Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


(Анонимно)
2017-12-03 02:02 (ссылка)
Уважаемый Михаил Сергеевич, я удивлён, что эта штука дошла до публики только сейчас, хотя провайдеры делают так уже не первый год, и я хуею от отписавшихся выше опытных пользователей, которые обвиняют всё подряд, от палемуна до летсенкрипта.

Как происходит блокировка контента в рашеньке, если коротко:

- Незащищенное соединение (http, порт 80 по-умолчанию): если у провайдера нет dpi, то единственное, что можно сделать - заблокировать по айпи или днс-у. Если у провайдера есть dpi, то можно вытаскивать из запроса конкретный урл и блокировать только его, что и делают, так как по закону надо блокировать именно урлы (за исключением ситуации, когда внесли весь домен). В случае с dpi сайт может открываться, даже имея ссылки в реестре.

- Защищённое соединение (https, порт 443 в браузере всегда). Тут ситуация хуже для провайдера, так как нельзя получить ссылку из запроса, не расшифровывая его. А для расшифровки нужно устанавливать соединение с браузером, который ждёт в ответ сертификат. Так как выписать настоящий сертификат на lj.rossia.org провайдер не может, он использует свой, какой придется. Этот internet pidgits - дефолтное значение для самоподписанного сертификата, который можно сгенерить самому, вот провайдер сгенерил и использует. В итоге получается, что весь сайт имеет некорректный сертификат, так как провайдеру надо перехватывать и расшифровывать запросы ради блокировки.

Никакой полноценной подмены сертификата тут нет, никто не выписывает поддельный валидный сертификат, никто не меняет сертификат на самом сервере. Решение достаточно простое технически, просто прокси перехватывающая, применяется давно.

(Ответить)


(Читать комментарии) -