Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов"	+/–
Сообщение от opennews (?), 09-Дек-24, 11:51
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим,  принял решение прекратить поддержку протокола  OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL  - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты  и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62373
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

4. Сообщение от myster (ok), 09-Дек-24, 12:18	+12 +/–
Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #11, #29

6. Сообщение от Аноним (6), 09-Дек-24, 12:30	+4 +/–
Вот настоящая забота: https://opennet.ru/56830-tls https://opennet.ru/53520-https
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12, #16, #20

7. Сообщение от Аноним (17), 09-Дек-24, 12:32	+1 +/–
Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #42

11. Сообщение от Аноним (17), 09-Дек-24, 12:40	+2 +/–
В дилло такой фигни нет и ледибёрде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от Аноним (12), 09-Дек-24, 12:50	+2 +/–
Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #25, #33, #67

13. Сообщение от Аноним (13), 09-Дек-24, 12:54	+1 +/–
Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

16. Сообщение от Pahanivo (ok), 09-Дек-24, 13:56	–2 +/–
Да уж, MITM, так сказать, в каждый дом! А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17, #68

17. Сообщение от Аноним (17), 09-Дек-24, 14:09	+/–
Так ты просто ставь Яндекс Чебурбраузер и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27

19. Сообщение от Тоже_Аноним_Естественно (?), 09-Дек-24, 14:25	+2 +/–
Редкая по нынешним временам приятная новость. Ещё бы DNS на такой же манер бы перевели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

20. Сообщение от Аноним (20), 09-Дек-24, 14:52	+1 +/–
>государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом. Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт". Неужели это тот браузер, который мы действительно заслуживаем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #22

21. Сообщение от Аноним (20), 09-Дек-24, 14:59	+/–
Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было". Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт. Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #31, #63

22. Сообщение от Аноним (22), 09-Дек-24, 15:14	+/–
https://browser.ru/ > С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35, #46

24. Сообщение от Аноним (24), 09-Дек-24, 15:27	+3 +/–
Ага всё в hosts будет. Возвращаемся на начало интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #45

25. Сообщение от timur.davletshin (ok), 09-Дек-24, 15:29	+5 +/–
Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

26. Сообщение от keydon (ok), 09-Дек-24, 15:34	+4 +/–
Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам. Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #47

27. Сообщение от Pahanivo (ok), 09-Дек-24, 15:51	+3 +/–
> Так ты просто ставь Яндекс Чебурбраузер и всё. Откровенного трояна еще не хватало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #32

28. Сообщение от Аноним (28), 09-Дек-24, 15:53	+/–
SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #37, #53, #59, #61

29. Сообщение от timur.davletshin (ok), 09-Дек-24, 15:54	+1 +/–
"Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

31. Сообщение от нах. (?), 09-Дек-24, 16:08	–2 +/–
Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали. А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #41, #43

32. Сообщение от Аноним (-), 09-Дек-24, 16:35	+3 +/–
Это не троян. Это ФСБ-шная шпионская программа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #60

33. Сообщение от anonymous (??), 09-Дек-24, 16:43	–1 +/–
А, ну, это, конечно, всё меняет! Ты это имел в виду, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

34. Сообщение от нах. (?), 09-Дек-24, 16:48	–3 +/–
> SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо. Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #49

35. Сообщение от нах. (?), 09-Дек-24, 16:51	–1 +/–
Место тут проклято.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

37. Сообщение от Rev (ok), 09-Дек-24, 16:52	+/–
Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #44, #55, #75

41. Сообщение от Аноним (41), 09-Дек-24, 17:00	+/–
Все правильно говорили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от fuggy (ok), 09-Дек-24, 17:59	+1 +/–
И кто говорил что Let's Encrypt чья корова и кто её доит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #66

43. Сообщение от Аноним (43), 09-Дек-24, 18:36	+/–
> А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #48

44. Сообщение от Аноним (43), 09-Дек-24, 18:37	+/–
Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #50

45. Сообщение от Akteon (?), 09-Дек-24, 18:40	+2 +/–
А что, идейа. БД будет где-то гигабайт 10. Недорого совсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #76

46. Сообщение от Аноним (20), 09-Дек-24, 18:41	+/–
>С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления С чего бы такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #81

47. Сообщение от Аноним (20), 09-Дек-24, 18:44	+4 +/–
>то просто продавали бы логи запросов рекламщикам. А с чего ты решил, что они самые "непродажные"? Потому что нет открытой инфы о сделках? Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #57, #70

48. Сообщение от Аноним (20), 09-Дек-24, 18:46	+1 +/–
фильтр Блума — это вероятностная структура данных! он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56, #71

49. Сообщение от Аноним (20), 09-Дек-24, 18:48    Скрыто ботом-модератором	+2 +/–
давай, ты не будешь говорить, что кому делать, и тогда мы не будем тебе говорить, куда тебе следует пойти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

50. Сообщение от Аноним (20), 09-Дек-24, 18:49	+1 +/–
«Никто никогда не вернётся в 2007 год!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от YetAnotherOnanym (ok), 09-Дек-24, 19:12	+/–
> удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу Ой, сюрпрайз-то какой!
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (53), 09-Дек-24, 19:50	+1 +/–
>В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён. При этом удостверяющий центр и так в позиции нарушать приватность. Наверняка их *попросили* об этом разведовательные органы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

53. Сообщение от Аноним (53), 09-Дек-24, 19:51	+/–
А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #58

54. Сообщение от нах. (?), 09-Дек-24, 20:19	+/–
> Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...) > При нём - ничего не отправляется. И OCSP Must Staple. Который > требует, чтобы OCSP-ответ был прикреплён. А сервер тебе такой - "знаешь куда пройти?" Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было. > Наверняка их *попросили* об этом разведовательные органы. что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #73

55. Сообщение от нах. (?), 09-Дек-24, 20:20	–3 +/–
> Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность > добавлять туда рекламу и следящие скрипты? не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #62

56. Сообщение от нах. (?), 09-Дек-24, 20:22	+1 +/–
> фильтр Блума — это вероятностная структура данных! > он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе > данных, но сказать со 100% вероятностью, что элемент находится в наборе, > он не может (возможны ложно положительные результаты). вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам. хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

57. Сообщение от OpenEcho (?), 09-Дек-24, 20:23	+/–
> А с чего ты решил, что они самые "непродажные"? Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

58. Сообщение от нах. (?), 09-Дек-24, 20:26	–2 +/–
> А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. > А браузер послушно исполнит. кругом враги! Как жыть!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #65, #123

59. Сообщение от Аноним (59), 09-Дек-24, 20:33	+/–
Ну товарищъ майор...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

60. Сообщение от Аноним (60), 09-Дек-24, 21:12	+6 +/–
---- Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"... ---- Если ФСБшная, то видимо разведческая.  Шпионская это ФБР, Моссад или чья там еще...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #89

61. Сообщение от Аноним (63), 09-Дек-24, 21:40	+1 +/–
Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #80

62. Сообщение от Аноним (63), 09-Дек-24, 21:48	+/–
Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #64

63. Сообщение от Аноним (63), 09-Дек-24, 21:50	+/–
> Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было". Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #88

64. Сообщение от нах. (?), 09-Дек-24, 22:14	–2 +/–
> Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и > переехать? можешь прямо по месту прописки продолжить страдать. Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #82

65. Сообщение от Аноним (65), 09-Дек-24, 23:00	+/–
>кругом враги! Как жыть! Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от нах. (?), 09-Дек-24, 23:03	+/–
Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то? (наиболее вероятный правильный ответ - что они все же дол...6ы)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

67. Сообщение от chdlb (?), 10-Дек-24, 01:06	–3 +/–
ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #78

68. Сообщение от chdlb (?), 10-Дек-24, 01:08	–1 +/–
в каких сервисах?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #108

70. Сообщение от keydon (ok), 10-Дек-24, 01:19	+/–
> А с чего ты решил, что они самые "непродажные"? > Потому что нет открытой инфы о сделках? > Ну так можно и без денег - придут из одной государственной конторы > и пояснят им кто чья корова, и кому их можно доить. Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

71. Сообщение от keydon (ok), 10-Дек-24, 01:20	+/–
> фильтр Блума — это вероятностная структура данных! > он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе > данных, но сказать со 100% вероятностью, что элемент находится в наборе, > он не может (возможны ложно положительные результаты). Внезапно (да?) этого достаточно для CRL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

72. Сообщение от Аноним (72), 10-Дек-24, 04:16	+/–
Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Аноним (73), 10-Дек-24, 04:22	–1 +/–
>категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...) Сфигали? Для каждого запроса не требуется свежее прикрепление. >А сервер тебе такой - "знаешь куда пройти?" Знаю. >Никто не обязан поддерживать эту чудовищную несуразицу. Несуразица это только для вас. >что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене. Не назад, а вперёд. Теперь объекту атаки вообще никак в реалтайме не получить подтверждений. На фоне быстрой ротации сертификатов Let's Encrypt это вредно вдвойне - расследование инцидентов становится намного сложнее, и CT-логи придётся в реалтайме в огромном размере обновлять, чтобы получить хоть какую-то гарантию, что хоть какие-то следы от атаки останутся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

74. Сообщение от Аноним (74), 10-Дек-24, 05:30	+/–
чем OCSP отличается от скачивания CRL с CRL DP? Правильно, ничем
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79

75. Сообщение от Аноним (75), 10-Дек-24, 07:31	+/–
Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

76. Сообщение от Аноним (76), 10-Дек-24, 07:38	+/–
DVD Name System, наконец-то!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

77. Сообщение от Ivan_83 (ok), 10-Дек-24, 09:02	+1 +/–
Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

78. Сообщение от timur.davletshin (ok), 10-Дек-24, 09:54	+2 +/–
>>> у Казахстана не получилось пропихнуть MITM Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры. >>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим ))) Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #83

79. Сообщение от Ramiralez (?), 10-Дек-24, 12:26	+1 +/–
Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

80. Сообщение от Аноним (80), 10-Дек-24, 12:31    Скрыто ботом-модератором	+/–
А кто должен страдать лишь вдвойне?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

81. Сообщение от Vladjmir (ok), 10-Дек-24, 15:53	+/–
Не взлетел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #109

82. Сообщение от Аноним (63), 10-Дек-24, 17:52	+1 +/–
> Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все. > Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись. В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #99

83. Сообщение от chdlb (?), 10-Дек-24, 18:04	–1 +/–
звездун детектед > Казахстан не сделал ничего такого, Казахстан сделал, и все правильно что сертификат забанили. > даже после попыток подделывать сертификаты. ANSSI облажалась и ее выкинули из CA !!!!! https://bugzilla.mozilla.org/show_bug.cgi?id=1272156 > Firefox может прекрасно использовать системный. не может https://bugzilla.mozilla.org/show_bug.cgi?id=620373 https://bugzilla.mozilla.org/show_bug.cgi?id=449498 https://bugzilla.mozilla.org/show_bug.cgi?id=454036 я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #84

84. Сообщение от timur.davletshin (ok), 10-Дек-24, 19:00	+/–
>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS. >>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156 Какое отношение это имеет к моим тезисам? >>> Казахстан сделал, и все правильно что сертификат забанили. Где и кого он заMITM'им?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #85

85. Сообщение от chdlb (?), 10-Дек-24, 20:12	–2 +/–
> сертификаты в /usr/local/share/ca-certificates а винде ты их куда будешь складывать? а ты каждый дистр проверял? а у тебя FF пакетированный из твоего дистра или с сайта мозиллы? а только ты видишь эти магические сертификаты или даже тестил их? /usr/local/share/ca-certificates - у меня например нет такого )))) и еще, это system-wide хранилище? я думал что это /var/lib/ca-certificates/ca-bundle.pem )))) > System Trust (зачем-то же этот флажок придумали) я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет, а из типов только Software Security Device и Builtin Object Token и никакие сертификаты ниоткуда не подхватываются, и что самое главное что Firefox ничего подобного официально не сапортит (см ссылки), а так конечно да, в теории можно хоть пересобрать его гвоздями прибив к чему угодно > Где и кого он заMITM'им? так хорошо, что не дали ничего сделать > CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. > Какое отношение это имеет к моим тезисам? не остаются! после того случая этот CA убрали из доверенных, если ты про то что ДРУГИЕ гос CA остаются, ну тогда у тебя лажа с формулировкой, потому что другие госы не делали "попыток подделывать сертификаты", теперь понятно к чему тот линк? что для виновных отозвали, а не та хрень что ты написал, что они остаются безнаказанными
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #86, #90

86. Сообщение от Аноним (86), 10-Дек-24, 20:32	+/–
> а винде ты их куда будешь складывать? Открываешь файл, импорт, выбрать хранилище корневиков, поставить. Firefox - security.enterprise_roots.enabled
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #87

87. Сообщение от chdlb (?), 10-Дек-24, 22:58	–1 +/–
security.enterprise_roots.enabled - позволяет использовать СВОИ импортированные сертификаты, но говорит FF использовать system-wide CA bundle, так как это делает тот же Хром, и именно об этом эта ветка, что у FF свое собственное хранилище, а не system-wide, начни читать с первых моих коментов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #91, #92, #93

88. Сообщение от RM (ok), 10-Дек-24, 23:43	+/–
осетра таки надо урезать, порядка на 2 минимум а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ. малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #100

89. Сообщение от Аноним (89), 11-Дек-24, 02:57	+/–
феэсбээ, вообще-то - контрразведка, как и фэбээр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

90. Сообщение от timur.davletshin (ok), 11-Дек-24, 07:15	+/–
>>> я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет, Вот именно поэтому, деточка, ты и являешься неучем. >>> а ты каждый дистр проверял? C официальными сборками Firefox работает. Всё остальное - проблемы дистроклепателей. >>> так хорошо, что не дали ничего сделать Я никогда не сомневался, что из "либералов" самые лучшие запрещалкины выходят, когда они до власти дорываются. Далеко за примерами ходить не надо. >>> не остаются! Немцы тому примером. Начиная от органов следствия, заканчивая недавним примером c Hetzner. Всех наказали, всех удалили. Ога, аж два раза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

91. Сообщение от timur.davletshin (ok), 11-Дек-24, 07:20	+/–
Ты на линуксе, включи настройку и проверь. Или мне тебе надо и скриншот приложить, что системные сертификаты работают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #96

92. Сообщение от timur.davletshin (ok), 11-Дек-24, 07:33	+/–
https://imgur.com/a/bCayDDy - каких ещё вам системных сертификатов не хватает? Цепляются и системные и пользовательские. Кстати, специально выделенное Agence Nationale тебя не смущает? А почему национальное агенство Казахстана смущает? Лишь по причине того, что за французскими гос. учреждениями MITM уже замечали, а за казахским... - ты так примера и не смог привести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

93. Сообщение от Аноним (86), 11-Дек-24, 09:24	–1 +/–
Ну начни читать, можешь даже объяснить что значит вот эти твои слова: > Firefox может прекрасно использовать системный. не может
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

94. Сообщение от Ilya Indigo (ok), 11-Дек-24, 10:34	–1 +/–
> Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных. ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off; Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки. Никакой утечки и никаких обращений от пользователя тут нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

96. Сообщение от chdlb (?), 11-Дек-24, 12:26	–1 +/–
скачай с сайта мозиллы английскую версию, не позорься Agence Nationale de Certification Electronique - Tun Trust Root CA - Bultin Object Token security.enterprise_roots.enabled true --- какая у тебя OS? --- P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #98

97. Сообщение от нах. (?), 11-Дек-24, 12:39	+/–
Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить. Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

98. Сообщение от timur.davletshin (ok), 11-Дек-24, 12:43	–1 +/–
> скачай с сайта мозиллы английскую версию, не позорься Это и есть английская официальная версия, запускалась на Debian 12. Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. Ещё есть версии моего "позора"? Какие скриншоты выложить? Номер билда, архитектура? Оно на самом деле лет 10 как работает именно в такой конфигурации, т.к. у меня именно столько лет шаблону настройки NSS и FF. До этого тоже работало, но я деталей не помню. У меня тогда другой токен был. >>> P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты Всё дело в том, что кто-то очень сильно безапеляционно начал утверждать чушь. Но тебе не привыкать. Кстати, что там с историей про Казахстан? Или тоже причина твоего звездежа в моей токсичности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #103, #104

99. Сообщение от нах. (?), 11-Дек-24, 12:49	+/–
лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза) И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь. (чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью) И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #101

100. Сообщение от нах. (?), 11-Дек-24, 12:57	+1 +/–
порядков на пять. Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

101. Сообщение от Аноним (63), 11-Дек-24, 18:16    Скрыто ботом-модератором	+/–
> И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел. Такими фразочками будешь детей пугать. Я же могу пообщаться предметно в терминах полноценной модели атакующего: кто видит, что видит и когда видит, что из того что видят допустимо или не допустимо в моём или твоём кейсе, а что если ESNI, а что если domain fronting, а что если VPN, а где вход в этот VPN, а где выход, а через что идёт трафик до хоста, а что там при этом с таймингами и т.д. Но общаться я буду явно не с клоуном который не понимает зачем нужен TLS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #102

102. Сообщение от нах. (?), 11-Дек-24, 19:21	+/–
вот надуванием щек - можешь детей пугать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

103. Сообщение от chdlb (?), 11-Дек-24, 19:38	–1 +/–
так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказочник > Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. какой к черту пакет? распакуй tar и проверь https://download-installer.cdn.mozilla.net/pub/firefox/relea... я кстатии проверил пакетированный FF в нескольких RPM дистрах, там security.enterprise_roots.enabled включена по умолчанию, как кстати и в версии с Mozilla CDN, и нигде нет System Trust сейчас качаю Debian, чтобы поставить родной Mozilla .deb, и другие версии, даже не бубунту, именно Debian (у тебя же 12-ый да?), если заработает, то твоя ошибка выжившего получит премию года ))) > т.к. у меня именно столько лет шаблону настройки NSS и FF. какому шаблону? > Или тоже причина твоего звездежа в моей токсичности? а ты еще и стрелочник ))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #106

104. Сообщение от chdlb (?), 11-Дек-24, 20:51	–1 +/–
поставил Debian 12 + KDE версия ESR которая ставится с KDE по умолчанию тоже имеет security.enterprise_roots.enabled true из коробки скачанный Firefox stable из APT репы мозиллы - аналогично никакого System Trust там нет может ты просто признаешься, что ты импортируешь в Firefox системные сертификаты? И не будешь кричать с пеной у рта, что Firefox может использовать системное хранилище сертификатов? а если не согласен, то давай Steps to reproduce, иначе балабол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #105

105. Сообщение от timur.davletshin (ok), 12-Дек-24, 06:34	+/–
Неумёха, ничего импортировать не нужно. Если ты импортируешь, то System Trust метки не получишь. Способ универсальный и работает ОЧЕНЬ давно, гуглится в один запрос: https://imgur.com/a/xF801Gf ... описан в официальной документации Firefox по ссылке: https://support.mozilla.org/en-US/kb/setting-certificate-aut... А если ещё и научиться прописывать настройки в ~/.pki/nssdb/pkcs11.txt (он идентичен файлу с таким же именем из профиля FF, именно туда сохраняются эти настройки), то можно унифицировать настройку вообще всех приложений, которые используют NSS (LibreOffice, Evolution, Thunderbird). А некоторые продвинутые пользователи вообще рекомендуют делать симлинк из профиля FF на общепользовательские файлы из ~/.pki/nssdb. Именно так у меня и сделано. Там же унифицируется настройка SmartCard и токенов. Один раз настроил и забыл. Я тебе с самого начала не зря делал подсказку про настройку NSS, но видеть смысл в тексте ты не умеешь. Так что там было про пену у рта и про Казахстан? Может всё же будешь человеком и извинишься за необоснованные обвинения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #114

106. Сообщение от timur.davletshin (ok), 12-Дек-24, 06:40	+/–
> какой к черту пакет? распакуй tar и проверь Именно так и запущено. Я же тебе говорю, что даже дефолтный грузит профиль из домашнего каталога. А там дополнения и настройки. Ты в одном шаге от решения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

108. Сообщение от Pahanivo (ok), 12-Дек-24, 12:24	+/–
> в каких сервисах? В любых веб сервисах, например, когда у тебя на компе российский корневой серт стоит. А он стоит с большой вероятностью если чел пользует гос и банк веб сервисы в рф.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #121

109. Сообщение от Pahanivo (ok), 12-Дек-24, 19:19	+/–
> Не взлетел. А пытался? )) "Atom – новый браузер от Mail.ru на базе Chromium с акцентом на безопасность и приватность." - это само по себе уже очень сменой анекдот ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #113

111. Сообщение от Аноним (60), 13-Дек-24, 00:08	+1 +/–
Да именно так (еще надо ssl_trusted_certificate с промежуточным и корневым, или как я, сам вынимаю регулярно OCSP ответы от ЦА и кормлю ими нгинкс через ssl_stapling_file, а у нгинкса исходящей связи в мир нет, обо нефиг ему там делать).. но тут есть 2 НО 1. Так мало кто делает. по умолчанию это выключено и в примерах со всяких стек оверфлоу его обычно нет. 2. Самый популярный браузер (хром) болт кладёт на просроченные stapling, приклеенные к сертификату. всякие там, палемуны начинают голосить, что сертификат не валиден (не могут проверить стаплинг, ибо просрочен), а хрому хоть бы что. тоесть, в общем, смысла мало. я так понимаю хром вообще не сильно заморачивается на тему отзыва отдельных сертификатов. он качает свой ЦРЛ, который сам наполняет по своему усмотрению, и ваш васянский, отозванный вами, сертификат там скорее всего не появится никогда. а ЦРЛ от поставщиков они не качают (покрайней мере раньше не качали и новостей, что начали, я не видел.). Я както игрался, выписал себе ЛЕ сертификат, сам же его и отозвал... в общем хром на него так и не ругался, покуда оно не скисло по дате. Давно было, надо какнить повторить тест. Вдруг чё поменялось. Зато когда они всяких симантиков гнобили, так быстро вписали куда надо и оно быстро стало орать, что сертификат - не сертификат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

113. Сообщение от Vladjmir (ok), 13-Дек-24, 07:21	+/–
>> Не взлетел. > А пытался? )) > "Atom – новый браузер от Mail.ru на базе Chromium с акцентом на > безопасность и приватность." - это само по себе уже очень сменой > анекдот )) У них был предыдущий браузер Amigo (вроде), который лез на комп из всех щелей и вёл себя как троян, потому вызывал ярость пользователей и ненависть к конторе mail.ru, которая продвигала его по модели агрессивного маркетинга. По этой причине Amigo провалился. А Atom они сделали для импортозамещения как альтернативу Яндекс браузеру, не стали пихать его насильно. Но госсектор его не заметил, может, остался осадок от Amigo. Внутри Atom -- это чисто Chromium, но движок у него давно не обновлялся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #125

114. Сообщение от chdlb (?), 13-Дек-24, 12:34	–1 +/–
дегенеративный бот удаляет коменты ))) ты уже запустил wc? посчитал сколько в статье мозиллы слов import?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #115

115. Сообщение от timur.davletshin (ok), 13-Дек-24, 12:55	+/–
Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать над собой. Тем не менее рад, что у тебя заработало хотя бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #116

116. Сообщение от chdlb (?), 13-Дек-24, 13:11	–1 +/–
> Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать > над собой. Тем не менее рад, что у тебя заработало хотя > бы. > Признавать свои ошибки всегда тяжело. а ты трудись и у тебя получиться > Тем не менее рад, что у тебя заработало хотя > бы. я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) забавная у тебя кривая реальность, сказочник )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #117, #118

117. Сообщение от timur.davletshin (ok), 13-Дек-24, 13:32	+/–
>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, что это за файл). Они не импортируются, просто подключается системное хранилище сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #120

118. Сообщение от timur.davletshin (ok), 13-Дек-24, 13:33	+/–
>>> забавная у тебя кривая реальность, сказочник ))) А столько форсу было в начале 😆
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #119

119. Сообщение от chdlb (?), 13-Дек-24, 14:33	+/–
>>>> забавная у тебя кривая реальность, сказочник ))) > А столько форсу было в начале 😆 я тебе уже дважды сказал, что для меня ничего не поменялось сказочник сам придумал, сам посмеялся тебя не отпускает никак? )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

120. Сообщение от chdlb (?), 13-Дек-24, 14:36	+/–
>>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) > У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что > они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, > в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, > что это за файл). Они не импортируются, просто подключается системное хранилище > сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать. видишь ли надо английский ФФ ставить, и вообще английский учить в статье которая на сайте мозилы это дословно написано вот три способа как можно эти сертификаты использовать и там первым предложением "Certificates can be programmatically imported by using p11-kit-trust.so" я же тебе предлагал грепом вордкаунтом пройтись, а ты тормозишь, ничего не понял Linux Using p11-kit-trust.so on Linux Certificates can be programmatically imported by using p11-kit-trust.so from p11-kit (note that some distributions, such as Red Hat-based ones, already do this by default by shipping p11-kit-trust.so as libnsscbki.so). This can be done by setting the SecurityDevices policy in /etc/firefox/policies/policies.json and adding an entry pointing to the p11-kit-trust.so location in the system, by manually adding it via the Security Devices manager in Preferences, or by using the modutil utility. Preload the Certificate Databases (new profiles only) Some users will create a new profile in Firefox, manually install the certificates they need, and then distribute the various .db files (cert9.db, key4.db and secmod.db) into new profiles using this method. This is not the recommended approach, and this method only works for new profiles. Certutil You can use certutil to update the Firefox certificate databases from the command line. Check the Microsoft support site for more information.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #122

121. Сообщение от chdlb (?), 13-Дек-24, 14:39	+/–
>> в каких сервисах? > В любых веб сервисах, например, когда у тебя на компе российский корневой > серт стоит. А он стоит с большой вероятностью если чел пользует > гос и банк веб сервисы в рф. веб-сервис - это вполне устойчивый термин, нельзя его применять, обозначая какой-то портал государственных услуг и ставить левый рут сертификат - это нужно быть [очень глупым человеком]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

122. Сообщение от timur.davletshin (ok), 13-Дек-24, 14:47	+/–
>>> видишь ли надо английский ФФ ставить, и вообще английский учить. Can you summarize it for me in plain English (in your own words)? I'm getting a little bit tired of that bullshit of yours. Providing file checksums 'before' vs. 'after' is very much appreciated. Don't take as a grave offense, my only purpose is to make you more inquisitive. If those certificates were imported... Well, they must have been saved somewhere, right? So, save your breath, and show me those checksums.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

123. Сообщение от Аноним (123), 14-Дек-24, 05:50	+/–
РТК, а ты что подумал? https://www.opennet.me/opennews/art.shtml?num=52444 >Как жыть! Пойти и обратиться на другую трёхбуквенную организацию, одной буквой лишь отличающуюся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

125. Сообщение от Pahanivo (ok), 16-Дек-24, 11:36	+/–
>  А Atom они сделали для > импортозамещения как альтернативу Яндекс браузеру, Ага, у нас будети свой браузер (на базе хромиума) со совим блекджеком и троянами > не стали пихать его насильно смишно смишно, но до Петросяна не дотягивает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема