tiphareth: Поставили SSL

(Добавить комментарий)

	mipa 2013-03-21 14:08 (ссылка)
	Очень хорошо, но, блин, ведь даже БЕСПЛАТНО (http://www.startssl.com/) уже можно сертификат взять, чтобы не было этих жутких красных алярмов об самоподписанном сертификате. (Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-21 15:32 (ссылка)
	по ошибке там оказался старый сертификат вместо нового теперь вроде все есть (Ответить) (Уровень выше)

	silly_sad 2013-03-21 19:42 (ссылка)
	зачем поддерживать индустрию маразма даже забесплатно? ведь тем самым ты создаёшь спрос на ПУСТОЙ товар. (Ответить) (Уровень выше)

	silly_sad 2013-03-21 19:43 (ссылка)
	напротив надо всячески популяризировать среди юзеров ИГНОР извращённой вывернутой логики x.509 (Ответить) (Уровень выше)

(Анонимно)
2013-03-21 14:13 (ссылка)

Немного рекламы.

С той же самой целью пользуюсь вот этим сервисом http://www.opendns.com/
В свойствах/протокол TCP/IPv4 прописать предпочитаемый DNS-сервер 208.67.222.222 и альтернативный 208.67.220.220

В рекламируемой на вышеприведённой странице платной услуге "Umbrella" особой нужды нет, если Вам необходимо лишь шифрование трафика последней мили в целях защиты от инициатив депутата Пономарёва. Этой цели служит бесплатное приложение http://www.opendns.com/technology/dnscrypt/ (недоступно для линуксоидов)

Обратить внимание на это:

If you have a firewall or other middleware mangling your packets, you should try enabling DNSCrypt with TCP over port 443. This will make most firewalls think it's HTTPS traffic and leave it alone.

If you prefer reliability over security, enable fallback to insecure DNS. If you can't reach us, we'll try using your DHCP-assigned or previously configured DNS servers. This is a security risk though.

Мануал по установке для женщин и детей:

1. Прописать адреса DNS-серверов.

2. После установки поставить галочки в пунктах Enable OpenDNS, Enable DNS Crypt, Fall back to insecure DNS. Пункт DNS Crypt over TCP 443 проигнорировать, если Вы не на Wi-Fi. Замедление скорости при задействовании данной опции составляет 1 с.

3. По поводу совместимости с фейерволами. У меня оказалось достаточным добавления DNS Crypt'a в список доверенных приложений Comodo. Фуривол в маршрутизаторе отключен.

4. Совместимость с Тором находится под вопросом: при попытке подключения к сети Тор с использованием указанных публичных DNS-серверов происходит либо зависание соединения на этапе "Loading relay information", либо соединение устанавливается, но во вкладке "Message log/Advanced" на жёлтом фоне, предупреждающем о некорректной работе приложения, показывает длинный список предупреждений: "Couldn't open .../Tor browser/Data/Tor/cached-descriptors.new for writing: Permission denied. Unable to store router descriptor". Как показывает практика, при полном отсутствии подключения проблема решается перезапуском Тора, при жёлтом предупреждении не делать ничего: сеть работает. Причина, вероятно, в неполной совместимости торовских DNS-серверов с публичными. Я не программист и, соответственно, объяснить это не могу.

5. С JAP'ом совместимо, однако не испытано в переключением JAP в режим Tor.
*При условии, конечно, что у конкретного юзверя достаточно ума и терпения для настройки JAP.

6. С Ultrasurf'ом работает на ура.

Приложение не предназначено для скрытия ip-адреса.

PS.
Интересен вопрос о совместимости в другими типами анонимайзеров - Steganos (хотя сомневаюсь, что в этом блоге халявщиков есть люди, пользующиеся платным Стеганосом) и ещё какие там бывают, неизвестные мне. Отпишитесь о результатах, если есть.

(Ответить) (Ветвь дискуссии)

	(Анонимно) 2013-03-21 21:41 (ссылка)
	Испортил весь пост шестым пунктом. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2013-03-22 09:21 (ссылка)
	Вы имеете в виду не 6-й - Ultrasurf, а то, что DNS Crypt не скрывает айпишник? Нет, пост вполне по теме: Миша пишет о шифровании трафика последней мили, а не об ip-spooffing'e. (Ответить) (Уровень выше)

	twenty 2013-03-21 14:19 (ссылка)
	не работает common name mismatch 'Misha Verbitsky' != 'lj.rossia.org', self signed certificate (depth = 0) (Ответить) (Ветвь дискуссии)

	(Анонимно) 2013-03-21 14:36 (ссылка)
	> не работает > Misha Verbitsky Не вижу противоречия. (Ответить) (Уровень выше)

	tiphareth 2013-03-21 15:32 (ссылка)
	починил (Ответить) (Уровень выше)

	kerzol 2013-03-21 14:37 (ссылка)
	lj.rossia.org uses an invalid security certificate. The certificate is not trusted because it is self-signed. The certificate is only valid for Misha Verbitsky (Error code: sec_error_untrusted_issuer) (Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-21 15:30 (ссылка)
	Спасибо! Поправил (Ответить) (Уровень выше)

	(Анонимно) 2013-03-21 14:43 (ссылка)
	fungi section - уважаю! (Ответить)

hugo
2013-03-21 14:44 (ссылка)

Первый коммент хороший.

А вообще, это частая ситуация, когда человек уходит во что-то с головой, релизит и забывает об одной маленькой детали - что он не держал обратной связи с потребителем.

И получается такой вот пиздец.

(Ответить)

(Анонимно)
2013-03-21 14:49 (ссылка)

Спасибо, будем пользоваться!
Поддерживаю идею насчёт нормального сертификата от StartSSL вместо самоподписанного.
Багрепорт: ссылки с RSS-фида, полученного через HTTPS, ведут на HTTP. И картинка-счётчик комментов тоже по HTTP.

(Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-21 15:33 (ссылка)
	само собой, поправил на sttartssl (он самовыпилился по ошибке) (Ответить) (Уровень выше)

	(Анонимно) 2013-03-21 16:18 (ссылка)
	По https с российских IP-адресов запрещённые страницы LJR будут доступны? Или так же, как по http? (Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-21 18:36 (ссылка)
	так же, как и http юзайте оперу турбо (Ответить) (Уровень выше)

	работает. прекрасно. tisechneg.livejournal.com 2013-03-21 17:05 (ссылка)
	https://lj.rossia.org/users/tiphareth/1681503.html?nc=12 (Ответить)

	ketmar 2013-03-21 18:22 (ссылка)
	а почему не самоподписаный? один хер те, кому ssl надо — поймут. а остальные всё равно жамкают «согласен», когда видят стрёмные окна, они ж читать не умеют. (Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-21 18:36 (ссылка)
	чтоб на вопросы поменьше отвечать, однако (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2013-03-21 18:40 (ссылка)
	интересно, сколько человек спросят, почему же не самоподписаный… (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2013-03-21 19:02 (ссылка)
	только ты же (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2013-03-21 19:44 (ссылка)
	Я Особенный! (Ответить) (Уровень выше)

	silly_sad 2013-03-21 19:44 (ссылка)
	поддерживаю! ты врубаешься! (Ответить) (Уровень выше)

	3d-camper.blogspot.ru 2013-03-21 23:55 (ссылка)
	работает без алярмов (Ответить)

	login по https не открывается (пробую через TOR) (Анонимно) 2013-03-22 01:46 (ссылка)
	https://lj.rossia.org/login.bml вообще не отвечает (пробую через TOR), остальное всё на LJR через https открывается. imz (Ответить) (Ветвь дискуссии)

	Re: login по https не открывается (пробую через TOR) (Анонимно) 2013-03-22 15:34 (ссылка)
	А теперь работает: открывается эта страница для входа. imz (Ответить) (Уровень выше)

	Re: login по https не открывается (пробую через TOR) (Анонимно) 2013-03-25 21:03 (ссылка)
	А сейчас опять через TOR не открывалось https://lj.rossia.org/login.bml (остальные страницы через https и TOR нормально открываются). imz (Ответить) (Уровень выше)

Re: login по https не открывается (пробую через TOR)

imz
2013-03-26 02:11 (ссылка)

Как-то https://lj.rossia.org/login.bml через TOR открывается не всегда.

У меня сегодня через TOR в Chromium оно так и не открылось (а раньше бывало открывалось в Chromium, но не всегда), а в Firefox через TOR открылось сразу. Так же напрямую (не через TOR, сегодня вечером был сайт разблокирован провайдером) открылось.

Возможно, это как-то зависит от того, какой узел использовался на выход из TOR при соединении (или к какому вашему прокси он решил обратиться)...

...или ещё от чего-нибудь.

(Ответить) (Уровень выше)

	c_s_o 2013-03-22 08:03 (ссылка)
	Красавцы просто! Любо-дорого глядеть. Вот тут правило для HTTPS Everywhere состряпал. Всем рекомендую. (Ответить) (Ветвь дискуссии)

	(Анонимно) 2013-03-22 11:51 (ссылка)
	(Ответить) (Уровень выше)

(Анонимно)
2013-03-22 11:03 (ссылка)

Фаерфокс предупреждает (https://wiki.mozilla.org/Security:Renegotiation):
lj.rossia.org : server does not support RFC 5746, see CVE-2009-3555 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555)
Это на сервере 173.208.253.69, на 192.155.89.253 не ругается. Возможно, старый OpenSSL.

(Ответить) (Ветвь дискуссии)

	tiphareth 2013-03-22 12:34 (ссылка)
	там centos но машинка настолько дряхлая, что проще выкинуть, чем переставлять (Ответить) (Уровень выше)

	(Анонимно) 2013-03-26 17:54 (ссылка)
	Странно, у меня сейчас вообще не работает. Провайдер RIPN. А если пытаюсь зайти по IP, работает только главная страница https://173.208.253.70 с сообщением об invalid certificate, внутренние страницы не открываются. (Ответить)

(Анонимно)
2013-05-18 01:39 (ссылка)

На некоторых страницах ссылки кривые (ведут с https на http). К примеру, на https://lj.rossia.org/users/tiphareth/ идёт ссылка на https://lj.rossia.org/users/tiphareth/?skip=20 вместо https://lj.rossia.org/users/tiphareth/?skip=20 (и тоже самое со ссылками на записи, оставить комментарий, и так далее) Что интересно, ссылки с https://lj.rossia.org/users/tiphareth/?skip=20 нормальные: https://lj.rossia.org/users/tiphareth/?skip=40. По видимому, проблема с кешированием? (на https отдаётся закешированный вариант сгенерированный для http) FYI: чтобы ссылки были одинаковыми и на http, и на https (и можно было безопасно использовать единый кэш для http и https), можно использовать protocol-relative url — // вместо http[s]://: //lj.rossia.org/users/tiphareth/?skip=20.

(Ответить)