Какие ip-адреса необходимы для pgpru?
Часто бывает так, что запрос на соединение серверу отправляется по HTTPS, а потом происходит перенаправление и контент сайта загружается с иного ip-адреса по HTTP. Поначалу казалось, что так же работает pgpru. По HTTPS устанавливается соединение с 217.16.21.152 Мастерхоста, за этим следуют другие ip-адреса, обычно, Akamay, которых уже накопилось:
184.51.198.99
96.7.54.114
72.246.103.11
113.23.181.73
23.15.10.58
Постепенно перестал понимать связь контента и этих адресов: нет постоянства, необходимого, например, для счетчика посещений или других сервисов. Решил проверить и оказалось, что для загрузки контента pgpru достаточно 217.16.21.152
Легальные или не легальные остальные ip-шники?
Я вам привёл ссылку на топик с последним обновлением сертификата этого сайта. /comment66653 прозрачно намекает, что при HTTPS с pgpru ничего нигде дополнительно не запрашивается и не отправляется. Что только подтверждается цитатой:
У вас в браузере сертификат, который вы точно только что загрузили. Сертификат прозрачно намекает, что там есть, а чего нет. Посмотрите сами, что тут ещё нужно доказывать?
комментариев: 11558 документов: 1036 редакций: 4118
Так будет, если OSCP не настроен на fail closed — расценивать непрохождение проверки как недействительный сертификат. По умолчанию он везде fail open (не очень понятно, зачем он вообще нужен в этом случае).
комментариев: 301 документов: 8 редакций: 4
Главное – браузер настроен спрашивать проверку сертификата. При загрузке сайта сертификат не запрашивается и в списках не значится.
Проверял по-разному. В основном под Виндой в браузере, где почти всё отключено.
195.12.232.155 и 195.12.232.147 получил в Линуксе. Плагины браузера, картинки и js были отключены. Заходил на pgpru первый и единственный раз.
комментариев: 301 документов: 8 редакций: 4
О, startssl объявился. Со вчерашнего вечера 192.116.242.20 засвечивается вперемешку с 23.15.10.58 и 96.7.54.114
Как мне сейчас поступить? Законнектиться и смотреть в сторону сертификата или что…
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 301 документов: 8 редакций: 4
Да, после откючения OSCP в Лисе под Линуксом остался только 217.16.21.152
Тогда ещё вопрос о сертификате с pgpru. В Opera в Управлении сертификатами есть несколько вкладок:
Издатели
Посредники
Одобренные
Во вкладке Одобренные pgpru отсутствует. Во вкладках Посредники и Издатели имеется StartCom. Этого достаточно?
комментариев: 11558 документов: 1036 редакций: 4118
Нет, конечно. Надо создать отдельный профиль firefox для pgpru.com и сделать certificate pinning: удалить вообще все корневые сертификаты, после первого захода на pgpru.com проверить отпечаток сайта руками в консоли (gpg в помощь), и добавить его в браузер, как исключение,
но и в этом случае сомнения не покидают меня. ©Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?
Не поручусь, но мне кажется, что раньше я что-то проверял, и firefox не страдал такими проблемами. OSCP ранее не было в нём включено по умолчанию? Никто не помнит?
комментариев: 9796 документов: 488 редакций: 5664
Тикет откройте, может и сделают.
комментариев: 301 документов: 8 редакций: 4
Firefox как-нибудь попробую настроить, но он не актуален – редко им пользуюсь. А в Opera не пойму даже как отключить OSCP.
Из последних наблюдений(не проверенных)
Если заходить на сайт со страницы вход и при этом блокировать другие соединения, кроме 217.16.21.152, тогда откроется следующая страница с сообщением об успешной авторизации. Если же законнектить ещё, например, 96.7.54.114, тогда вход обновится до сообщения об успешной авторизации. Если есть два варианта, то один из них более правильный, другой менее.
IP-шник startssl 192.116.242.20 при просмотре pgpru появлялся 1,5 суток. Теперь снова исчез, что впрочем соответствует просмотру https://www.startssl.com/?lang=ru
В опере тоже можно удалить все корневые сертификаты, поэтому методика работает один в один.
«законнектить» = «разрешить соединяться с ним с помощью файерволла»?
После ввода пароля? Не понял, чем это отличается от