tiphareth: SSL Server Certificate

(Читать комментарии) - (Добавить комментарий)

(Анонимно)
2017-03-17 11:28 (ссылка)

хрому не нравится:

"This page is not secure (broken HTTPS).

Certificate Error
There are issues with the site's certificate chain (net::ERR_CERT_AUTHORITY_INVALID).

Secure Resources
All resources on this page are served securely.

Obsolete Connection Settings
The connection to this site uses an obsolete protocol (TLS 1.0), a strong key exchange (ECDHE_RSA with P-256), and an obsolete cipher (AES_128_CBC with HMAC-SHA1)."

StartCom перестали доверять вроде бы они:

"Chrome 57 now reports the big scary "Your connection is not private" message for most StartCom or WoSign sites. This includes, "Attackers might be trying to steal your information," with the code NET::ERR_CERT_AUTHORITY_INVALID."

https://news.ycombinator.com/item?id=13866234

может, ещё и протоколы/шифры надо подкрутить

rednyrg721

(Ответить) (Ветвь дискуссии)

	tiphareth 2017-03-17 12:13 (ссылка)
	очень странно, у меня под хромом все ок правда, версия 40.0.2214.93_p1 (Ответить) (Уровень выше) (Ветвь дискуссии)

(Анонимно)
2017-03-17 12:21 (ссылка)

на старой версии понятно, что будет ок

пишут же, что "In Chrome 56, this only applied to certificates issued after Oct 21, 2016, but starting in Chrome 57, it applies to all sites that are not part of the Alexa 1M, regardless of when the certificate was issued."

вообще, поскольку сертификат теперь новый (после окт 2016), думается, что и под последней версией файрфокса (>=51) будет не ок, они участвуют в наказании китайцев

"Distrust certificates with a notBefore date after October 21, 2016 which chain up to the following affected roots. If additional back-dating is discovered (by any means) to circumvent this control, then Mozilla will immediately and permanently revoke trust in the affected roots.

This change will go into the Firefox 51 release train."

blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

(Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2017-03-17 13:01 (ссылка)
	а что такое Alexa 1M? не гуглится (Ответить) (Уровень выше)

	tiphareth 2017-03-17 13:02 (ссылка)
	или это верхний миллион сайтов по алексе? тогда мы ок (Ответить) (Уровень выше) (Ветвь дискуссии)

(Анонимно)
2017-03-17 13:22 (ссылка)

да, это верхний миллион

но, как я понял цитату, поскольку сертификат теперь новый, after Oct 21, 2016, он бы не работал и в хроме 56 уже, а в 57 ограничения ещё усилили (добавили старые сертификаты для сайтов не из миллиона)

у vitus wagner было обсуждение, похоже, теперь только let's encrypt остался из бесплатных

vitus-wagner.livejournal.com/1227425.html

vitus-wagner.livejournal.com/1242605.html

(Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2017-03-17 13:25 (ссылка)
	ага, спасибо! через год перейду на let's encrypt, если он еще будет (Ответить) (Уровень выше)

	tiphareth 2017-03-17 12:14 (ссылка)
	но там, действительно, TLS 1.0 интересно, как это правится (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-03-17 12:33 (ссылка)
	Отказом от наебалова и развода лошков под названием "HTTPS". (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2017-03-17 12:59 (ссылка)
	роскомцензура гасит сей сайт без https с https все ок (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-03-17 13:04 (ссылка)
	Ростелеком гасит всё. (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2017-03-17 13:08 (ссылка)
	в москве ок у меня онлайм, но у них роскомцензуру делает rt.ru и по https все доступно, как и из mgts и akado (Ответить) (Уровень выше)

	3d_camper 2017-03-17 17:02 (ссылка)
	Подтверждаю, раньше так было, Ростелеком и сейчас Теле2 просто не пускает, ничего на экране не показывает. Тупо нет соединения. (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2017-03-17 22:23 (ссылка)
	у меня МГТС, https работает (Ответить) (Уровень выше) (Ветвь дискуссии)

	3d_camper 2017-03-17 22:57 (ссылка)
	Раньше и у МТС работало, до сегодняшнего дня (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2017-03-17 23:18 (ссылка)
	не, ну с сертификатом облом-то появился сегодня, просто на хроме его можно обойти (а на firefox - нет). а я думал, что МТС и МГТС - это одно и то же, второе куплено первым. (Ответить) (Уровень выше) (Ветвь дискуссии)

	3d_camper 2017-03-18 13:30 (ссылка)
	Похоже фаерфокс убрал возможность добавлять подозрительные сертификаты. На стадартном убунтовском браузере норм заходит (Ответить) (Уровень выше) (Ветвь дискуссии)

weary
2017-03-18 13:56 (ссылка)

В свежем ff они просто убрали кнопку для исключения, но можно так:

Настройки -> advanced -> certificates (tab) -> view certificates -> authorities (tab), там находим "StartCom Class 1 DV Server CA", выбираем, нажимаем внизу "Edit trust" и отмечаем там как минимум первый пункт (this certificate can identify websites),

скрин

Если его там в списке нет, то вроде бы можно оттуда загрузить: https://www.startssl.com/root (там Intermediate CA Certificates -> StartCom Class 1 DV Server CA)

(Ответить) (Уровень выше)

	(Анонимно) 2017-03-18 03:54 (ссылка)
	Ростелеком вставляет свои пакеты для сброса соединения, но оригинальный трафик пропускает. На рутрекере есть инструкция, как отфильтровать ненужное роутером или фаерволлом. (Ответить) (Уровень выше) (Ветвь дискуссии)

	3d_camper 2017-03-18 13:30 (ссылка)
	понятно (Ответить) (Уровень выше)

	tyumen_kender 2017-03-18 19:28 (ссылка)
	> но там, действительно, TLS 1.0 > интересно, как это правится Добавление TLS 1.2 и 1.3 в конфиги Apache или Nginx https://blog.qualys.com/ssllabs/2015/05/22/ssl-labs-increased-penalty-when-tls-12-is-not-supported (Ответить) (Уровень выше)

	lookatolya 2017-03-17 13:06 (ссылка)
	Михаил Вербицкий рад - Обновил сертификат. Лишь страдает виндузня.. Всех люблю-целую ня %-) (Ответить) (Уровень выше)

	tzirechnoy 2017-03-17 16:30 (ссылка)
	Это просто миша не положыл промежуточный сертификат от старткома: https://ssl-tools.net/certificates/398e1936639ba5206df5179bfbb7010933969400.pem . Его надо положыть в тот жэ файлик, что и основной. (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2017-03-18 22:59 (ссылка)
	че там, как новости у Миши ? а то на хроме приходится каждый раз тыкать в исключения, это не так чтобы увлекательно. (Ответить) (Уровень выше) (Ветвь дискуссии)

tiphareth
2017-03-18 23:17 (ссылка)

промежуточный сертификат не нужно (его никогда не клали, и он лучше не сделает, видимо)
у меня все работает прекрасно, потому что в gentoo все браузеры по дефолту очень старые
но я сделаю let's encrypt, как только будет время разобраться

вообще
https это тупо
https это тупо, тупо
https это тупо
https это тупо, тупо

тупо, тупо, тупо, тупо
тупейше

https это тупо
https это тупо, тупо
https это тупо
https это тупо, тупо

тупо, тупо, тупо, тупо
тупейше

https это тупо нахуй
https это тупо, тупо
https это тупо нахуй
https это тупо, тупо

тупо, тупо, тупо, тупо
тупейше

https это тупо нахуй
https это тупо, тупо
https это тупо нахуй
https это тупо, тупо

тупо, тупо, тупо, тупо
тупейше

тупейше
тупо нахуй
тупейше
тупо, тупо

тупейше

(Ответить) (Уровень выше) (Ветвь дискуссии)

	tzirechnoy 2017-03-20 23:05 (ссылка)
	>потому что в gentoo все браузеры по дефолту очень старые Скорее -- потому, что ты когда-то положыл промежуточный сертификат в /etc/ssl/certs. (Ответить) (Уровень выше)

(Читать комментарии) -