Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


(Анонимно)
2017-12-03 03:03 (ссылка)
P.S. Выяснил. Эта штука зависит от SNI в HTTPS Client Hello - https://en.wikipedia.org/wiki/Server_Name_Indication

Если пользоваться более-менее новым wget, который посылает SNI (extension server_name: lj.rossia.org), то в Server Hello клиенту приходит фейковый сертификат, и если запускать wget с ключём --no-check-certificate то в ответе приходит редирект:

Resolving lj.rossia.org (lj.rossia.org)... 192.155.89.253
Connecting to lj.rossia.org (lj.rossia.org)|192.155.89.253|:443... connected.
WARNING: cannot verify lj.rossia.org's certificate, issued by 'O=Internet Widgits Pty Ltd,ST=Some-State,C=AU':
Self-signed certificate encountered.
WARNING: certificate common name '' doesn't match requested host name 'lj.rossia.org'.
HTTP request sent, awaiting response...
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.4.6 (Ubuntu)
Date: Sun, 03 Dec 2017 00:22:33 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
Location: http://blocked.mts.ru/?host=lj.rossia.org&view=109765136
Location: http://blocked.mts.ru/?host=lj.rossia.org&view=109765136 [following]


Если же юзать стырый wget до 1.14, который не посылает SNI (например, 1.11.4), то сертификат корректный и http-ответ нормальный:

Resolving lj.rossia.org... 192.155.89.253
Connecting to lj.rossia.org|192.155.89.253|:443... connected.
WARNING: cannot verify lj.rossia.org's certificate, issued by `/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3':
Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.11.3
Date: Sun, 03 Dec 2017 00:25:40 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Last-Modified: Sat, 02 Dec 2017 23:00:26 GMT
Cache-Control: private, proxy-revalidate
ETag: W/"cf4c90a073d0409ec070063c82d16477"
Content-Language: ru
Length: unspecified [text/html]


Вывод: это так работает блокировка МТС запрещённых https-сайтов.

(Ответить) (Ветвь дискуссии)


[info]lookatindivid
2017-12-03 03:13 (ссылка)
странный вывод
1) разговор был о ситуации, когда есть доступ к сайту, но сертификат левый. у тебя же провайдер выдает заглушку.
2) "Internet Widgits Pty " не говорит практически ни о чем, нужно хотя бы номер сертификата увидеть.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-03 03:25 (ссылка)
> о ситуации, когда есть доступ к сайту, но сертификат левый

Нет такой ситуации. Если сертификат левый, то отвечает редирект (заглушка провайдера МТС), а не мишин хост.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]lookatindivid
2017-12-03 05:33 (ссылка)
бляяяяяя

"Браузер пишет: мол, lj.rossia.org использует устаревший сертификат. Это провайдер блокирует?
Не могу зайти на lj.rossia.org через https."

я дебил долблюсь в шары
ещё удивился чего это димка написал провайдер блокирует?
весь смысл в расстановке акцентов

радует только, что дебилов более дебильных чем я тут оказалось целых несколько штук
у мтс такая хуйня уже больше года происходит - димка только сейчас обнаружил, потому что софт сменил

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]3d_camper
2017-12-04 23:57 (ссылка)
У МТС недавно стало

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]lookatindivid
2017-12-05 03:49 (ссылка)
где-то давно, а где-то недавно
у них же много узлов связи/серверов по всей стране
и они часто принадлежат разным ООО
на них не одновременно вводят эти изменения

говорил уже, у них в один день на разных концах города сеть по-разному себя ведет
наверное со временем выравнивается, но введение каких-то настроек может отставать на год

(Ответить) (Уровень выше)


(Анонимно)
2017-12-03 03:20 (ссылка)
мммммм, ну то есть ситуация штатная ТИФАРЕТНИК ОПЯТЬ ЗАБАНИЛИ
пиздец я хуею

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:35 (ссылка)
банят банят
всё никак не добанят
красны прокладки мод-тян.

(Ответить) (Уровень выше)


(Анонимно)
2017-12-03 18:38 (ссылка)
на этот раз - особо извращённым способом.

(Ответить) (Уровень выше)


(Читать комментарии) -