id: Гость   вход   регистрация
текущее время 20:55 28/03/2024
Владелец: SATtva (создано 13/06/2012 21:04), редакция от 13/06/2012 21:04 (автор: SATtva) Печать
Категории: сайт проекта, стандарты, x.509, ssl
https://www.pgpru.com/Новости/2012/ПлановоеИюньскоеОбновлениеSSL-сертификатаСайта
создать
просмотр
редакции
ссылки

13.06 // Плановое июньское обновление SSL-сертификата сайта


В ближайшее время будет произведена замена SSL-сертификата. Обращаю внимание, что по многочисленным просьбам трудящихся было решено перейти на услуги удостоверяющего центра StartSSL™, корневой сертификат которого присутствует в хранилищах большинства ОС/браузеров.


Отпечатки нового сертификата сайта и УЦ приведены ниже.



 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии [скрыть комментарии/форму]
— unknown (13/06/2012 22:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Заодно для почты pgpru.com пожалуйста, можно донести эту информацию хотя бы только для тех, кто ею пользуется, чтобы не загромождать тему. Но не через саму почту естественно :-)
— Гость (14/06/2012 07:14)   <#>
что по многочисленным просьбам трудящихся было решено перейти на услуги удостоверяющего центра StartSSL
Ох чую подвох, таких трудящихся можно нагенерить когда угодно и кому угодно. И формулировка, ох как хороша, обычно отвечает на вопрос "кому".
— Гость (14/06/2012 07:46)   <#>
по многочисленным просьбам трудящихся
Ох чую подвох
Ну если кто не помнит, это же такой эвфемизм, ещё с советских времён, означающий "по желанию руководства", и я думаю именно это и хотел сказать SATtva, употребляя данное выражение :)
— SATtva (14/06/2012 08:31)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Конечно. Если бы в предложениях о смене УЦ не было резона, мы бы на это и не пошли.

Заодно для почты pgpru.com пожалуйста, можно донести эту информацию хотя бы только для тех, кто ею пользуется, чтобы не загромождать тему.

Для mastermail.ru вроде ничего и не менялось:

— Гость (14/06/2012 11:21)   <#>
Ох чую подвох, таких трудящихся можно нагенерить когда угодно и кому угодно.

  • Опытные будут полагаться на Certificate Patrol, HTTPS Everywhere и проверять отпечатки. Им по сути всё равно, кем подписан сертификат.
  • Новички страшатся всплывающих окон, потому шифрование не использовалось вообще: по умолчанию всё работало на HTTP. Теперь HTTP можно отключить, и будет хоть какое-то шифрование по умолчанию. Кстати, SATtva, это планируется?

Кто-то, конечно, может заявить, что всплывающие окна и куча предупреждений — это хорошо, т.к. гарантирует, что пользователь осознанно понимает на что идёт, и у него есть повод задуматься, кликая на «добавить в исключения», «вперёд» и «ОК». Типа, не будет ложного ощущения безопасности by default. Тем не менее, на мой взгляд, всё же «HTTP по умолчанию» — большее зло.

Я и сам не даю посторонним ссылки с https — пользователи (даже относительно опытные) начинают орать «на сайте вирус! А-а-а! Что это такое? Я не будет кликать ОК» (и всё это, несмотря на мои объяснения). Потом даёшь такому же ссылку с http, и он сразу в благоденствии. У нас же юзеры как собачки вытренированы: если компьютер ругается, значит это плохо, а если нет, то хорошо (всё просто, типа).
— Гость (14/06/2012 11:54)   <#>
Хотя Certificate Patrol — то ли поделка, то ли интерфейс неграмотный. Кликаю на иконку слева от адреса — показывает, что сертификат StartCom. Сверяю отпечаток — он верный. Но C.P. не ругался на смену сертификата. Думаю, то ли из-за того, что я поотключал постоянно нозящие нотификации... хотя вроде их не отключить из интерфейса (на most harm он всегда будет ругаться), да и была недавно его ругань на классику, типа немотивированная смена сертификата на mozilla-сайтах. Впрочем, наверно, тут сертификат сменился, когда устаревал предыдущий, потому C.P. расклассифицировал это действие как harmless и не проинформировал.

Ладно. Лезу в настройки C.P., кнопка view certificates. Для pgpru.com там числится старый CA серт, на который если кликнуть, он выводит отпечатки и пишет «Could not verify this certificate for unknown reasons» (толстый шрифт, сверху).

Всё это только лишний раз подтверждает, что на сертификаты и их проверку браузером/аддонами лучше не полагаться. Когда делал авторизацию для себя, лучше сделать socks-прокси вида ssh -D порт с авторизацией по ключам, а дальше указать сокс в браузере и прикрыть firewall'ом. Правда, это для единичного и подконтрольного сайта, а что делать с остальными...


Кстати, вот что в C.P. в ignored hosts: si0.twimg.com, s.ytimg.com, www.youtube.com, i1.ytimg.com, i4.ytimg.com, ssl.gstatic.com, encrypted.google.com, s.youtube.com, img.youtube.com, maps.google.com, mts1.google.com, gg.google.com. Для clients1.google.com, i2.ytimg.com, i3.ytimg.com и s2.youtube.com в списке числится «Check CA only» (наверно, это то, что сам навыбирал). Ну вот как тут жить? Если какие-то сайты нагло нарушают принцип, генерируя на лету сотни доменов с непонятно какими сертификатами, что может сделать C.P., полагаясь на принцип «один домен — один сертификат»? Это заведомо проигрышная позиция.

Я думаю, вот чего не хватает в C.P.: надо сделать опции наоборот. Пусть есть конкретный, задаваемый пользователем список сайтов, чтобы он проверял их сертификаты и выдавал все (или какие-то — настраивается пользователем) предупреждения, остальные же (говно)сайты должны автоматически рассматриваться, как ignored hosts. Это позволит защитить хотя бы https с доверенными узлами, хотя правительственные атаки с подменой сертификатов массовых сайтов (типа гугла) это не отловит.
— unknown (14/06/2012 12:35, исправлен 14/06/2012 12:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если при этом не нужна анонимность с непрофилируемостью, то можно удалить все CA из браузера и коннектиться к нужному сайту с проверкой и подтверждением вручную.


Если запустить скрытый сервис для pgpru.com, то и проблема сертификатов отпадёт сама собой. Как и часть пользователей.

— Гость (14/06/2012 12:42)   <#>
можно удалить все CA из браузера и коннектиться к нужному сайту с проверкой и подтверждением вручную.
В принципе, да, это тоже решение. Только браузер — это такой монстр, что всё равно никогда не будешь уверен, что где-то нет скрытого подвоха.

Если запустить скрытый сервис для pgpru.com, то и проблема сертификатов отпадёт сама собой.
Да. Жаль, что его пока нету как альтернативы. Запуск скрытого сервиса не подразумевает, что надо отключить основной сайт. Если скрытый сервис будет на том же хостинге, то даже никаких проблем с синхронизацией зеркал не возникнет — просто будет физически один сайт с двумя интерфейсами к нему.
— unknown (14/06/2012 12:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Torproject даже давно рассматривает возможность создания таких "нескрытых" скрытых сервисов, которые нужны только для аутентификации и прямого доступа из сети Tor, через шифрованный tor-канал между сервисом и пользователем, минуя открытый трафик на исходящих узлах.
— Гость (14/06/2012 12:59)   <#>
Интересно. Если что-то будет на эту тему, информируйте нас, unknown.
— SATtva (15/06/2012 09:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Новички страшатся всплывающих окон, потому шифрование не использовалось вообще: по умолчанию всё работало на HTTP. Теперь HTTP можно отключить, и будет хоть какое-то шифрование по умолчанию. Кстати, SATtva, это планируется?

Да, только надо сначала внести пару корректировок, чтобы избавиться от mixed content.

Впрочем, наверно, тут сертификат сменился, когда устаревал предыдущий, потому C.P. расклассифицировал это действие как harmless и не проинформировал.

Мне он предупреждение о смене УЦ выдал, но таки да, классифицировал его как harmless из-за истечения предыдущего серта.
— SATtva (17/06/2012 14:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Собственно, теперь мы принудительно работаем через HTTPS. Пожалуйста, сообщайте, если обнаружите какие-либо проблемы, вызванные этим переходом.
— unknown (17/06/2012 16:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Теперь и значок хорошо смотрится и сообщение:
You are to connected to
PGPRU.COM
Which is run by
(unknown)
— SATtva (17/06/2012 17:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
:D
— Гость (17/06/2012 17:15)   <#>
Значок изображает человека в фуражке и при погонах и партупеи. Намекаете?
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3