Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о досрочном отзыве около двух миллионов TLS-сертификатов, что составляет около 1% от всех активных сертификатов данного удостоверяющего центра. Отзыв сертификатов инициирован из-за выявления несоответствия требованиям спецификации в применяемом в Let's Encrypt коде с реализацией расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Несоответствие было связано с отсутствием некоторых проверок, выполняемых в процессе согласования соединений на базе TLS-расширения ALPN, применяемого в HTTP/2. Детальная информация об инциденте будет опубликована после завершения отзыва проблемных сертификатов...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56588
Т.е. запехнут в хром проверку валидности 2млн сертификатов
что бы они не сделали ты скушаешь и попросишь добавки, я гарантирую это
не важно попросит или нет
"добавка" будет закачана принудительно
Crl? Вроде ж, можно ocsp, и проверять отзыв по требованию.Но собственно, даже если все тащить, то фильтр Блума на несколько миллионов хэшей не будет так уж много весить.
Фильтр Блума тут не применим т.к. может давать ложно-положительные срабатывания
Это ваши проблемы, поменяете сертификат, всего-то делов.
> фильтр БлумаЛеголаса чтоль?
При прошлых массовых отзывах хрому было профиг, он не проверяет OCSP. в общем он и CRL не проверяет, да и нет его у ЛЕ.
Так у LE сертификаты краткосрочные, после того как их предполагаемые сроки годности истекут можно базу отозванных очистить, все равно будут просрочены.
Что им мешало дождаться пока они истекут? Они как раз под этим лозунгом и продвигали свои сертификаты.
> Что им мешало дождаться пока они истекут? Они как раз под этим
> лозунгом и продвигали свои сертификаты.Я так понимаю - перестраховка либо нам недоговаривают о степени серьезности проблемы. Это как Самсунг с взрывающимися трубками "не не, это все миф, но трубочку верните", а потом настолько миф оказался, что они сделали специальное ОТА обновление превращающее устройства в кирпичи с надписью на экране "Верните производителю".
Раньше были времена, а теперь - мгновения\
Раньше поднимался %s, а теперь - давление.Вот хоть убей не понимаю тотальной сертификации всего и вся.
Нет, ясно, еще одно средство контроля - р-р-р-раз, отозвал сертификат и все, ресурс будет выдавать в пугалки в браузере "Вашы саидинение ны защещено!11одын", под радостно-испуганные визги ЦА, это понятно. Но зачем добровольно в это лезть?
Критикуя предлагай.
>Критикуя предлагай.тут не собрание комсомольцев, а сборище вменяемых людей.
> Критикуя предлагай.Предлагаю: все эти сертификаты и прочие "небезопасные" TLS 1.1 просто считать "небезопасным соединением" и продолжать работать соответственно. ТАК ЖЕ, КАК СЕЙЧАС БРАУЗЕРЫ РАБОТАЮТ С САЙТАМИ HTTP - ГДЕ НИКАКОГО ШИФРОВАНИЯ НЕТ ВООБЩЕ.
P.S.
Всё это коропративный пи**ёж про "небезопасность" - с HTTP они все работают, а как соединение шифровано, но "небезопасно" (то TLS слишком старый, то сертификат не такой, как корпам нонче хочется), так сразу отказываются напрочь. Смешно.
Пока браузеры работают с HTTP - смешно всё это слушать.
>> Критикуя предлагай.
> Предлагаю: все эти сертификаты и прочие "небезопасные" TLS 1.1 просто считать "небезопасным
> соединением" и продолжать работать соответственно. ТАК ЖЕ, КАК СЕЙЧАС БРАУЗЕРЫ РАБОТАЮТ
> С САЙТАМИ HTTP - ГДЕ НИКАКОГО ШИФРОВАНИЯ НЕТ ВООБЩЕ.
> P.S.
> Всё это коропративный пи**ёж про "небезопасность" - с HTTP они все работают,
> а как соединение шифровано, но "небезопасно" (то TLS слишком старый, то
> сертификат не такой, как корпам нонче хочется), так сразу отказываются напрочь.
> Смешно.
> Пока браузеры работают с HTTP - смешно всё это слушать.Это всё равно потребует crl длиной в три миллиона. А так проще простимулировать владельцев сайтов самих перевыпустить.
Уверен, что уже миллион раз предлагали, но ни одно из предложений услышано не было.
Чтобы не было чебурнета по паспорту, где провайдер втихаря подменяет ваш сертификатик и читает вашу почточку. Вообще в связи с навязыванием чебурнета в гос учреждениях, типа школ, я все больше склоняюсь ко мнению, что даже SSL/TLS уже не достаточно. Везде должно быть внедрено встроенное сквозное шифрование.
Сквозное шизофрование! А ты не думаешь что даже летсэнкрипт подсовывал старые сертификаты, кому надо. Чтобы кто надо мог всё прочитать. А сейчас снаружи им прислал разнарядку, всё выключаем, раз два. А они и рады инфоповод про себя выпустить.
Вроде ж управляется сообществом. Такие проблемы бы уже давно утекли в сеть.
случаем не тем самым сообществом на четыре буквы ?
Ага святой партией и правительством. Которое взяток не берет. Знаем такие.
Да знаем мы эти сообщества -- некоторые себя ещё intelligence называют community, например, хотя intelligent их давно уже трудно назвать.
Ой, ктобы кукарекал из дистриба под патронажем трёхбуквенной конторы, в названии которой интеллиджент точно нету.
Ну да. Сквозное. А то в некоторых протоколах дай бог SASL аутентификация есть. Где то еще по старинке голый пароль в расчете только на SSL/TLS. И если их скомпрометировать, то все. А SSL/TLS сейчас стали очень подверженными нападкам. Сам факт возможности достаточно просто отрубить всю безопасность делает данную возможность очень заманчивой для соответствующих служб. А надо делать так, чтобы это было невозможно физически. И все. А то сейчас достаточно скосить под дурачка и выпустить приказик всем добровольно-принудительно поставить файлик CA_ЭтоНеВирус.exe или даже еще проще - просто без ведома юзверей накатить его групповыми политиками, и все. Никакой защиты. Можно запросто читать какую-нибудь почту через POP3 с голым паролем. А вот с каким-нибудь WhatsApp такой фокус уже не пройдет. АНБ пусть читает. Им на меня чхать. А в своей стране можно как при Сталине стать инагентом за неосторожное высказывание нараз.
> всем добровольно-принудительно поставить файлик CA_ЭтоНеВирус.exe
> с каким-нибудь WhatsApp такой фокус уже не пройдет.Пройдёт. Надо научить CA_ЭтоНеВирус.exe патчить WhatsApp.exe. Или просто кейлоггером работать. Или удалять дрова сетевушки по приказу сверху "отключить интернет всем. срочна."
Если ты можешь впарить пользователю бинарь под запуск, то ты можешь всё. Не обязательно даже бинарь. Можно и скрипт какой.
Интернет и связь давно по паспорту.
Школьнику об этом мама не сказала
И как тогда я написал этот комментарий?
соседский вайвай не вечен :)
> соседский вайвай не вечен :)Двачеб.яди тоже.
В чем проблема обойтись без навязывания?
Хочет ресурс - отдает по http, хочет по http или https, - а там уже сам клиент решает что ему удобнее. Захочет - включит httpseverywhere.А так получается дополнительный контроль под соусом заботы об идиотах^W пользователях.
--
Для примера - я поднимал простенький сторонний бэк с простеньким api для себя любимого. И вместо того, чтобы открыть порт, повесить элементарный обработчик и юзать его из-под элементарного жабоскрипта мне пришлось сертификаты делать и cors имплементировать! Причем в качестве "сгенерировать сертификат для вашего удобства" предлагалось запустить какую-то хрень^WW сертбот из интернета под рутом. А в качестве супер-дупер-серьезной-защиты-от-мошенников предложили какую-то элементарно обходящуюся, но тем не менее обязательную cors.В результате какие-то муд... люди в интернете теперь решают имеют ли юзера право пользовать мой ресурс или нет. Причем я должен ходить к ним на поклон каждые полгода, ключики обновлять.
--
Муйня весь этот ваш современный веб. Одна сплошная бесполезная иллюзия безопасности для хомячков, чтобы не блеяли лишний раз когда их (нас всех) стригут.
Те кто «продали» тебе бесплатный сертбот еще и про тебя всё знает. Потому как у бесплатный продуктов товар это ты. А вдруг ты бандос или инагент.С другой стороны конечно юзверей более жаль чем вебмастеров так что юзверей надо защищать, а то едят всякое с лопаты.
Про то, что я товар, это понятно.
Про "все знают" все же нет. Я, само собой, из-под ограниченного юзера генерировал. Только временно доставил неудобство юзерам, перенаправив веб на другой внутренний порт (ведь сертификации нельзя сказать "вот в этой подпапке юзай, я ее навсегда для тебя перенаправлю - летсэнкрипт каждый раз рандомно все от корня генерит").Так что у них айпишечка сервера только, с сопутствующей ей довольно ограниченной информацией.
> Хочет ресурс - отдает по httpРесурс-то по хттп отдаётся.
Но к пользователю он приезжает с тоннами рекламного гомна Ростелекома.
И проблема не только в незаконном встраивании Ростелекомом своего рекламного гомна в чужие ресурсы, но проблема ещё и в том, что пользователь думает, что это рекламного гомно в ресурс встроил владелец ресурса.
И приходится для устранения этих проблем реурс пользователю отправлять по хттпс.> весь этот ваш современный веб
Ну да. На заре этого самого вашего веба в 90-х годах веб был делом энтузиастов, о корысти сильно-то и непомышлявших. А потом его настигла та же проблема замусоривания, как и в электронной почте, да и в остальных средствах обмена информацией.
Раньше если надо было информацию с веб-сервера в веб-браузер передать, то её с веб-сервера просто передавали, а в веб-браузере её просто принимали и всё.
Теперь же это стало зависеть от каких-то третьих лиц (удостоверяющих центров там всяких и т.п.).
Понятно, что нынче информацию без этих центров передавать и получать всё-равно можно - наваять вместо захвативших мир браузеров свою программу приёма информации с веб-сервера и принимать её после этого спокойно (без оглядки на центры сертификации). Но абсолютное большинство пользователей этим страдать не будет и поэтому приходится потакать системе зависимости сайтов от третьих лиц.
Так а где ответ на "В чем проблема обойтись __без навязывания__?"Вы считаете, что ни сервер ни клиент не могут сами за себя решать что им делать? Сервер не имеет права класть с пробором на возможную рекламу от промежуточного узла - просто потому, что ему пофиг? А клиент не имеет права смотреть рекламу провайдера (так услуги дешевле за счет рекламы)?
И с какого х_ра, извините, я обязан использовать https, если я просто отдаю клиенту обычный json с полями "кот поcpал": ["11:00", "17:00", "23:00"]?
> Вы считаете, что ни сервер ни клиент не могут сами за себя
> решать что им делать?Ну сервер-то с клиентом выбирать метод передачи информации могут.
Но во первых у 99% пользователей клиенты - это браузеры примерно двух-трёх сортов, которые начали пугать пользователей фразами типа - соединение не защищено, пароли украдут, деньги тем более. И эти пользователи не знают не только слов клиент/сервер, но даже слова браузер уже не знают. Знают только слово "социальная сть". Точнее и его уже не знают. Знают теперь только слово "инста". 😲
А во вторых, если каналы передачи информации между сервером и клиентом пролегают по вражеским сетям (в 99% случаев тех самых пользователей это ж именно так и есть), то провайдеры насрут в передаваемую информацию свою рекламу.
Вы снова не ответили на заданный вопрос:>> Вы считаете, что ни сервер ни клиент не могут сами за себя
>> решать что им делать?
Я поэтому и спросил, потому что понимаю границы применимости.
В вот для обычного сайта, и так заляпанного кроссдоменными скриптами и почти полностью в cdn, зачем? Ну кроме банального спуфинга страница партии "Археросы" на линк с "Владимир Пупкин - молодец"
> Чтобы не было чебурнета по паспорту, где провайдер втихаря подменяет ваш сертификатик и читает вашу почточку.можно подумать letsencrypt чем-то мешает это делать. а те кто не может- тем оно и не надо просто
Ой, для публично открытого контента сквозное шифрование -- это так важно! (гораздо важнее, чем то, что вы сдаёте, когда лезете в инфраструктуру получения единственно истинных ключей).
Зачем пользоваться интернетом в госучреждениях? Я вот недавно лежал в госбольнице. Там фри_москвобад_вайфай. Но в сеть лазил через VPN и с TorBrowser. Да, они отобразили мой MAC и номер телефона. Пусть владеют данной инфой. Но траффик очень наврядли видели. Как по мне разумный компромис: мне предоставляют доступ, я им в ответ в принципе ничего кроме факта нахождения, но они это и так по телефону видят.
Повсеместный HTTPS - это благо, чтобы мерзкие провайдеры не вставляли в незашифрованный трафик свою рекламу и не воровали пользовательские данные.Случаи уже были и неоднократно: https://www.opennet.dev/opennews/art.shtml?num=52444
Вот и у нас тоже чебурнет от ростелекома. Я точно не уверен, что они расшифровывают, но на данный момент главные страницы поисковиков точно. А ростелеком это считай гос компания. Ну вы поняли.Хотя все копрорасты такие. Купил 4G модем в ОФИЦИАЛЬНОМ салоне МТС. И даже там умудрились на***ть. Без заключения договора впихнули услугу Спутниковое ТВ, хотя договор при этом заключен быть должен и меня должна быть его копия. Все бы ничего, но теперь невозможно управлять обычными тарифами, т.к. считай у меня теперь не симка, а смарт карта для ресивера. И что тех поддержка, что сотрудники салона конечно же теперь в один голос говорят, что ничего теперь сделать нельзя.
> Я точно не уверен, что они расшифровывают, но на данный момент главные страницы поисковиков точно. А ростелеком это считай гос компания. Ну вы поняли.HTTPS можно расшифровать лишь подменой сертификата (атака класса человек посередине), но в этом случае ваш браузер немедленно выдаст предупреждение, а ресурсы, требующие HSTS, вообще закроют соединение без возможности добавления исключения.
Альтернатива - установка корневого сертификата провайдера в доверенные. Казахстан пытались два года назад на уровне целого государства, но благо их сертификат сразу же был добавлен в список отозванных всех популярных браузеров и ОС, после чего от идеи они отказались.
Они пытаются даунгрейдить до HTTP, посылая RST на HTTPS.
Пришлось от них RST с порта 443 запилить полностью.
> Они пытаются даунгрейдить до HTTP, посылая RST на HTTPS. Пришлось от них RST с порта 443 запилить полностью.Укажите название своего провайдера и регион. Народ должен знать таких "героев" и не пользоваться их услугами.
Ну кстати МТС тоже таким страдает, только рандомно. Т.е. бывает так, что с первой попытки HTTPS страница не открывается. И это точно не связано с разрывами сети. Но они умнее поступают. У них там видать какой-то ИИ. Был момент, когда такое происходило постоянно. Но они видать видят, что у меня включен HTTPS-only и что я постоянно обновляю страницу, и перстают таким страдать, чтобы не прослыть провайдером с хреновым качеством интернета и постоянными разывами.
Ну они так и сделали. Думали тетеньки тупые и тупо под шумок выполнят приказ установить еще один exe-шничек обязательно срочно и прям на все компьютеры, даже те, которые сдохли и в подвале гниют, с отчетностью в реальном времени. Вы просто не знаете, что такое работа в бюджетных организациях. Тут нет менеджеров, которые бы подсчитывали какие-то человеко-часы. Тут сидят министры с зарплатами по 500к. А они за эти бабки удавятся. И вот им надо эти бабки "отрабатывать". Они должны быть молодыми, красивыми, энергичными. Но трабл в том, что делают все это они не своими руками, а чужими. Они придумывают 100500 мероприятий. И спускают их вниз в приказном и добровольно-принудительном порядке. Администрации организаций привыкли лизать им опы, потому не могут просто сказать "нет". А внизу сидят люди, у которых и так овердофига обязанностей. И они все это должны делать условно бесплатно, т.е. успевать в свое основное рабочее время. Но раз бесплатно, значит нет никаких лимитов. Можно пихать сколько угодно. И люди естественно не успевают. Уже падают, помирают, но стискивают зубы и молчат. Т.к. призвание такое и податься больше некуда.
Вы сейчас описали типичную ойти контору.У этого есть название на самом деле - баптизм.
>но в этом случае ваш браузер немедленно выдаст предупреждение, а ресурсы, требующие HSTS, вообще закроют соединение без возможности добавления исключенияНаивняк.
Ресурсы себе правильный сертификат сами установят, или по требованию или по незнанию.
И всё.Тоже мне, много чести митмать всякое.
Во благо, бугага. У меня ublock уже устал резать все то, что прилетает в этом вашем HTTPS
Прилетает, но исключительно от владельца посещаемого вами ресурса, а не Интернет-провайдера, желающего нажиться дополнительно на рекламе.
> исключительно от владельца посещаемого вами ресурсаЗуб где?
> Зуб где?Еще могут расширения браузера вставлять свою рекламу в каждый загруженный ресурс ибо имеют полный доступ к DOM просматриваемых страниц. Прецеденты также наблюдались ранее.
Протестировал дистрибутив этого Шигорина,фигня полная с Systemd (Лучше свой INIT сделал,а не сидел в Opennet)
>Прилетает, но исключительно от владельца посещаемого вами ресурса, а не Интернет-провайдера, желающего нажиться дополнительно на рекламе.Э нет, это не то как работает современный веб.
На большинстве страниц половина если не больше трафика идёт вообще на другие домены.
> У меня ublock уже устал резать все то, что
> прилетает в этом вашем HTTPSБоюсь что скоро прийдется ему на заслуженную пенсию, как только 3-й манифест в хроме включат, все остальные последуют толпой за гуглом
Согласен, полное дерьмо. И никакой коммунити не понтянет свой _нормальный_ браузер.
Может какой-нибудь электрон будет поддерживать, вот и свалят все на него. Всяко лучше дырявого вечно протухшего QtWebEngine. Или уже юзеры на Оперу ливнут, китайцы вполне и заморочиться поддержкой могут (обещали во всяком случае).
Лучше бы закон приняли о запрете вмешиваться в транзитный трафик клиентов. А не вот этот всё HTTPS.
Блокировка ресурсов - это технически тоже вмешательство в трафик абонента. :-)
И ты поверишь в то, что закон выполняется?
"Мамой клянусь!" (с)
> Вот хоть убей не понимаю тотальной сертификации всего и вся.Если сервис или товар безплатен, - значит ты продукт, а не потребитель.
Имея повсеместную ССЛ/ТЛС-езацию, можно следить за графом перемещений по интернету через ОСЦП, добавьте сюда встроенные сенсоры в браузерах и вы под колпаком у мюллера
ОСЦП можно отключить. По крайней мере в Firefox. В Librewolf он отключен по дефолту. Я вообще сейчас сижу на связке Firefox+Librewolf+куча дополнений uBlock, No Script, Clear URLs, CanvasBlocker, SmartReferer рандомный User Agent. С Librewolf просто серфлю. Если надо зайти на какой-то серьезный сайт, который таким набором безопасности тупо ломается, то захожу с Firefox. Заодно решается проблема с тем, чтобы запустить в фоне какое-нибудь музло или видос, а серфить при этом в другом браузере.
Набор безопасности… Мда, от одного аркенфокса толку больше. Носкрипт это тот который рекламирует спайварь (емнип от того же автора кстати) при каждом обновлении? Безопасность… Почему у меня ничего не ломается? Наверное, потому, что я использую фф, вместо сомнительных васяносборок.
У меня ничего не рекламирует. Если у вас рекламирует, значит у вас уже какая то спайварь на компе. Мне по началу пользоваться NoScript было очень неудобно. Мне не нравится, когда дополнения захламляют основную панель, потому я их всегда скрываю. Но дополнения типа NoScript требуют к себе постоянного внимания. Типа по дефолту нигде скрипты не работают, надо парится с настройкой, добавлять сайты в доверенные на всех компах и телефонах, где им пользуешься. А потому я пару раз пытался им пользоваться, но почти сразу удалял. Но потом я открыл для себя панельку для дополнений Firefox. И все встало на свои места. Открываешь сайт. Просто серфишь - все норм. Захотелось коммент написать, а JS не работает? Щелкнул по панельке, щелкнул по NoScript, добавил один скриптик во временно доверенные, написал комментик, закрыл бразуер и все снова стало по дефолту. Я уже привык. Если уж сайт ломается очень сильно, то я просто открываю его во втором браузере, где нет этих дополнений и все. Этого не достаточно, чтобы меня тракать.
> ОСЦП можно отключить. По крайней мере в Firefox. В Librewolf он отключен
> по дефолту. Я вообще сейчас сижу на связке Firefox+Librewolf+куча дополнений uBlock,
> No Script, Clear URLs, CanvasBlocker, SmartReferer рандомный User Agent.И сколько нас таких ?
Толпа хочет(!!!) рекламу, скидки и акции и ее имеют, но в догонку и тех кто понимает как это все работает и в том же либреволке нет банальной кнопки отключить джаваскрипт, а надо через заднее крыльцо (about:config) и судя по всему скоро и это поотрубают в апстриме
https://0x0.st/oHoi.pngWeb Developer Toolbox, есть для лисоподобных.
kiss - прекрасный пакетный менеджер. Еще и вся инфраструктура развертывается элементарно в 5 минут.
Какой-то ты странный параноик. Всем рассказываешь что как делать. А не реклама ли ты сам какого нибудь малваря?
> Если сервис или товар безплатен, - значит ты продукт, а не потребитель.Линуксоидам не понять.
> можно следить за графом перемещений по интернету через ОСЦП- OCSP stapling?
- Не, не слышал.Читай: https://en.wikipedia.org/wiki/OCSP_stapling
И вот так у вас всё!
>> можно следить за графом перемещений по интернету через ОСЦП
> - OCSP stapling?
> - Не, не слышал.
> Читай: https://en.wikipedia.org/wiki/OCSP_stapling
> И вот так у вас всё!Ути какие умненькие подтянулись, ну так проверь, на сколько много серверов для начала поддерживают реально стайплинг, а еще подумай внимательно как этот стайплинг работает, сервер просто сам бегает на ОСЦП вместо клиента, засвечивая свой ИП, а хэш мэп сервер-ИП<=>клиент-ИП по умолчанию отстреляется кому надо самым модным браузером у клиента. В итоге и волки сыты (разгрузили нагрузку на ОСЦП) и трэкинг остался, чтоб замкнуть цепочку: сервер верифицирован через ОСЦП, а клиент<=>сервер
"Учителя", мля...
> Английский подучи, дядел.Такое впечатление, что это не технарский форум, а одна гопота и хамло собрались
Ну, ты реально пишешь какую-то чушь. Ты вообще, очевидно, не разбираешься в этой теме. Это же вроде всем видно.
Я думаю, что ты просто не умеешь читать по-английски. Поэтому нифига и не понимаешь.
> Ну, ты реально пишешь какую-то чушь. Ты вообще, очевидно, не разбираешься в
> этой теме. Это же вроде всем видно.
> Я думаю, что ты просто не умеешь читать по-английски. Поэтому нифига и
> не понимаешь.Ты забыл сказать, стандартный тролонаброс, типа - школьник, тупой, дурной и т.д.
Ты главное также дальше и продолжай, - ничего по теме технического, только балабольство, оно очень "авторитетно" выглядит, твои никчемные набросы
> ... а хэш мэп сервер-ИП<=>клиент-ИП по умолчанию отстреляется кому надо самым модным браузером у клиента.И даже в этом случае цепочка разорвётся, если используется виртуальный name-based хостинг со SNI. А такого сейчас предостаточно.
А ещё есть CDN-ы, за которыми прячутся чуть более чем дофига совсем разных сайтов.
> используется виртуальный name-based хостинг со SNI.У каждого SNI, - свой сертификат, а СДН копирует оригинал сайта
Ты уже сел в лужу, по полной программе.Ты вообще понимаешь, что твоя схема нифига не будет работать?
> Ты уже сел в лужу, по полной программе.
> Ты вообще понимаешь, что твоя схема нифига не будет работать?Ну да, все правильно, когда технических аргументов больше нет, то единственное что остается, чтоб прикрыть невежество - это гнать полную пургу, не относящуюся к теме и перейти на оскорбления уводя разговор в срань, где ты чувствуешь себя в своей "тарелке"(в толчке наверное коректнее будет).
Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь, что http'шные страницы перехватываются и подменяются рекламой чуть чаще, чем постоянно.
Доходит до смешного - на официальный портал правовой информации http://pravo.gov.ru приходится ходить через заграничный прокси.
Скажи спасибо, что заграничный прокси не забанен, а то в обителях демократии нельзя получить доступ к ресурсам из-за рубежа.
>а то в обителях демократии нельзя получить доступ к ресурсам из-за рубежаЛогично, ящетаю. Ведь тогда люди могут ознакомиться с антидемократической пропагандой, что может посеять зёрна сомнений в правильности демократии. Нельзя допустить регресс человеческой мысли.
> Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь,поэтому мы будем всем навызывать ненужное им шифрование, но сами троянского оператора менять ни в коем случае не будем - ведь очень, очень дешево.
>> Купи мегафоновскую симку и попробуй пользоваться их "самым быстрым" интернетом - увидишь,
> поэтому мы будем всем навызывать ненужное им шифрование, но сами троянского оператора
> менять ни в коем случае не будем - ведь очень, очень
> дешево.так всех мобильных операторов россии ловили на таком
на кого менять?
Ну попробуй роиссю сменить, на какую-другую перду, я уж не знаю?Весь мир-то чем провинился? И точно ли о тебе заботится интересное "сообщество" из циски-амазона-прочих?
Всё верно! Только у нас капиталисты непорядочные. Потому что временя дикого капитализма в этой стране ещё не прошли. В благословенных странах такого не бывает.
> Всё верно! Только у нас капиталисты непорядочные. Потому что временя дикого капитализмаНу давай ссылку, как дойче телеком или водафон вставляют рекламу ...
Только учти, чтобы зря не пыжится, известные "мы перенаправляем на нашу страничку, ЕСЛИ вы пользуетесь нашим dns сервисом И не отключили эту фичу И адреса не существует" или "мы перенаправляем на свою страничку, чтобы сообщить, что у вас кончился лимит тырнета/деньги"
- немножечко не тянет на "http'шные страницы перехватываются и подменяются", да и даже за него провайдерам быстренько (по юридическим меркам) прилетело тяжелыми весами правосудия.
Во-первых не надо в любом случае трындеть "про всех". Во-вторых, с рекламой на площадках --- совсем безобразно дела обстоят и совсем для немобильных. Но именно это безобразие ваши (или наши?) либерасты готовы отстаивать до последнего "населения".
Не знаю насчёт добровольности, но вот хозяевам лавки обрезанный до 3 мес. (но ещё безопаснее — один месяц, я считаю) срок действия позволяет держать актуальную картину рабочих сайтов.
Насколько проще когда (почти все) сами к тебе отмечаться приходят. Понимаете?
> Не знаю насчёт добровольности, но вот хозяевам лавки обрезанный до 3 мес.
> (но ещё безопаснее — один месяц, я считаю) срок действия позволяет
> держать актуальную картину рабочих сайтов.
> Насколько проще когда (почти все) сами к тебе отмечаться приходят. Понимаете?Ну купи себе платный, ей богу.
Зачем тебе сайт, на который никто не ходит? А если друзья ходят, то дай им самоподписанный.
Платные с длинным сроком действия - уже запрещены. Скоро в заботе о вашей "безопасности" запретят и годичные.
И да, платных обязали точно так же стучать в логи гугля (которые пользователю недоступны, не смотря на сказочку что и это тоже для его же безопасТности) что ты к ним не забыл придти в очередной раз.> Зачем тебе сайт, на который никто не ходит?
на мои, к примеру, сайты все еще люди ходят.
Не все из них мои друзья, и никто из них не будет ставить самодельный CA (нет, просто самоподписанный не поможет, сайты сложнее хеловрота с такими уже не работают тоже, впрочем, его тоже никто ставить не будет - эти сайты ни разу не опеннет).А из-за заботы о безопасТносте в каждом браузере - я даже не могу держать теперь https-сайт для тех кто не боится и умеет ставить самодельные сертификаты, оставив остальным http - т-поватый браузер попытается без спросу подменить протокол, напорется на незнакомый CA и покажет пустое место.
> которые пользователю недоступны, не смотря на сказочку что и это тоже для его же безопасТностиhttps://crt.sh/
https://github.com/google/certificate-transparency-go
Чтобы отсеять одних мошенников от других
> Если сервис или товар безплатен, - значит ты продукт, а не потребитель.Демагогическая сказка для покупателей лицензионной Windows.
Сам пошутил, сам посмеялся
и что теперь делать?? у меня сертификат от них
повторная привика содержащая другой штам может привести к мутациям. вы уже подсели на иглу, мои соболезнования но это практически неизлечимо
Если у тебя отозвали перевыпусти руками прям сейчас. Или просто перевыпусти руками на всякий случай.
Переходите на самоподписанный.
> Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществомhttps://letsencrypt.org/sponsors/
Google, Cisco, Facebook, Amazon, IBM ...
И что вам не так? Мы ж - сообщество?
шкурку поправьте - уши торчат.
> И что вам не так? Мы ж - сообщество?Все верно. Так же как и Linux (Foundation) тоже "некоммерческий, контролируемый сообществом".
Просто не нужно лишний раз уточнять, что это сообщество платиновых спонсоров.
> Google, Cisco, Facebook, Amazon, IBM ...список террористов , замечательное сообщество
Самое большое зло в современном мире это CA. Хочешь ЭЦП? Дуй в УЦ. Хочешь галку на сайт? То же самое. Нужно самостоятельно выпускать их, без централизованного брата. Тогда и проблем не будет. Про КриптоПро обязательный тоже нельзя не сказать. Нужно уходить от этого к самостоятельному выбору имплементации. Надеюсь, в светлой России будущего мы доживём до полной свободы в обеспечении собственной безопасности.
>Надеюсь, в светлой России будущего мы доживём
> Надеюсь, в светлой России будущего мы доживём до полной свободы в обеспечении собственной
> безопасности.конечно. Херак соседа дубиной по голове - и до вечера безопастно (пока не припрется из лесу еще кто с дубиной - она может оказаться подлиннее чем у тебя).
Кроме дубья в светлой роиссе будущей перды, к сожалению, вариантов не будет - поставки из китая закончатся сразу же, как только Шиболя станет китаем.