| 1.1, A.Stahl (ok), 09:54, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >WoSign и StartCom
В таких новостях было бы любопытно иметь список широкоизвестных сайтов, которые используют такие сертификаты. А то, может, все уже с них перешли и сами УЦ существуют лишь формально на бумаге не выдавая более сертификатов.
| | |
| |
| 2.2, X4asd (ok), 10:06, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > В таких новостях было бы любопытно иметь список широкоизвестных сайтов, которые используют такие сертификаты
не важно что там было на момент написания новости -- сразу после новости уж наверняка все перейдут...
> А то, может, все уже с них перешли и сами УЦ существуют лишь формально на бумаге не выдавая более сертификатов.
а вот к существованию на бумаге -- ещё надо добавить фальшивые сертификаты. то есть так и писать: "существуют только на бумаге, не щитая фальшивые сертификаты"
| | |
| |
| 3.5, _hide_ (ok), 10:32, 31/08/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Ну вот теперь все догадываются, что не нужно вводить никаких законов и никаких Роскомнадзоров - достаточно отозвать сертификат - и сайт тютю.
А с простым HTTP скоро тоже покончат (начнут пугать пользователей сайтов). Про то, что вернуться с HTTPs обратно не просто - я вообще молчу (браузер сайт открывать не будет).
Добро пожаловать, О дивный новый мир, Мы так ждали, грезили и боялись, а ты сам пришел.
Я к чему эту всю истерику: старые сайты, которые, по глупости владельцев, использовали HTTPs теперь стали недоступны из хрома (алгоритмы старые). А кто-то говорил "сеть помнит все"... Эту проблему уже решили в Google - теперь без него очень мало что можно найти, потому что сайты, без поддержки, работают крайне малый срок (10-15 лет - это максимум), а с HTTPs-ом можно срок сократить до нескольких лет. А если старого сайта нет - милости просим в поиск, который Вам подскажет за кого голосовать и что покупать.
| | |
| |
| 4.6, Alexey (??), 11:17, 31/08/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт. В отличие от полной блокировки.
| | |
| |
| 5.9, пох (?), 12:46, 31/08/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт.
это тебе. обычный пользователь, к сожалению, пожмет плечами и закроет непонятное окошко.
> В отличие от полной блокировки.
боюсь, ты недалеко ушел от обычного пользователя - "полная блокировка" представляла собой галочку в настройках, и да, ее можно было вручную сбросить.
| | |
| |
| 6.19, Аноним (-), 18:26, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ты заблуждаешься.
Никаких кнопочек для входа на сайт с заблокированным сертификатом startcom нет ни в фаерфрксе ни в хроме.
Не говоря уже о входе на сайт с выкинутыми из-за компрометации протоколами и алгоритмами шифрования.
| | |
| |
| 7.21, пох (?), 20:13, 31/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Никаких кнопочек для входа на сайт с заблокированным сертификатом startcom нет ни в
> фаерфрксе ни в хроме.
открываем диалог с настройками. Ищем advanced или как там его. Идем в certificates, ищем там "заблокированный" startssl CA (он в "authorities"), тычем в edit trust, возвращаем на место все три галочки, проверяем sub-certs на предмет тех же галочек. Опционально ищем его в хостах, но вроде такого мазила не позволяла себе.
Спрашиваем себя, какого хрена выбирали профессию, связанную с компьютерами, если вам нужна эта инструкция, а не вы можете ее сами придумать.
Ну или апгрейдим фуфлофокс до 58, там все за нас сделано, сайт, разумеется, будет untrusted, добавить его вручную правильней, чем добавлять CA. К тому же у меня вчера ночью протух последний стартовский сертификат из "неблокируемой" серии, а я его получал уже совсем-совсем в последние дни. То есть сайтов с подобными сертификатами уже не должно было остаться в любом случае, или они на днях буквально накроются.
(сейчас стартssl редиректит на стартком, перевыпустить старый серт невозможно, а про стартком CA знает только MSIE)
Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это делали для летсхакёсайт в свое время). У всех все схвачено, или "когда они пришли за евреями - я молчал"?
| | |
| |
| 8.36, Аноним (-), 19:03, 01/09/2017 [^] [^^] [^^^] [ответить] | +/– | Мне не нужна эта инструкция Я писал о том, что у рандомного пльзователя, наткну... текст свёрнут, показать | | |
| |
| 9.39, пох (?), 21:22, 01/09/2017 [^] [^^] [^^^] [ответить] | +/– | рандомному пользователю абсолютно _все_равно_ - наткнулся он на сайт с забаненым... текст свёрнут, показать | | |
|
| 8.37, Аноним (-), 19:05, 01/09/2017 [^] [^^] [^^^] [ответить] | +/– | А для чего Какую проблему это могло бы решить легче, чем просто покупка нового ... текст свёрнут, показать | | |
| |
| 9.40, пох (?), 21:28, 01/09/2017 [^] [^^] [^^^] [ответить] | +/– | чтобы оставить мозилу и гугля с ем нельзя купить новый сертификат CA Надо дат... текст свёрнут, показать | | |
|
|
|
|
|
| 4.12, GG (ok), 15:06, 31/08/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Очередной неасилятор автоматизировать обновление сертификатов.
100% гoвносайтов из твоего примера это гoвносайты на гoвнохостингах.
И работают они именно потому, что гoвнохостинг никуда не сдыхает и продолжает обновлять и поддерживать инфраструктуру.
А ты — просто безграмотное криворукое гoвно, которое не смогло настроить https на своём гoвнохостинге. Лучше бы вместо введение общества в заблуждение осилил бы маны прочитать наконец.
| | |
| |
| 5.13, нах (?), 15:32, 31/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Очередной неасилятор автоматизировать обновление сертификатов.
очередной осилятор запустить чужие неизвестно кем и как сделанные скрипты, тащащие на твой сайт чужие untrusted-данные (осилятор же не слышал о бесконечных remote exec в *ssl при наличии таковых) без твоего личного контроля. И напоследок - делающие эти операции от рута или его эквивалента. Ман он прочитал, ага - "как каждому барану не напрягая межушный ганглий нахаляву получить свой сертификат".
Причем подписанные кем-то, кому доверия нет ни на ломанный грош. "Зато бебебебебезопастно!"
Ну чо, неосиляторы - го платить комоде - там, хотя бы, не нужны автоматические скрипты, запускающиеся раз в три дня, и можно доверять _серфтификату_, если умеешь (а для незамутненных сознаний все еще остается робкая надежда, что комоде ты неинтересен, а купить ее слишком дорого выйдет).
| | |
| |
| |
| 7.22, пох (?), 20:24, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Как будто кто-то заставляет пользоваться certbot-ом.
а какая разница? Там и там у тебя скрипты, а не ты, тащат критичную вещь из сомнительного источника, на полном автопилоте (потому что следить за этим заманаешься и плюнешь).
> Обычный шелл-скрипт, достаточно небольшой, чтобы изучить при желании целиком. Рут не
> нужен,
нужны права на перезапуск веб-сервера, чтобы он перечитал сертификат. "Рут ненужен" - в смысле, если у меня есть такие права, на большинстве систем я уже и так все имею, что хочу, поскольку раз ты закрыл это ssl'ем, значит именно оно и представляет тут ценность.
Ну и отдельная песня - что будет, если вместо сертификата сервер в один непрекрасный день прочитает какую-нибудь пакость.
До кучи - лишаешься возможности защитить ключ паролем, поскольку вводить его тоже некому.
В общем, на всех серверах, где ценность содержимого (или репутации) превышает $80, лучше уж отдать эти $80 комоду. Да, тоже помойка, но недешевая помойка, поэтому за копейку не продастся.
| | |
| |
| |
| 9.27, angra (ok), 00:49, 01/09/2017 [^] [^^] [^^^] [ответить] | +1 +/– |  То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что для отправ... текст свёрнут, показать | | |
| |
| 10.35, пох (?), 15:11, 01/09/2017 [^] [^^] [^^^] [ответить] | +/– | что характерно - те же самые В общем, что один осилятор, осилил недумая запусти... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 2.3, Ilya Indigo (ok), 10:11, 31/08/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Вам, как минимум, понадобится знание китайского, в противном случае для Вас это будет выглядеть как бессмысленная простыня из иероглифов.
| | |
| |
| 3.4, A.Stahl (ok), 10:22, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ну это уже мои проблемы. Хотя, раз уж такое дело, то можно было бы и указать, что эти УЦ работали в основном с китайскими потребителями. Это поумерило бы любопытство.
| | |
| |
| 4.8, пох (?), 12:45, 31/08/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Хотя, раз уж такое дело, то можно было бы и указать, что эти УЦ работали в основном с
> китайскими потребителями.
чушь. Они работали с любыми потребителями, не желавшими платить три-пять сотен долларов за синенькую кляксу, и выдавали им сертификаты, которым можно было доверять - потому что те не менялись раз в неделю. Именно это и надо было уничтожить, ну а задно обеспечить себе простую и легкую возможность установки бэкдоров в любой веб-сервер, кроме, конечно, оплативших. Впрочем, что-что там с симантеком?
| | |
|
|
|
| 1.10, Аноним (-), 13:20, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Следующая новость: компания, владеющая 90% рынком сертификатов SSL, приобретает WoSign и StartCom
| | |
| |
| 2.11, пох (?), 13:31, 31/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Следующая новость: компания, владеющая 90% рынком сертификатов SSL, приобретает WoSign и
> StartCom
зачем? Они уже приобрели всех их коммерческих пользователей, не заплатив за это ни копейки.
А некоммерческих "приобрел" летсхакюсайт или как там его.
| | |
| |
| 3.14, Аноним (-), 15:38, 31/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Сначала позволили WoSign и прочим "ныне неугодным" набрать пользователей, сняли с них стружку самую "сочную", а потом решили запретить этот самый WoSign чтобы забрать всех клиентов себе. Все ок, так и надо работать.
Учитесь делать деньги, товарищи... :D
| | |
| |
| 4.15, Аноним (-), 15:40, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
> а потом решили запретить этот самый WoSign
> чтобы На халяву забрать всех клиентов себе.
Fixed.
| | |
| |
| 5.24, Комод (?), 20:28, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> а потом решили запретить этот самый WoSign
>> чтобы На халяву забрать всех клиентов себе.
> Fixed.
чего это вот "на халяву"? Мы так не договаривались - платите и нам $400 за синенькое с зелененьким, нам -то что с того, что вы уже китайцу заплатил?
| | |
|
|
| 3.16, key (??), 16:17, 31/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
 а что не так с лестенкриптом?
Можно пруфы на небезопасность?
| | |
| |
| 4.20, Аноним (-), 18:55, 31/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты что, это ж главный местный эксперт! Ему надо верить на слово.
| | |
| 4.23, пох (?), 20:26, 31/08/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> а что не так с лестенкриптом?
я уже даже тут трижды перечислял, что с ним "не так".
| | |
| |
| 5.28, Аноним (-), 03:45, 01/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
он о пруфах спрашивал, а не в четвертый раз повторить параноидальные фантазии.
| | |
|
|
|
|
| 1.25, Аноним (-), 20:51, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Какого хрена браузер указывает мне, кому я не должен доверять??
Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум, что разрешаю - ненавязчиво предупредить в уголке, что сертификат мол "по моему мнению ненадёжный".
| | |
| |
| 2.30, Какаянахренразница (ok), 05:33, 01/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > Максимум, что разрешаю - ненавязчиво предупредить в уголке, что сертификат
> мол "по моему мнению ненадёжный".
Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя безопасность в полной ... э ... дыре), и при этом продолжать черепыжить тебя в эту дыру. Я бы на месте разрабов вообще писал: "Этот вебсайт опасен. Мы не будем устанавливать с ним соединение. Хочешь смотреть такие сайты -- скачай себе эксплорер и оставь нас в покое."
| | |
| |
| 3.34, гмозилла (?), 15:05, 01/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя
да, очень ненавязчиво - например, сайт открыть, но неработающий.
Потому что, внезапно, с тех самых пор как всплывающий диалог заменили идиотской страницей (заметьте - во всех браузерах разом) браузеру стало вообще негде тебя предупредить, что он не хочет загружать css. Или js. Потому что они берутся из cdn/сабдомена/еще чего-то, а оно им, видите ли, не понравилось.
Ну или, на крайняк - выдать вместо сайта непонятную ни одному нормальному пользователю страницу с хитро спрятанной возможностью все же заставить продолжить работу (причем на кнопке надо написать любую муру, кроме этой).
> безопасность в полной ... э ... дыре), и при этом продолжать
> черепыжить тебя в эту дыру. Я бы на месте разрабов вообще
скажи, барашек-истеричка - ты сам-то хотя бы раз в жизни видел на самом деле существующий вредоносный сайт, пользующийся поддельным/перехваченным сертификатом?
А то я вот ни одного - а идиотской провокационной страницей любуюсь - каждый день десятки раз.
> писал: "Этот вебсайт опасен. Мы не будем устанавливать с ним соединение.
причем писать так про любой вообще сайт, отличный от гугля, факбука и подконтрольных mailru, правильно, одобряю. Нахрен не надо даже и сертификаты проверять.
> Хочешь смотреть такие сайты -- скачай себе эксплорер и оставь нас
> в покое."
зато бебебебезопасно, да.
| | |
|
| 2.33, гмозилла (?), 14:58, 01/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Какого хрена браузер указывает мне, кому я не должен доверять??
подчиняйся, раб!
> Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум,
> что разрешаю
разрешать ты будешь своему браузеру. А этот - НАШ. И разрешать ему будем мы.
| | |
| 2.41, Аноним (-), 23:54, 01/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Если такой умный — поддерживай свой список доверенных корневых сертификатов сам, никто тебе это делать не запрещает.
| | |
|
|
