тремере
полифем
неиллюзорный
сладкохуй

хрому не нравится:

"This page is not secure (broken HTTPS).

Certificate Error
There are issues with the site's certificate chain (net::ERR_CERT_AUTHORITY_INVALID).

Secure Resources
All resources on this page are served securely.

Obsolete Connection Settings
The connection to this site uses an obsolete protocol (TLS 1.0), a strong key exchange (ECDHE_RSA with P-256), and an obsolete cipher (AES_128_CBC with HMAC-SHA1)."

StartCom перестали доверять вроде бы они:

"Chrome 57 now reports the big scary "Your connection is not private" message for most StartCom or WoSign sites. This includes, "Attackers might be trying to steal your information," with the code NET::ERR_CERT_AUTHORITY_INVALID."

https://news.ycombinator.com/item?id=13866234

может, ещё и протоколы/шифры надо подкрутить

rednyrg721

на старой версии понятно, что будет ок

пишут же, что "In Chrome 56, this only applied to certificates issued after Oct 21, 2016, but starting in Chrome 57, it applies to all sites that are not part of the Alexa 1M, regardless of when the certificate was issued."

вообще, поскольку сертификат теперь новый (после окт 2016), думается, что и под последней версией файрфокса (>=51) будет не ок, они участвуют в наказании китайцев

"Distrust certificates with a notBefore date after October 21, 2016 which chain up to the following affected roots. If additional back-dating is discovered (by any means) to circumvent this control, then Mozilla will immediately and permanently revoke trust in the affected roots.

This change will go into the Firefox 51 release train."

blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

да, это верхний миллион

но, как я понял цитату, поскольку сертификат теперь новый, after Oct 21, 2016, он бы не работал и в хроме 56 уже, а в 57 ограничения ещё усилили (добавили старые сертификаты для сайтов не из миллиона)

у vitus wagner было обсуждение, похоже, теперь только let's encrypt остался из бесплатных

vitus-wagner.livejournal.com/1227425.html

vitus-wagner.livejournal.com/1242605.html

Отказом от наебалова и развода лошков под названием "HTTPS".

Ростелеком гасит всё.

Ростелеком вставляет свои пакеты для сброса соединения, но оригинальный трафик пропускает. На рутрекере есть инструкция, как отфильтровать ненужное роутером или фаерволлом.

превед, гавноед

затестил из-под тора - работает, если добавить exception

Your connection is not secure

The owner of lj.rossia.org has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

lj.rossia.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. Error code: SEC_ERROR_UNKNOWN_ISSUER

Tor Browser 6.5.1 (based on Mozilla Firefox 45.8.0)

Все мажорные браузеры ему перестали доверять после бага недавнего, который они с китайцами провернули.

летсэнкрипт теперь наше всё


-- Постоянный читатель, ни разу не писал

Firefox 51, Ubuntu Error code: SEC_ERROR_REVOKED_CERTIFICATE

по поводу WoSign/StartCom на генту попалось тут:

bugs.gentoo.org/show_bug.cgi?id=598072

Найден костыль для Firefox - можно добавить доверие промежуточному сертификату:
https://alex-simferopol.org.ua/adminmsg/firefox-51-0-1-blokiruet-sertifikaty-podpisannye-startcom/

ну как, ещё он нужен, чтобы митмом нельзя было спиздить пароли (выходной узел тора, владелец прокси, сорм, провайдер - всем им пароли через http видны, а через https нет)

>внутри РФ он помогает, кажется, только в Москве

это кажется

в конфигах или ключами отключить можно поди
lynx лжероссию открывает сразу, links ругается на сертификат почему-то

Нет, не только в Москве, 1000 км от тоже OK. У какого прова и где, думаю, писать вредно.

Промежуточный сертификат любой браузер умеет выкачивать самостоятельно, адрес лежит в поле Authority Information Access. Поэтому устанавливать его необязательно, но желательно, чтобы сэкономить клиентам запрос.

SEC_ERROR_REVOKED_CERTIFICATE