врага), а оно мне разрешает добавить исключение. Нехорошо. Планируется ли внедрение его после восстановления разметки?
Почему может ругаться на хттпс? Сертификат установлен. По простому http не хочет работать, на https редиректится и вот такую лабуду пишет: https://410chan.org/b/src/147128521320.png Лиса установлена из плейпаркета, ведроид - CM 12.1. В какой момент оно сломалось - не заметил.
>>27 Разве что нечто слетело из-за обновлений браузера, потому что ничего не менялось.
>>28 Судя по всему, мобильная лиса в самом деле почему-то перестала воспринимать сертификат супермаркета. Здорово было бы, если бы кто-нибудь проверил и подтвердил или опроверг. Вылечилось установкой костыля "Client Certificate Manager" (https://addons.mozilla.org/en-us/android/addon/client-certificate-manager/ ), хотя оно вроде как должно всего лишь отображать левые сертификаты и давать их удалять.
самоподписанный сертификат Это даже не смешно. Лучше уж никак, чем так. Дорогой Соус, ты вообще осознаешь, что делаешь?
>>31 Так не пользуйтесь.
>>32 Что мешает подключить Let's Encrypt?
Пришёл сюда с вопросом о самоподписном сертификате и просьбой запилить Let's Encrypt — а всё уже вопрошено и попрошено. Присоединяюсь к анонам выше.
>>34 Сколько платят то за рекламу этой херни?
>>35 Нисколько же. А какие ещё варианты? Самоподписный — это моветон, далеко не везде можно добавить исключение или свой сертификат в систему. И движение идёт в сторону отмены исключений вообще, чтобы неумные пользователи не велись на разводки. Платные — на этом моменте Ӂымми Ўэйлс окончательно грустнеет. Тем более никто покупать и пилить не будет. StartSSL и Comodo — просрали все полимеры (гуглится). Остаётся mozilla как бесплатный и доступный вариант. Единственное, что нужно — разобраться как в крон добавить скрипт на автопродление каждые три месяца. Ну или ручками, если совсем паранойя.
Совус, няша, у тебя 29-12-2016 сертификат истекает. Напоминаю зараннее.
Соус-кун, пришло время продлить сертификат. Сертификат сам не продлится!
Самоподписанный хоть продляй хоть нет, лучше он от этого не станет.
>>39 Обязательно станет. >>38 Соус-кун, продли обязательно.
410chan.org использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат. Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
>>41 >>8
>>42 Почему нормально подписать нельзя было?
>>43 Потому что HTTPS существует неофициально, и планов делать полноценный у нас нет. Самоподписанный же может быть убран в любой момент по тем же причинам.
Присоединяю свой неанонимный голос к хору анонимов, просящих о появлении у 410чана сертификата безопасности, «Let's Encrypt» выданного. Средств для автоматизации выдачи такого сертификата (и не одной только выдачи его, но также и автопродления по мере нужды) есть уж превеликое множество разных, так что достаточно выбрать одно готовое средство по своему вкусу и запустить. При этом сертификат «Let's Encrypt» ничуть не хуже годится на роль «существует на 410чане неофициально, может быть убранным в любой момент», но зато он имеет то очевидное достоинство, что не требует от читателя настройки браузера на доверие сертификатам, выданным «Супермаркетом». (Читатели бывают разные, не всѣ из них способны счесть «Супермаркет», по сравнению с Фондом Мозиллы, более способным устоять перед искушением выдать следующий сертификат на чужое имя фишингу какого-нибудь GMail, или онлайновых криптовалютных кошельков, или соседних недружественных имиджбордов, или что там ещё подсказывает фантазия усомнившихся маловерных.)
>>46 LE не умеет (пока?) в alt.dns
>>47 Дык что с того?
alt.dns што Если ты имеешь в виду расширение subjectAltName, то Let's Encrypt его поддерживает с самого начала.
Я не знаю, зачем вы опять возбудились. Сертификат, чтобы оно работало, ставить в систему необязательно, можно просто добавить исключение для сайта. ЛЕ выдаётся на один домен, а у нас их два, если кто забыл, так что подите к чертям. Вам уже сказано, что мы в курсе этого всего.
ЛЕ выдаётся на один домен Отказ. В одном сертификате можно указать до 100 доменов.
Please donate for comodo or gtfo.
>>52 Не не может мой Соус быть таким хамло~м.
>>50 ЛЕ выдаётся на один домен, а у нас их два, если кто забыл Я, я забыл! Какие два домена имеются в виду? И далее: коль скоро получение сертификатов «Let's Encrypt» бесплатно, то не возможно ли получить сколько угодно сертификатов, хотя бы и приходилось по одному сертификату на один домен? — кажется, это вполне возможно.
>>53 Это не я, но вообще он всё правильно написал.
>>54 SNI в некоторых браузерах работает через жопу, но пункт, что можно получить один сертификат на несколько имен я пропустил. Подумаю.
Тем не менее, донатить не забывайте.
Посмотрел табличку https://en.wikipedia.org/wiki/Server_Name_Indication#Support и киваю головою: у пользователей Windows XP могут быть проблемы. (Ну посидят на HTTP тогда.)
Не помню, был ли HSTS-заголовок раньше, но я зашёл сейчас в консоль и увидел: Strict-Transport-Security: The connection to the site is untrustworthy, so the specified header was ignored.[Learn More https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security ] When your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header. Видимо с исключением он всё равно игнорится.
И это очень правильно, потому что надо «Let's Encrypt» напилить, а не заморачиваться самоподписыванием. Тем более что это с каждым днём упрощается. Появление web-интерфейсов наподобие https://zerossl.com/ сокращает время получения SSL-сертификата от «Let's Encrypt» буквально до нескольких минут (достаточно сгенерировать файл-подтверждение, затем положить на сайт, ткнуть кнопку и дождаться реакции) — ну, может быть, в первый раз до десятка минут, потому что надо же наперёд прочесть инструкцию по употреблению web-интерфейса.
https://zerossl.com/ Родина им дала автоматизацию - пользуйся! Не хотим, хотим возить мышкой.
>>61 Мы не знаем, каковы условия хостинга имиджборды. Случается так, что на хостинге есть только PHP, тогда как написанные на PHP клиенты letsencrypt хотят (как https://github.com/analogic/lemanager например) ещё docker, или же им (как https://github.com/kelunik/acme-client например) нужна достаточно новая версия — PHP 5.5. А на просторах нашего Отечества нередко случается так, что подготовкой кода к новой версии PHP никто не занимался годами, и в итоге сайт реально ломается при переходе на новую версию PHP и притом в команде поддержки сайта никто не понимает почему.
Давно не заходил, а тут наконец запилили Let's Encrypt. Спасибо тебе Совус, ты лучший! ^^
- wahaba + wakaba 3.0.9 + futaba + futallaby -