The SSL Certificate Authority in Greece that is 1 of 2 certificate authorities in the world that provides certificates for .onion domains has told me they intend to revoke the https:// certificate for our Onion domain for unspecified violations of some clause. I've thread through it and I have no idea what they're talking about.
I have literally never heard of a CA revoking an SSL certificate before.
Ваш TLS тормозит?
Не беда! Мы придумали вариант TLS в виде наклейки с надписью «секурно»!
https://news.ycombinator.com/item?id=16667036
Самая писечка в том, что «рядовому пользователю» этот tls fingerprinting вообще по хую: у него браузер хром, собранный гуглом под винду. Таких как они — миллионы, он практически невидим.
А вот страдать от этой хуйни будут те самые пердолики, у которых нибыдляцкие браузеры, собранные хуй знает как, да скрипты автоматизации, сделанные на известных библиотеках. И чем краснее у пердолика глаза, тем уникальнее его отпечаток. Свои резалки трекеров, куков и джаваскриптов они могут себе только в жопу засунуть: их identity сливается еще до того, как с сервером будет установлено соединение.
В сегодняшней рубрике «эсосэл обосрался»:
curl https://rsload.net/
Секурные хуесосы и прочие любители подолбиться в SSL среди бела дня, ваш выход.
Вот приходит ко мне человек и жалуется, что очередная кривая хуета — https://stroi.mos.ru/news/rss — не работает в моем поделии.
А не работает она потому, что на cURL'е сделана. Можете нажать и сами убедиться:
curl https://stroi.mos.ru/news/rss
Разумеется я, как человек нормальный, тянусь к кнопке «отключить проверки SSL на хуй», так как понимаю, что тем самым никогда в жизни не скомпроментирую ни одного байта информации — она и так, блять, вся публичная.
Но мне интересно, че вы спизданете по этому поводу, и как правильно писать багрепорты в спортлото о том, что у них SSL не SSL.
Похоже, понял, почему у комара нету SSL.
При запуске композ-файла docker-compose-ssl.yml из репа https://github.com/sameersbn/docker-redmine мы получаем SSL_ERROR_RX_RECORD_TOO_LONG, подробнее в причине ошибки буду разбираться позже, но сертификат там генерируется ка-то по еврейски. Та же самая проблема у меня на https://www.mcst.ru, а у них там то понос, то золотуха, вангую, что это обычный докеризованный сает в ДЦ
(bazar@ao756:~$ curl -v -A "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0" mcst.ru
>Server: Apache/2.2.22 (Ubuntu))
(пользовали бы они хойстинг, а не ВПС, проблемы бы не было, там одну капу нажать надо). Похоже, комар как-то захотел деплойнуть джекилльца, а с сертификатом получил ту же ошибку, и вынес его нахуй.
Апшеронский фенотип - это, конечно, проблема для программиста.
TIL: http://www.rutschle.net/tech/sslh.shtml
Да, оказывается не надо ебаться в глаза конфигами haproxy
Короче, в новом Subscriber Agreement ничего сильно нового не ввели:
- поуточняли некоторые формулировки;
- указали, что сертификаты можно распространять и копировать;
- пытаются через условия соглашения заставить вас не ставить 777 на все директории и вообще быть более сознательными security-wise;
- клятвенно обещают, что сгенерированные вашим компьютером ключи (байтики) — ваша собственность (а сертификат принадлежит ISRG, кстати говоря);
- специально для аутистов указано, что юзать сертификат после его отзыва низя. Для супер-аутистов также есть отдельный пункт про то, что приватный ключ после отзыва сертификата использовать тоже нельзя;
- чуют, что текста как-то слишком много, поэтому пункт о privacy policy сократили и начали ссылаться на другие свои документы, которых уже целый зоопарк;
- теперь если на вас кто-то пожалуется и ваш сертификат отзовут, то всё, его уже не вернут, даже если докажете, что ISRG была неправа (раньше ISRG оставляла за собой право как отобрать, так и вернуть);
- обещают отозвать сертификат, если вы его используете для криминала или перехвата трафика других.
В StartEncrypt, недавно релизнутым клоном Let's Encrypt от StartCom, обнаружена целая куча дырок: https://www.computest.nl/blog/startencrypt-considered-harmful-today/
Запустил я значится certbot с letsencrypt, он мне наделал 4 файла:
```
cert1.pem
chain1.pem
fullchain1.pem
privkey1.pem
```
У софтины на сервере 3 файла:
```
... .tls.crt
... .tls.dh
... .tls.key
```
Но, ЧСХ, самоподписанные, из-за чего я и полез на letsencrypt.
Как из первых четырёх сделать вторые три?..
А http://letsencrypt.org/ даёт сертификаты, которыми можно подписывать свои сертификаты? Или у них можно получать много сертификатов на разные хосты?
Хочется использовать для разных сервисов разные сертификаты, чтобы, если один похекают, не компромитировать остальные. Сейчас правда сервис только один, но потенциально...
Любопытный пост о том, как модель Let's Encrypt может быть расширена для выдачи OV- и EV-сертификатов.
Цоперайт © 2010-2016 @stiletto.