The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Let's Encrypt отзывает 2 млн сертификатов из-за проблем в реализации TLS-ALPN-01

27.01.2022 10:45

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о досрочном отзыве около двух миллионов TLS-сертификатов, что составляет около 1% от всех активных сертификатов данного удостоверяющего центра. Отзыв сертификатов инициирован из-за выявления несоответствия требованиям спецификации в применяемом в Let's Encrypt коде с реализацией расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Несоответствие было связано с отсутствием некоторых проверок, выполняемых в процессе согласования соединений на базе TLS-расширения ALPN, применяемого в HTTP/2. Детальная информация об инциденте будет опубликована после завершения отзыва проблемных сертификатов.

26 января в 03:48 (MSK) проблема была устранена, но все сертификаты, при выдаче которых для верификации использовался метод TLS-ALPN-01, решено признать недействительными. Отзыв сертификатов начнётся 28 января в 19:00 (MSK). До этого времени пользователям, использующим метод проверки TLS-ALPN-01, рекомендуется успеть обновить свои сертификаты, иначе они досрочно будут признаны недействительными.

Соответствующие уведомления о необходимости обновления сертификатов отправлены на email. Пользователей, применяющих для получения сертификата инструментарии Certbot и dehydrated, при использовании настроек по умолчанию проблема не затронула. Метод TLS-ALPN-01 поддерживается в пакетах Caddy, Traefik, apache mod_md и autocert. Проверить корректность своих сертификатов можно через поиск идентификаторов, серийных номеров или доменов в списке проблемных сертификатов.

Так как изменения затрагивают поведение при проверке методом TLS-ALPN-01, для продолжения работы может требоваться обновление ACME-клиента или изменение настроек (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Изменения сводятся к использованию версий TLS не ниже 1.2 (клиенты теперь не смогут использовать TLS 1.1) и прекращению поддержки OID 1.3.6.1.5.5.7.1.30.1, идентифицирующего устаревшее расширение acmeIdentifier, поддерживаемое только в ранних черновиках спецификации RFC 8737 (при формировании сертификата теперь допускается только OID 1.3.6.1.5.5.7.1.31, а клиенты использующие OID 1.3.6.1.5.5.7.1.30.1 не смогут получить сертификат).

  1. Главная ссылка к новости (https://community.letsencrypt....)
  2. OpenNews: Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах
  3. OpenNews: Let's Encrypt решил проблему с продолжением работы сертификатов на старых Android-устройствах
  4. OpenNews: Массовый отзыв сертификатов Let's Encrypt
  5. OpenNews: Let's Encrypt перешёл к проверке с использованием разных подсетей
  6. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56588-letsencrypt
Ключевые слова: letsencrypt, cert
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (110) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:28, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Т.е. запехнут в хром проверку валидности 2млн сертификатов
     
     
  • 2.2, Аноним (2), 11:42, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +18 +/
    что бы они не сделали ты скушаешь и попросишь добавки, я гарантирую это
     
     
  • 3.25, Аноним (25), 13:19, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    не важно попросит или нет
    "добавка" будет закачана принудительно
     
  • 2.11, lockywolf (ok), 12:14, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Crl? Вроде ж, можно ocsp, и проверять отзыв по требованию.

    Но собственно, даже если все тащить, то фильтр Блума на несколько миллионов хэшей не будет так уж много весить.

     
     
  • 3.15, Аноним (15), 12:35, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Фильтр Блума тут не применим т.к. может давать ложно-положительные срабатывания
     
     
  • 4.16, lockywolf (ok), 12:42, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это ваши проблемы, поменяете сертификат, всего-то делов.
     
  • 3.17, Аноним (2), 12:47, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > фильтр Блума

    Леголаса чтоль?

     
  • 2.44, Аноним (44), 15:01, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При прошлых массовых отзывах хрому было профиг, он не проверяет OCSP. в общем он и CRL не проверяет, да и нет его у ЛЕ.
     
  • 2.70, Kuromi (ok), 19:45, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так у LE сертификаты краткосрочные, после того как их предполагаемые сроки годности истекут можно базу отозванных очистить, все равно будут просрочены.
     
     
  • 3.85, Аноним (85), 12:24, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что им мешало дождаться пока они истекут? Они как раз под этим лозунгом и продвигали свои сертификаты.
     
     
  • 4.95, Kuromi (ok), 17:54, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Что им мешало дождаться пока они истекут? Они как раз под этим
    > лозунгом и продвигали свои сертификаты.

    Я так понимаю - перестраховка либо нам недоговаривают о степени серьезности проблемы. Это как Самсунг с взрывающимися трубками "не не, это все миф, но трубочку верните", а потом настолько миф оказался, что они сделали специальное ОТА обновление превращающее устройства в кирпичи с надписью на экране "Верните производителю".

     

  • 1.3, Жироватт (ok), 11:43, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Раньше были времена, а теперь - мгновения\
    Раньше поднимался %s, а теперь - давление.

    Вот хоть убей не понимаю тотальной сертификации всего и вся.
    Нет, ясно, еще одно средство контроля - р-р-р-раз, отозвал сертификат и все, ресурс будет выдавать в пугалки в браузере "Вашы саидинение ны защещено!11одын", под радостно-испуганные визги ЦА, это понятно. Но зачем добровольно в это лезть?

     
     
  • 2.4, Аноним (4), 11:47, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Критикуя предлагай.
     
     
  • 3.63, Аноним (63), 18:09, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Критикуя предлагай.

    тут не собрание комсомольцев, а сборище вменяемых людей.

     
  • 3.86, Аноним (86), 13:39, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Критикуя предлагай.

    Предлагаю: все эти сертификаты и прочие "небезопасные" TLS 1.1 просто считать "небезопасным соединением" и продолжать работать соответственно. ТАК ЖЕ, КАК СЕЙЧАС БРАУЗЕРЫ РАБОТАЮТ С САЙТАМИ HTTP - ГДЕ НИКАКОГО ШИФРОВАНИЯ НЕТ ВООБЩЕ.

    P.S.
    Всё это коропративный пи**ёж про "небезопасность" - с HTTP они все работают, а как соединение шифровано, но "небезопасно" (то TLS слишком старый, то сертификат не такой, как корпам нонче хочется), так сразу отказываются напрочь. Смешно.
    Пока браузеры работают с HTTP - смешно всё это слушать.

     
     
  • 4.93, lockywolf (ok), 16:44, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Критикуя предлагай.
    > Предлагаю: все эти сертификаты и прочие "небезопасные" TLS 1.1 просто считать "небезопасным
    > соединением" и продолжать работать соответственно. ТАК ЖЕ, КАК СЕЙЧАС БРАУЗЕРЫ РАБОТАЮТ
    > С САЙТАМИ HTTP - ГДЕ НИКАКОГО ШИФРОВАНИЯ НЕТ ВООБЩЕ.
    > P.S.
    > Всё это коропративный пи**ёж про "небезопасность" - с HTTP они все работают,
    > а как соединение шифровано, но "небезопасно" (то TLS слишком старый, то
    > сертификат не такой, как корпам нонче хочется), так сразу отказываются напрочь.
    > Смешно.
    > Пока браузеры работают с HTTP - смешно всё это слушать.

    Это всё равно потребует crl длиной в три миллиона. А так проще простимулировать владельцев сайтов самих перевыпустить.

     
  • 3.122, другое Имя (?), 22:28, 02/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен, что уже миллион раз предлагали, но ни одно из предложений услышано не было.
     
  • 2.5, Аноним (5), 11:51, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Чтобы не было чебурнета по паспорту, где провайдер втихаря подменяет ваш сертификатик и читает вашу почточку. Вообще в связи с навязыванием чебурнета в гос учреждениях, типа школ, я все больше склоняюсь ко мнению, что даже SSL/TLS уже не достаточно. Везде должно быть внедрено встроенное сквозное шифрование.
     
     
  • 3.8, Аноним (8), 11:59, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Сквозное шизофрование! А ты не думаешь что даже летсэнкрипт подсовывал  старые сертификаты, кому надо. Чтобы кто надо мог всё прочитать. А сейчас снаружи им прислал разнарядку, всё выключаем, раз два. А они и рады инфоповод про себя выпустить.  
     
     
  • 4.9, anonymous (??), 12:02, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вроде ж управляется сообществом. Такие проблемы бы уже давно утекли в сеть.
     
     
  • 5.18, Аноним (18), 12:55, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    случаем не тем самым сообществом на четыре буквы ?
     
  • 5.26, Аноним (26), 13:23, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага святой партией и правительством. Которое взяток не берет. Знаем такие.  
     
  • 5.31, Michael Shigorin (ok), 13:45, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –19 +/
    Да знаем мы эти сообщества -- некоторые себя ещё intelligence называют community, например, хотя intelligent их давно уже трудно назвать.
     
     
  • 6.87, Аноним (86), 13:43, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ой, ктобы кукарекал из дистриба под патронажем трёхбуквенной конторы, в названии которой интеллиджент точно нету.
     
  • 4.12, Аноним (5), 12:16, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да Сквозное А то в некоторых протоколах дай бог SASL аутентификация есть Г... большой текст свёрнут, показать
     
     
  • 5.52, Ordu (ok), 16:10, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > всем добровольно-принудительно поставить файлик CA_ЭтоНеВирус.exe
    > с каким-нибудь WhatsApp такой фокус уже не пройдет.

    Пройдёт. Надо научить CA_ЭтоНеВирус.exe патчить WhatsApp.exe. Или просто кейлоггером работать. Или удалять дрова сетевушки по приказу сверху "отключить интернет всем. срочна."

    Если ты можешь впарить пользователю бинарь под запуск, то ты можешь всё. Не обязательно даже бинарь. Можно и скрипт какой.

     
  • 3.13, А где же каменты (?), 12:25, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Интернет и связь давно по паспорту.
     
     
  • 4.54, Ананимас008 (?), 16:21, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Школьнику об этом мама не сказала
     
  • 4.82, псевдонимус (?), 02:42, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И как тогда я написал этот комментарий?
     
     
  • 5.110, Аноним (110), 13:36, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    соседский вайвай не вечен :)
     
     
  • 6.114, псевдонимус (?), 18:00, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > соседский вайвай не вечен :)

    Двачеб.яди тоже.

     
  • 3.22, Урри (ok), 13:11, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В чем проблема обойтись без навязывания Хочет ресурс - отдает по http, хочет по... большой текст свёрнут, показать
     
     
  • 4.27, Аноним (26), 13:26, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Те кто «продали» тебе бесплатный сертбот еще и про тебя всё знает. Потому как у бесплатный продуктов товар это ты.  А вдруг ты бандос или инагент.  

    С другой стороны конечно юзверей более жаль чем вебмастеров так что юзверей надо защищать, а то едят всякое с лопаты.  

     
     
  • 5.28, Урри (ok), 13:30, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Про то, что я товар, это понятно.
    Про "все знают" все же нет. Я, само собой, из-под ограниченного юзера генерировал. Только временно доставил неудобство юзерам, перенаправив веб на другой внутренний порт (ведь сертификации нельзя сказать "вот в этой подпапке юзай, я ее навсегда для тебя перенаправлю - летсэнкрипт каждый раз рандомно все от корня генерит").

    Так что у них айпишечка сервера только, с сопутствующей ей довольно ограниченной информацией.

     
  • 4.69, rvs2016 (ok), 19:18, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ресурс-то по хттп отдаётся Но к пользователю он приезжает с тоннами рекламного ... большой текст свёрнут, показать
     
     
  • 5.104, Урри (ok), 22:09, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так а где ответ на "В чем проблема обойтись __без навязывания__?"

    Вы считаете, что ни сервер ни клиент не могут сами за себя решать что им делать? Сервер не имеет права класть с пробором на возможную рекламу от промежуточного узла - просто потому, что ему пофиг? А клиент не имеет права смотреть рекламу провайдера (так услуги дешевле за счет рекламы)?

    И с какого х_ра, извините, я обязан использовать https, если я просто отдаю клиенту обычный json с полями "кот поcpал": ["11:00", "17:00", "23:00"]?

     
     
  • 6.105, rvs2016 (ok), 00:32, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы считаете, что ни сервер ни клиент не могут сами за себя
    > решать что им делать?

    Ну сервер-то с клиентом выбирать метод передачи информации могут.

    Но во первых у 99% пользователей клиенты - это браузеры примерно двух-трёх сортов, которые начали пугать пользователей фразами типа - соединение не защищено, пароли украдут, деньги тем более. И эти пользователи не знают не только слов клиент/сервер, но даже слова браузер уже не знают. Знают только слово "социальная сть". Точнее и его уже не знают. Знают теперь только слово "инста". 😲

    А во вторых, если каналы передачи информации между сервером и клиентом пролегают по вражеским сетям (в 99% случаев тех самых пользователей это ж именно так и есть), то провайдеры насрут в передаваемую информацию свою рекламу.

     
     
  • 7.109, Урри (ok), 12:38, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы снова не ответили на заданный вопрос:

    >> Вы считаете, что ни сервер ни клиент не могут сами за себя
    >> решать что им делать?

     
  • 3.41, Жироватт (ok), 14:30, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я поэтому и спросил, потому что понимаю границы применимости.
    В вот для обычного сайта, и так заляпанного кроссдоменными скриптами и почти полностью в cdn, зачем? Ну кроме банального спуфинга страница партии "Археросы" на линк с "Владимир Пупкин - молодец"
     
  • 3.55, Аноним (-), 16:24, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтобы не было чебурнета по паспорту, где провайдер втихаря подменяет ваш сертификатик и читает вашу почточку.

    можно подумать letsencrypt чем-то мешает это делать. а те кто не может- тем оно и не надо просто

     
  • 3.80, yet another anonymous (?), 00:09, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, для публично открытого контента сквозное шифрование -- это так важно! (гораздо важнее, чем то, что вы сдаёте, когда лезете в инфраструктуру получения единственно истинных ключей).
     
  • 3.89, anonymous (??), 15:29, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем пользоваться интернетом в госучреждениях? Я вот недавно лежал в госбольнице. Там фри_москвобад_вайфай. Но в сеть лазил через VPN и с TorBrowser. Да, они отобразили мой MAC и номер телефона. Пусть владеют данной инфой. Но траффик очень наврядли видели. Как по мне разумный компромис: мне предоставляют доступ, я им в ответ в принципе ничего кроме факта нахождения, но они это и так по телефону видят.
     
  • 2.14, Аноним (14), 12:31, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Повсеместный HTTPS - это благо, чтобы мерзкие провайдеры не вставляли в незашифрованный трафик свою рекламу и не воровали пользовательские данные.

    Случаи уже были и неоднократно: https://www.opennet.me/opennews/art.shtml?num=52444

     
     
  • 3.20, Аноним (5), 12:57, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и у нас тоже чебурнет от ростелекома. Я точно не уверен, что они расшифровывают, но на данный момент главные страницы поисковиков точно. А ростелеком это считай гос компания. Ну вы поняли.

    Хотя все копрорасты такие. Купил 4G модем в ОФИЦИАЛЬНОМ салоне МТС. И даже там умудрились на***ть. Без заключения договора впихнули услугу Спутниковое ТВ, хотя договор при этом заключен быть должен и меня должна быть его копия. Все бы ничего, но теперь невозможно управлять обычными тарифами, т.к. считай у меня теперь не симка, а смарт карта для ресивера. И что тех поддержка, что сотрудники салона конечно же теперь в один голос говорят, что ничего теперь сделать нельзя.

     
     
  • 4.35, Аноним (14), 13:48, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я точно не уверен, что они расшифровывают, но на данный момент главные страницы поисковиков точно. А ростелеком это считай гос компания. Ну вы поняли.

    HTTPS можно расшифровать лишь подменой сертификата (атака класса человек посередине), но в этом случае ваш браузер немедленно выдаст предупреждение, а ресурсы, требующие HSTS, вообще закроют соединение без возможности добавления исключения.

    Альтернатива - установка корневого сертификата провайдера в доверенные. Казахстан пытались два года назад на уровне целого государства, но благо их сертификат сразу же был добавлен в список отозванных всех популярных браузеров и ОС, после чего от идеи они отказались.

     
     
  • 5.42, Онаним (?), 14:50, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они пытаются даунгрейдить до HTTP, посылая RST на HTTPS.
    Пришлось от них RST с порта 443 запилить полностью.
     
     
  • 6.47, Аноним (14), 15:12, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Они пытаются даунгрейдить до HTTP, посылая RST на HTTPS. Пришлось от них RST с порта 443 запилить полностью.

    Укажите название своего провайдера и регион. Народ должен знать таких "героев" и не пользоваться их услугами.

     
     
  • 7.84, Аноним (84), 10:53, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кстати МТС тоже таким страдает, только рандомно. Т.е. бывает так, что с первой попытки HTTPS страница не открывается. И это точно не связано с разрывами сети. Но они умнее поступают. У них там видать какой-то ИИ. Был момент, когда такое происходило постоянно. Но они видать видят, что у меня включен HTTPS-only и что я постоянно обновляю страницу, и перстают таким страдать, чтобы не прослыть провайдером с хреновым качеством интернета и постоянными разывами.
     
  • 5.45, Аноним (5), 15:01, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну они так и сделали Думали тетеньки тупые и тупо под шумок выполнят приказ уст... большой текст свёрнут, показать
     
     
  • 6.97, Аноньимъ (ok), 18:21, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сейчас описали типичную ойти контору.

    У этого есть название на самом деле - баптизм.

     
  • 5.64, Аноньимъ (ok), 18:34, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >но в этом случае ваш браузер немедленно выдаст предупреждение, а ресурсы, требующие HSTS, вообще закроют соединение без возможности добавления исключения

    Наивняк.

    Ресурсы себе правильный сертификат сами установят, или по требованию или по незнанию.
    И всё.

    Тоже мне, много чести митмать всякое.

     
  • 3.21, pin (??), 13:08, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Во благо, бугага. У меня ublock уже устал резать все то, что прилетает в этом вашем HTTPS
     
     
  • 4.30, Аноним (14), 13:44, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Прилетает, но исключительно от владельца посещаемого вами ресурса, а не Интернет-провайдера, желающего нажиться дополнительно на рекламе.
     
     
  • 5.33, Michael Shigorin (ok), 13:47, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > исключительно от владельца посещаемого вами ресурса

    Зуб где?

     
     
  • 6.36, Аноним (14), 13:49, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Зуб где?

    Еще могут расширения браузера вставлять свою рекламу в каждый загруженный ресурс ибо имеют полный доступ к DOM просматриваемых страниц. Прецеденты также наблюдались ранее.

     
  • 6.92, gachilinux (?), 15:46, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Протестировал дистрибутив этого Шигорина,фигня полная с Systemd (Лучше свой INIT сделал,а не сидел в Opennet)
     
  • 5.66, Аноньимъ (ok), 18:42, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Прилетает, но исключительно от владельца посещаемого вами ресурса, а не Интернет-провайдера, желающего нажиться дополнительно на рекламе.

    Э нет, это не то как работает современный веб.
    На большинстве страниц половина если не больше трафика идёт вообще на другие домены.

     
  • 4.37, OpenEcho (?), 13:51, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > У меня ublock уже устал резать все то, что
    > прилетает в этом вашем HTTPS

    Боюсь что скоро прийдется ему на заслуженную пенсию, как только 3-й манифест в хроме включат, все остальные последуют толпой за гуглом


     
     
  • 5.50, pin (??), 15:40, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Согласен, полное дерьмо. И никакой коммунити не понтянет свой _нормальный_ браузер.
     
     
  • 6.61, Аноним (61), 18:05, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может какой-нибудь электрон будет поддерживать, вот и свалят все на него. Всяко лучше дырявого вечно протухшего QtWebEngine. Или уже юзеры на Оперу ливнут, китайцы вполне и заморочиться поддержкой могут (обещали во всяком случае).
     
  • 3.32, Аноним (32), 13:46, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше бы закон приняли о запрете вмешиваться в транзитный трафик клиентов. А не вот этот всё HTTPS.
     
     
  • 4.38, Аноним (14), 13:51, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Блокировка ресурсов - это технически тоже вмешательство в трафик абонента. :-)
     
  • 4.53, Ordu (ok), 16:17, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И ты поверишь в то, что закон выполняется?
     
     
  • 5.98, macfaq (?), 19:07, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Мамой клянусь!" (с)
     
  • 2.19, OpenEcho (?), 12:56, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот хоть убей не понимаю тотальной сертификации всего и вся.

    Если сервис или товар безплатен, - значит ты продукт, а не потребитель.
    Имея повсеместную ССЛ/ТЛС-езацию, можно следить за графом перемещений по интернету через ОСЦП, добавьте сюда встроенные сенсоры в браузерах и вы под колпаком у мюллера

     
     
  • 3.23, Аноним (5), 13:11, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ОСЦП можно отключить. По крайней мере в Firefox. В Librewolf он отключен по дефолту. Я вообще сейчас сижу на связке Firefox+Librewolf+куча дополнений uBlock, No Script, Clear URLs, CanvasBlocker, SmartReferer рандомный User Agent. С Librewolf просто серфлю. Если надо зайти на какой-то серьезный сайт, который таким набором безопасности тупо ломается, то захожу с Firefox. Заодно решается проблема с тем, чтобы запустить в фоне какое-нибудь музло или видос, а серфить при этом в другом браузере.
     
     
  • 4.29, Аноним (61), 13:39, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Набор безопасности… Мда, от одного аркенфокса толку больше. Носкрипт это тот который рекламирует спайварь (емнип от того же автора кстати) при каждом обновлении? Безопасность… Почему у меня ничего не ломается? Наверное, потому, что я использую фф, вместо сомнительных васяносборок.
     
     
  • 5.43, Аноним (5), 14:50, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня ничего не рекламирует Если у вас рекламирует, значит у вас уже какая то ... большой текст свёрнут, показать
     
  • 4.34, OpenEcho (?), 13:47, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ОСЦП можно отключить. По крайней мере в Firefox. В Librewolf он отключен
    > по дефолту. Я вообще сейчас сижу на связке Firefox+Librewolf+куча дополнений uBlock,
    > No Script, Clear URLs, CanvasBlocker, SmartReferer рандомный User Agent.

    И сколько нас таких ?

    Толпа хочет(!!!) рекламу, скидки и акции и ее имеют, но в догонку и тех кто понимает как это все работает и в том же либреволке нет банальной кнопки отключить джаваскрипт, а надо через заднее крыльцо (about:config) и судя по всему скоро и это поотрубают в апстриме

     
     
  • 5.49, самокатофил (?), 15:19, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://0x0.st/oHoi.png

    Web Developer Toolbox, есть для лисоподобных.

     
     
  • 6.67, Урри (ok), 18:43, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    kiss - прекрасный пакетный менеджер. Еще и вся инфраструктура развертывается элементарно в 5 минут.
     
  • 4.57, Аноним (57), 16:38, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой-то ты странный параноик. Всем рассказываешь что как делать. А не реклама ли ты сам какого нибудь малваря?
     
  • 3.77, Аноним (-), 22:13, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Если сервис или товар безплатен, - значит ты продукт, а не потребитель.

    Линуксоидам не понять.

     
  • 3.83, Аноним (83), 10:39, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > можно следить за графом перемещений по интернету через ОСЦП

    - OCSP stapling?
    - Не, не слышал.

    Читай: https://en.wikipedia.org/wiki/OCSP_stapling

    И вот так у вас всё!

     
     
  • 4.91, OpenEcho (?), 15:44, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> можно следить за графом перемещений по интернету через ОСЦП
    > - OCSP stapling?
    > - Не, не слышал.
    > Читай: https://en.wikipedia.org/wiki/OCSP_stapling
    > И вот так у вас всё!

    Ути какие умненькие подтянулись, ну так проверь, на сколько много серверов для начала поддерживают реально стайплинг, а еще подумай внимательно как этот стайплинг работает, сервер просто сам бегает на ОСЦП вместо клиента, засвечивая свой ИП, а хэш мэп сервер-ИП<=>клиент-ИП по умолчанию отстреляется кому надо самым модным браузером у клиента. В итоге и волки сыты (разгрузили нагрузку на ОСЦП) и трэкинг остался, чтоб замкнуть цепочку: сервер верифицирован через ОСЦП, а клиент<=>сервер

    "Учителя", мля...

     
     
     
    Часть нити удалена модератором

  • 6.107, OpenEcho (?), 11:30, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Английский подучи, дядел.

    Такое впечатление, что это не технарский форум, а одна гопота и хамло собрались

     
     
  • 7.117, Аноним (83), 00:41, 01/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ты реально пишешь какую-то чушь. Ты вообще, очевидно, не разбираешься в этой теме. Это же вроде всем видно.
    Я думаю, что ты просто не умеешь читать по-английски. Поэтому нифига и не понимаешь.
     
     
  • 8.120, OpenEcho (?), 15:56, 01/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты забыл сказать, стандартный тролонаброс, типа - школьник, тупой, дурной и т д ... текст свёрнут, показать
     
  • 5.103, Аноним (83), 21:22, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ... а хэш мэп сервер-ИП<=>клиент-ИП по умолчанию отстреляется кому надо самым модным браузером у клиента.

    И даже в этом случае цепочка разорвётся, если используется виртуальный name-based хостинг со SNI. А такого сейчас предостаточно.
    А ещё есть CDN-ы, за которыми прячутся чуть более чем дофига совсем разных сайтов.

     
     
  • 6.108, OpenEcho (?), 11:37, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > используется виртуальный name-based хостинг со SNI.

    У каждого SNI, - свой сертификат, а СДН копирует оригинал сайта

     
     
  • 7.118, Аноним (83), 00:45, 01/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты уже сел в лужу, по полной программе.

    Ты вообще понимаешь, что твоя схема нифига не будет работать?

     
     
  • 8.121, OpenEcho (?), 16:18, 01/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, все правильно, когда технических аргументов больше нет, то единственное ч... текст свёрнут, показать
     
  • 2.48, YetAnotherOnanym (ok), 15:17, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь, что http'шные страницы перехватываются и подменяются рекламой чуть чаще, чем постоянно.
    Доходит до смешного - на официальный портал правовой информации http://pravo.gov.ru приходится ходить через заграничный прокси.
     
     
  • 3.60, Аноним (61), 18:02, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скажи спасибо, что заграничный прокси не забанен, а то в обителях демократии нельзя получить доступ к ресурсам из-за рубежа.
     
     
  • 4.99, Тот_Самый_Анонимус (?), 19:33, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >а то в обителях демократии нельзя получить доступ к ресурсам из-за рубежа

    Логично, ящетаю. Ведь тогда люди могут ознакомиться с антидемократической пропагандой, что может посеять зёрна сомнений в правильности демократии. Нельзя допустить регресс человеческой мысли.

     
  • 3.71, пох. (?), 19:47, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь,

    поэтому мы будем всем навызывать ненужное им шифрование, но сами троянского оператора менять ни в коем случае не будем - ведь очень, очень дешево.


     
     
  • 4.73, JL2001 (ok), 20:21, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь,
    > поэтому мы будем всем навызывать ненужное им шифрование, но сами троянского оператора
    > менять ни в коем случае не будем - ведь очень, очень
    > дешево.

    так всех мобильных операторов россии ловили на таком
    на кого менять?

     
     
  • 5.79, пох. (?), 22:57, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну попробуй роиссю сменить, на какую-другую перду, я уж не знаю?

    Весь мир-то чем провинился? И точно ли о тебе заботится интересное "сообщество" из циски-амазона-прочих?

     
     
  • 6.100, Тот_Самый_Анонимус (?), 19:34, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всё верно! Только у нас капиталисты непорядочные. Потому что временя дикого капитализма в этой стране ещё не прошли. В благословенных странах такого не бывает.
     
     
  • 7.101, Аноним (-), 20:01, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всё верно! Только у нас капиталисты непорядочные. Потому что временя дикого капитализма

    Ну давай ссылку, как дойче телеком или водафон вставляют рекламу ...

    Только учти, чтобы зря не пыжится, известные "мы перенаправляем на нашу страничку, ЕСЛИ вы пользуетесь нашим dns сервисом И не отключили эту фичу И адреса не существует" или "мы перенаправляем на свою страничку, чтобы сообщить, что у вас кончился лимит тырнета/деньги"
    - немножечко не тянет на "http'шные страницы перехватываются и подменяются", да и даже за него провайдерам быстренько (по юридическим меркам) прилетело тяжелыми весами правосудия.

     
  • 5.81, yet another anonymous (?), 00:28, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых не надо в любом случае трындеть "про всех". Во-вторых, с рекламой на площадках --- совсем безобразно дела обстоят и совсем для немобильных. Но именно это безобразие ваши (или наши?) либерасты готовы отстаивать до последнего "населения".
     
  • 2.88, PnD (??), 15:06, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю насчёт добровольности, но вот хозяевам лавки обрезанный до 3 мес. (но ещё безопаснее — один месяц, я считаю) срок действия позволяет держать актуальную картину рабочих сайтов.
    Насколько проще когда (почти все) сами к тебе отмечаться приходят. Понимаете?
     
     
  • 3.94, lockywolf (ok), 16:52, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю насчёт добровольности, но вот хозяевам лавки обрезанный до 3 мес.
    > (но ещё безопаснее — один месяц, я считаю) срок действия позволяет
    > держать актуальную картину рабочих сайтов.
    > Насколько проще когда (почти все) сами к тебе отмечаться приходят. Понимаете?

    Ну купи себе платный, ей богу.

    Зачем тебе сайт, на который никто не ходит? А если друзья ходят, то дай им самоподписанный.

     
     
  • 4.111, . (?), 22:45, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Платные с длинным сроком действия - уже запрещены. Скоро в заботе о вашей "безопасности" запретят и годичные.
    И да, платных обязали точно так же стучать в логи гугля (которые пользователю недоступны, не смотря на сказочку что и это тоже для его же безопасТности) что ты к ним не забыл придти в очередной раз.

    > Зачем тебе сайт, на который никто не ходит?

    на мои, к примеру, сайты все еще люди ходят.
    Не все из них мои друзья, и никто из них не будет ставить самодельный CA (нет, просто самоподписанный не поможет, сайты сложнее хеловрота с такими уже не работают тоже, впрочем, его тоже никто ставить не будет - эти сайты ни разу не опеннет).

    А из-за заботы о безопасТносте в каждом браузере - я даже не могу держать теперь https-сайт для тех кто не боится и умеет ставить самодельные сертификаты, оставив остальным http - т-поватый браузер попытается без спросу подменить протокол, напорется на незнакомый CA и покажет пустое место.

     
     
  • 5.113, CertificateTransparencyLog (?), 10:50, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > которые пользователю недоступны, не смотря на сказочку что и это тоже для его же безопасТности

    https://crt.sh/
    https://github.com/google/certificate-transparency-go

     
  • 2.106, КО (?), 07:51, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы отсеять одних мошенников от других
     

  • 1.39, Да Щас (?), 13:52, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Если сервис или товар безплатен, - значит ты продукт, а не потребитель.

    Демагогическая сказка для покупателей лицензионной Windows.

     
     
  • 2.78, Аноним (-), 22:15, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сам пошутил, сам посмеялся
     

  • 1.40, dima741 (ok), 14:14, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и что теперь делать?? у меня сертификат от них
     
     
  • 2.56, Аноним (-), 16:28, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    повторная привика содержащая другой штам может привести к мутациям. вы уже подсели на иглу, мои соболезнования но это практически неизлечимо
     
  • 2.58, Аноним (57), 16:39, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если у тебя отозвали перевыпусти руками прям сейчас. Или просто перевыпусти руками на всякий случай.  
     
  • 2.65, Аноньимъ (ok), 18:37, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Переходите на самоподписанный.
     

  • 1.46, Аноним (-), 15:09, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом

    https://letsencrypt.org/sponsors/
    Google, Cisco, Facebook, Amazon, IBM ...
                

     
     
  • 2.59, Amazon (?), 16:54, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И что вам не так? Мы ж - сообщество?

     
     
  • 3.68, Урри (ok), 18:51, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    шкурку поправьте - уши торчат.
     
  • 3.76, Аноним (-), 21:20, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И что вам не так? Мы ж - сообщество?

    Все верно. Так же как и Linux (Foundation) тоже "некоммерческий, контролируемый сообществом".
    Просто не нужно лишний раз уточнять, что это сообщество платиновых спонсоров.

     
  • 2.75, Аноним (-), 21:19, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Google, Cisco, Facebook, Amazon, IBM ...

    список террористов , замечательное сообщество

     

  • 1.90, anonymous (??), 15:33, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Самое большое зло в современном мире это CA. Хочешь ЭЦП? Дуй в УЦ. Хочешь галку на сайт? То же самое. Нужно самостоятельно выпускать их, без централизованного брата. Тогда и проблем не будет. Про КриптоПро обязательный тоже нельзя не сказать. Нужно уходить от этого к самостоятельному выбору имплементации. Надеюсь, в светлой России будущего мы доживём до полной свободы в обеспечении собственной безопасности.
     
     
  • 2.96, Аноньимъ (ok), 18:18, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь, в светлой России будущего мы доживём

    https://youtu.be/2d9q4r54fco?t=10

     
  • 2.115, Аноним (115), 13:28, 31/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Надеюсь, в светлой России будущего мы доживём до полной свободы в обеспечении собственной
    > безопасности.

    конечно. Херак соседа дубиной по голове - и до вечера безопастно (пока не припрется из лесу еще кто с дубиной - она может оказаться подлиннее чем у тебя).

    Кроме дубья в светлой роиссе будущей перды, к сожалению, вариантов не будет - поставки из китая закончатся сразу же, как только Шиболя станет китаем.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру