кто что знает о коммерческих хуесосилках https?
посоны грят, что там весьма дерзкие штуки делаются, вплоть до подмены сертификатов
ну или давайте конкретнее. Есть два сертификата. Оба с гитхаба (прямо с https://тама) и с вроде как одинаковой цепочкой сертификации (корень — DigiCert High Assurance EV Root CA), но побайтово не совпадают. Один доверенный, второй с пиками точёными и в виде (бумажной) распечатки hex-дампа + asn.1 дерева. Какие байтики проверять? Значения по каким OID должны совпадать?
я нашёл и сверил побайтово OID 1.2.840.113549.1.1.1 в ветке сертификата гитхаба (самой нижней в цепочке) — совпадают все 2048 битиков. Доказывает ли это автентичность подключения?
@anonymous поссал на опущенца, неспособного даже на безэмоционально скроллирование
http://i.imgur.com/ARwQVax.jpg
кароч я нашёл в дампе все пубключи и подписи сертификатов, гитхабовые сверил полностью побайтово, дигисертовые только по (длинным) {пре,пост}фиксам
и итог такой, что банк-хуянк @ секурити-хуюрити, но с гитхабом по HTTPS нихуя они не сделали! сдампленый сертификат seems legit // цифоркам-то я уж точно поверю (в отличие от зелёной хуйни в адресбаре)
остаётся канеш вариант более глобального, более эпичного outside-of-the-box наёба, но я не могу его придумать // кто подскажет — молодец // от меня тому респектосъ
@polecat ну да ващет // я ж писал что банк пиздец // включил 2fa на гитхабе только затем, чтобы банк не смог обхуесосить мой акк тама если спиздит пароль^W^W^W как только это кому-то станет выгодно
@ulidtko tfw понял неплохой плюс байтоебства: способность читать гексдампы
@l29ah да?.. мне кажется, ты как обычно слишком мелко анализируешь. Посмотри-ка повнимательнее на деятельность, ценности, принципы, репутацию DigiCert. Гитхаб не полагается просто так на абы-какие сервисы. Выбору гитхаба я профессионально доверяю.
а вот банковской прокси — нет.
@l29ah ?
@ulidtko ну и вообще, глупо не доверять выбору организации, сайтом которой пользуешься по HTTPS, их же собственного CA без весомого эвиденса