Какие ip-адреса необходимы для pgpru?

Часто бывает так, что запрос на соединение серверу отправляется по HTTPS, а потом происходит перенаправление и контент сайта загружается с иного ip-адреса по HTTP. Поначалу казалось, что так же работает pgpru. По HTTPS устанавливается соединение с 217.16.21.152 Мастерхоста, за этим следуют другие ip-адреса, обычно, Akamay, которых уже накопилось:
184.51.198.99
96.7.54.114
72.246.103.11
113.23.181.73
23.15.10.58
Постепенно перестал понимать связь контента и этих адресов: нет постоянства, необходимого, например, для счетчика посещений или других сервисов. Решил проверить и оказалось, что для загрузки контента pgpru достаточно 217.16.21.152
Легальные или не легальные остальные ip-шники?

На страницу: 1, 2, 3, 4, 5 След.

Комментарии

—	*Гость* (06/09/2013 02:59) <#>

>Не знаю что было раньше, сейчас всё есть.

Я вам привёл ссылку на топик с последним обновлением сертификата этого сайта. /comment66653 прозрачно намекает, что при HTTPS с pgpru ничего нигде дополнительно не запрашивается и не отправляется. Что только подтверждается цитатой:

делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта.

—	*Гость* (06/09/2013 03:06) <#>

Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус. Вот такая вот безопасность.

>Я вам привёл ссылку на топик с последним обновлением сертификата этого сайта.

У вас в браузере сертификат, который вы точно только что загрузили. Сертификат прозрачно намекает, что там есть, а чего нет. Посмотрите сами, что тут ещё нужно доказывать?

—	*Гость* (06/09/2013 03:12) <#>

Я не спец по сертификатам, поэтому спорить не буду. Интересно послушать, что сказали бы sentaus и SATtva на этот счёт.

—	*Гость* (06/09/2013 03:26) <#>

Выкладываю сертификат, как его видно здесь:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 698098 (0xaa6f2)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
        Validity
            Not Before: Jun  6 21:34:56 2013 GMT
            Not After : Jun  7 16:56:55 2014 GMT
        Subject: description=7vqcSJeuxjr1G22u, C=RU, CN=www.pgpru.com/emailAddress=webmaster@pgpru.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:bf:9c:5d:66:81:1c:d4:11:8a:2f:6a:91:50:9f:
                    b2:55:e5:bc:cf:24:94:bb:c2:ca:75:d5:4f:0b:49:
                    17:47:a5:73:d2:46:23:61:8d:30:19:14:15:26:a4:
                    a3:cc:dd:09:b5:ed:da:d1:15:70:39:69:73:a0:cc:
                    6c:39:e5:db:80:df:e2:bd:9f:fe:dc:c4:a0:92:63:
                    c2:ef:29:f6:38:46:56:3a:b6:9c:f0:4a:89:2e:21:
                    83:84:14:73:56:97:a7:f0:05:68:f7:ed:72:68:54:
                    2b:19:6d:a2:fe:e7:34:af:22:1c:8a:54:c5:ae:c8:
                    b1:d9:b9:cd:39:d6:1f:2d:79:1d:a0:10:b5:55:ef:
                    40:a5:ad:78:34:37:8e:65:bf:48:44:51:c1:85:76:
                    ac:db:af:7b:68:51:84:9d:da:ed:b5:33:fa:66:c8:
                    9a:84:7e:59:ad:2b:c7:df:84:8b:5b:b6:9b:b7:7b:
                    d3:64:78:fa:c0:9a:80:1f:c0:fd:26:4f:dc:46:ef:
                    bf:f5:10:6b:22:a2:2f:27:6f:5d:34:e8:81:6c:34:
                    fa:85:e9:f0:a2:0b:5b:7b:3f:22:fa:ac:d3:bb:12:
                    8d:cf:d0:92:38:44:aa:4d:8f:83:43:be:b1:dd:a0:
                    42:40:01:19:58:2c:2a:7f:df:7f:e4:2e:a0:72:49:
                    6a:8b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Subject Key Identifier: 
                D7:1D:C2:C1:33:98:61:FA:DC:CA:0E:9D:6D:A5:10:F6:1C:F4:F0:86
            X509v3 Authority Key Identifier: 
                keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45

            X509v3 Subject Alternative Name: 
                DNS:www.pgpru.com, DNS:pgpru.com
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
                Policy: 1.3.6.1.4.1.23223.1.2.3
                  CPS: http://www.startssl.com/policy.pdf
                  User Notice:
                    Organization: StartCom Certification Authority
                    Number: 1
                    Explicit Text: This certificate was issued according to the Class 1 Validation requirements of the StartCom CA policy, reliance only for the intended purpose in compliance of the relying party obligations.

            X509v3 CRL Distribution Points: 
                URI:http://crl.startssl.com/crt1-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca
                CA Issuers - URI:http://aia.startssl.com/certs/sub.class1.server.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/
    Signature Algorithm: sha1WithRSAEncryption
        82:66:a1:9c:49:27:1f:ad:0d:da:2b:45:67:4c:7e:e9:d1:45:
        9b:1b:f1:82:5e:23:80:79:d3:89:2f:f7:94:ca:1c:dd:fc:85:
        5a:70:b8:09:17:1b:68:b6:cb:15:9d:db:67:84:eb:aa:37:07:
        2c:57:78:2a:84:28:df:e3:a0:98:43:fa:f7:d0:d2:fa:8b:50:
        3d:b8:c8:9a:7f:99:ff:35:d3:e6:f2:75:c0:d2:7d:0c:ab:5a:
        42:d3:08:b3:ce:87:e5:76:dc:74:10:b3:2c:01:de:da:31:24:
        35:ec:8b:0e:0f:f7:04:2f:de:e5:30:c4:ad:c5:4c:0e:0a:5c:
        71:84:e0:38:08:dd:a7:83:34:4d:35:fa:17:57:27:7d:b5:e7:
        63:82:1b:ba:8a:bf:ee:02:98:af:2f:34:29:6b:a0:28:4f:2c:
        23:24:3f:d5:4f:b9:95:90:ba:74:2b:b5:7c:bc:c4:76:ee:a5:
        0e:80:95:c3:79:50:86:0d:fb:1c:c5:07:11:53:3a:38:01:d1:
        45:b6:b1:6f:bb:f7:d2:1f:65:3b:2b:d2:58:3b:4c:47:19:f2:
        1b:25:82:be:7d:d5:25:30:41:3e:00:ee:46:87:0a:44:41:e5:
        d8:91:2c:cf:16:0e:c1:f5:e9:17:8c:94:b8:f7:85:c7:e8:75:
        55:61:48:53

—	SATtva (06/09/2013 07:34) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Предположим, идет проверка сертификата, делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта. Ситуация тоже какая-то не нормальная.

Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус.

Так будет, если OSCP не настроен на fail closed — расценивать непрохождение проверки как недействительный сертификат. По умолчанию он везде fail open (не очень понятно, зачем он вообще нужен в этом случае).

—	тестерТьюринга (06/09/2013 08:30) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

>Какая система-то? Есть ли плагины и расширения? Наблюдается ли эффект на чистом профиле? А в другой чистой ОС на LiveCD?

Главное – браузер настроен спрашивать проверку сертификата. При загрузке сайта сертификат не запрашивается и в списках не значится.

Проверял по-разному. В основном под Виндой в браузере, где почти всё отключено.

195.12.232.155 и 195.12.232.147 получил в Линуксе. Плагины браузера, картинки и js были отключены. Заходил на pgpru первый и единственный раз.

—	тестерТьюринга (06/09/2013 12:31) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

>Для сертификата с pgpru проверка осуществляется на ocsp.startssl.com

О, startssl объявился. Со вчерашнего вечера 192.116.242.20 засвечивается вперемешку с 23.15.10.58 и 96.7.54.114
Как мне сейчас поступить? Законнектиться и смотреть в сторону сертификата или что…

—	SATtva (06/09/2013 12:44) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Отключите в браузере проверку OSCP. Если и после этого продолжатся сторонние подключения, то, я даже не знаю... разбирайте трафик, смотрите, что там идёт.

—	тестерТьюринга (06/09/2013 14:43) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

>Отключите в браузере проверку OSCP.

Да, после откючения OSCP в Лисе под Линуксом остался только 217.16.21.152

Тогда ещё вопрос о сертификате с pgpru. В Opera в Управлении сертификатами есть несколько вкладок:
Издатели
Посредники
Одобренные
Во вкладке Одобренные pgpru отсутствует. Во вкладках Посредники и Издатели имеется StartCom. Этого достаточно?

—	SATtva (06/09/2013 14:53) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Да, доверие наследуется от StartCom.

—	*Гость* (08/09/2013 04:24) <#>

>Этого достаточно?

Нет, конечно. Надо создать отдельный профиль firefox для pgpru.com и сделать certificate pinning: удалить вообще все корневые сертификаты, после первого захода на pgpru.com проверить отпечаток сайта руками в консоли (gpg в помощь), и добавить его в браузер, как исключение, ~~но и в этом случае сомнения не покидают меня. ©~~

Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?

—	*Гость* (08/09/2013 04:33) <#>

>Это же коннекты к OCSP серверу, проверка статуса у сертификата.

>Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус. Вот такая вот безопасность.

Не поручусь, но мне кажется, что раньше я что-то проверял, и firefox не страдал такими проблемами. OSCP ранее не было в нём включено по умолчанию? Никто не помнит?

—	unknown (08/09/2013 11:51) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?

Тикет откройте, может и сделают.

—	тестерТьюринга (08/09/2013 13:01) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

> Нет, конечно. Надо создать отдельный профиль firefox для pgpru.com и сделать certificate pinning: удалить вообще все корневые сертификаты, после первого захода на pgpru.com проверить отпечаток сайта руками в консоли (gpg в помощь), и добавить его в браузер, как исключение

Firefox как-нибудь попробую настроить, но он не актуален – редко им пользуюсь. А в Opera не пойму даже как отключить OSCP.

Из последних наблюдений(не проверенных)
Если заходить на сайт со страницы вход и при этом блокировать другие соединения, кроме 217.16.21.152, тогда откроется следующая страница с сообщением об успешной авторизации. Если же законнектить ещё, например, 96.7.54.114, тогда вход обновится до сообщения об успешной авторизации. Если есть два варианта, то один из них более правильный, другой менее.
IP-шник startssl 192.116.242.20 при просмотре pgpru появлялся 1,5 суток. Теперь снова исчез, что впрочем соответствует просмотру https://www.startssl.com/?lang=ru

—	*Гость* (09/09/2013 03:45) <#>

> Firefox как-нибудь попробую настроить, но он не актуален – редко им пользуюсь. А в Opera не пойму даже как отключить OSCP.

В опере тоже можно удалить все корневые сертификаты, поэтому методика работает один в один.

> Если же законнектить ещё, например, 96.7.54.114

«законнектить» = «разрешить соединяться с ним с помощью файерволла»?

> Если заходить на сайт со страницы вход и при этом блокировать другие соединения, кроме 217.16.21.152, тогда откроется следующая страница с сообщением об успешной авторизации.

После ввода пароля? Не понял, чем это отличается от

Если же законнектить ещё, например, 96.7.54.114, тогда вход обновится до сообщения об успешной авторизации.

На страницу: 1, 2, 3, 4, 5 След.

Ваша оценка документа [показать результаты]