id: Гость   вход   регистрация
текущее время 09:06 29/03/2024
Владелец: SATtva (создано 26/06/2010 14:40), редакция от 26/06/2010 14:40 (автор: SATtva) Печать
Категории: сайт проекта, стандарты, x.509, ssl
https://www.pgpru.com/Новости/2010/ПлановоеИюньскоеОбновлениеSSL-сертификатаСайта
создать
просмотр
редакции
ссылки

26.06 // Плановое июньское обновление SSL-сертификата сайта


В ближайшее время будет обновлён SSL-сертификат сайта, новый отпечаток приведён ниже:



 
— Гость (26/06/2010 16:45)   <#>
Firefox'овский "add exception" для нужного сертификата решает "проблему доверия" CA? Помнится, что в топике про узявимость централизованной SSL-модели доверия предлагалось в качестве решения разработать некий плагин – это по сути тот же "add exception" + гибкая кухня в случае смены отпечатков сайтов?

Ещё одна проблема/вопрос такие (помню, что обсуждалось, но не помню консенсус, к которому пришли). При поиске в гугле нужных топиков с pgpru, все (почти все?) ссылки даются на http – на них автоматом щёлкаешь, и сразу даёшь ISP знать, какие топики просматриваются, хотя если заходишь на сайт мануально, указав https, то далее весь браузинг и кликание по ссылкам никогда не переходят на http. В связи с этим хотел бы спроить, в чём издержки полного перевода на https? Может быть, можно настроить свой fw так, чтобы доступ по 80му к домену автоматически перенаправлялся на 443ий – это поможет?
— SATtva (26/06/2010 17:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
в чём издержки полного перевода на https?

В том, что корневой сертификат CACert не поставляется вместе с распространёнными браузерами, из-за чего 99% обычных читателей сайта будут получать предупреждение, а учитывая, насколько паникёрскими сделаны такие предупреждения, большинство людей просто побоятся заходить на сайт.

Может быть, можно настроить свой fw так, чтобы доступ по 80му к домену автоматически перенаправлялся на 443ий – это поможет?

Нет — получите ошибку 400. Ибо HTTP(sic!)-запрос будет направляться на HTTPS(sic!)-порт сервера. Логичнее написать правило для расширения HTTPS Everywhere.
— Гость (26/06/2010 19:34)   <#>
Ибо HTTP(sic!)-запрос будет направляться на HTTPS(sic!)-порт сервера.
Да я понимаю, просто думал, что firefox слишком умный и сам догадается :)

Логичнее написать правило для расширения HTTPS Everywhere.
Вроде работает. Спасибо.

И напоследок, про битый замок из-за того, что часть элементов на странице незашифрована, а потому противник может произвольно менять процент шифрованных и нешифрованных элементов на странице – тоже обсуждалось. Вопрос по поводу выводов: решается ли теперь эта бага средствами privoxy или чего-нибудь подобного, и если да, то хотелось бы увидеть рабочие примеры.
— Гость (26/06/2010 19:39)   <#>
Логичнее написать правило для расширения HTTPS Everywhere.
По поводу данного и других подобнных аддонов: я так понимаю, вся надежда на https-соединение с сайтом, которое, как известно, легко обходится. Хэшей для xpi-пакетов не вижу, pgp-подписей – тоже (видел только для torbutton). В то же время где-то на сайте уже мелькала информация (unknown) о том, что firefox проверяет подписи xpi-пакетов, только если JS включён (какие подписи, если их, типа, нет?).
— SATtva (26/06/2010 20:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
И напоследок, про битый замок из-за того, что часть элементов на странице незашифрована <...> решается ли теперь эта бага средствами privoxy или чего-нибудь подобного, и если да, то хотелось бы увидеть рабочие примеры.

/comment19723
— Гость (26/06/2010 20:38)   <#>
Спасибо. Те три фильтра работают.
— Гость (26/06/2010 21:27)   <#>
Есть ещё такой момент: сертификат выдан на www.pgpru.com (но будет работать и как просто pgpru.com), на что идёт ругань, если зайти как pgpru.com. Вопрос, конечно, рулится вышеприведённым правилом

но для новичков, может быть, стоило бы как-то в сертификате указать оба домена, или сделать принудительный редирект на www-версию?
— SATtva (26/06/2010 21:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Даже если зайти на pgpru.com, переход практически по любой ссылке внутри сайта исправит адрес на www.pgpru.com.
— DDRTL2009 (30/06/2010 17:13)   профиль/связь   <#>
комментариев: 115   документов: 19   редакций: 17
о, уже новый сертификат стоит до 23.12.2010 10:27:00 GMT
— Гость (06/07/2010 07:52)   <#>
Firefox'овский "add exception" для нужного сертификата решает "проблему доверия" CA? Помнится, что в топике про узявимость централизованной SSL-модели доверия предлагалось в качестве решения разработать некий плагин – это по сути тот же "add exception" + гибкая кухня в случае смены отпечатков сайтов?
Никто не хочет ответить? Допустим, что противник MITM'ит соединение с сайтом, предоставляя для pgpru иной серт, подписанный одним из CA внесённых в довереяемые – тогда firefox не покажет никакой индикации по поводу смены сертификата, несмотря на то, что серт уже добавлен в исключения?
— SATtva (06/07/2010 08:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не покажет. Скорее, будет даже рад. :) Для отслеживания подобных несанкционированных замен есть расширение Certificate Patrol.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3