Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, принял решение прекратить поддержку протокола OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62373
Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
Вот настоящая забота:
https://opennet.ru/56830-tls
https://opennet.ru/53520-https
Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))
А, ну, это, конечно, всё меняет!
Ты это имел в виду, да?
ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобноеу Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все
кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
>>> у Казахстана не получилось пропихнуть MITMКазахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры.
>>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.
звездун детектед> Казахстан не сделал ничего такого,
Казахстан сделал, и все правильно что сертификат забанили.
> даже после попыток подделывать сертификаты.
ANSSI облажалась и ее выкинули из CA !!!!!
https://bugzilla.mozilla.org/show_bug.cgi?id=1272156
> Firefox может прекрасно использовать системный.
не может
https://bugzilla.mozilla.org/show_bug.cgi?id=620373
https://bugzilla.mozilla.org/show_bug.cgi?id=449498
https://bugzilla.mozilla.org/show_bug.cgi?id=454036я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь
>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишьНеумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS.
>>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156
Какое отношение это имеет к моим тезисам?
>>> Казахстан сделал, и все правильно что сертификат забанили.
Где и кого он заMITM'им?
> сертификаты в /usr/local/share/ca-certificatesа винде ты их куда будешь складывать?
а ты каждый дистр проверял?
а у тебя FF пакетированный из твоего дистра или с сайта мозиллы?
а только ты видишь эти магические сертификаты или даже тестил их?/usr/local/share/ca-certificates - у меня например нет такого ))))
и еще, это system-wide хранилище? я думал что это /var/lib/ca-certificates/ca-bundle.pem ))))
> System Trust (зачем-то же этот флажок придумали)
я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,
а из типов только Software Security Device и Builtin Object Tokenи никакие сертификаты ниоткуда не подхватываются, и что самое главное что Firefox ничего подобного официально не сапортит (см ссылки), а так конечно да, в теории можно хоть пересобрать его гвоздями прибив к чему угодно
> Где и кого он заMITM'им?
так хорошо, что не дали ничего сделать
> CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты.
> Какое отношение это имеет к моим тезисам?не остаются! после того случая этот CA убрали из доверенных, если ты про то что ДРУГИЕ гос CA остаются, ну тогда у тебя лажа с формулировкой, потому что другие госы не делали "попыток подделывать сертификаты", теперь понятно к чему тот линк? что для виновных отозвали, а не та хрень что ты написал, что они остаются безнаказанными
> а винде ты их куда будешь складывать?Открываешь файл, импорт, выбрать хранилище корневиков, поставить.
Firefox - security.enterprise_roots.enabled
security.enterprise_roots.enabled - позволяет использовать СВОИ импортированные сертификаты, но говорит FF использовать system-wide CA bundle, так как это делает тот же Хром, и именно об этом эта ветка, что у FF свое собственное хранилище, а не system-wide, начни читать с первых моих коментов
Ты на линуксе, включи настройку и проверь. Или мне тебе надо и скриншот приложить, что системные сертификаты работают?
скачай с сайта мозиллы английскую версию, не позорьсяAgence Nationale de Certification Electronique - Tun Trust Root CA - Bultin Object Token
security.enterprise_roots.enabled true
---
какая у тебя OS?
---
P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты
> скачай с сайта мозиллы английскую версию, не позорьсяЭто и есть английская официальная версия, запускалась на Debian 12. Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. Ещё есть версии моего "позора"? Какие скриншоты выложить? Номер билда, архитектура? Оно на самом деле лет 10 как работает именно в такой конфигурации, т.к. у меня именно столько лет шаблону настройки NSS и FF. До этого тоже работало, но я деталей не помню. У меня тогда другой токен был.
>>> P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты
Всё дело в том, что кто-то очень сильно безапеляционно начал утверждать чушь. Но тебе не привыкать. Кстати, что там с историей про Казахстан? Или тоже причина твоего звездежа в моей токсичности?
так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказочник> Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены.
какой к черту пакет? распакуй tar и проверь
https://download-installer.cdn.mozilla.net/pub/firefox/relea...
я кстатии проверил пакетированный FF в нескольких RPM дистрах, там security.enterprise_roots.enabled включена по умолчанию, как кстати и в версии с Mozilla CDN, и нигде нет System Trust
сейчас качаю Debian, чтобы поставить родной Mozilla .deb, и другие версии, даже не бубунту, именно Debian (у тебя же 12-ый да?), если заработает, то твоя ошибка выжившего получит премию года )))
> т.к. у меня именно столько лет шаблону настройки NSS и FF.
какому шаблону?
> Или тоже причина твоего звездежа в моей токсичности?
а ты еще и стрелочник ))))
> какой к черту пакет? распакуй tar и проверьИменно так и запущено. Я же тебе говорю, что даже дефолтный грузит профиль из домашнего каталога. А там дополнения и настройки. Ты в одном шаге от решения.
поставил Debian 12 + KDEверсия ESR которая ставится с KDE по умолчанию тоже имеет security.enterprise_roots.enabled true из коробки
скачанный Firefox stable из APT репы мозиллы - аналогично
никакого System Trust там нет
может ты просто признаешься, что ты импортируешь в Firefox системные сертификаты? И не будешь кричать с пеной у рта, что Firefox может использовать системное хранилище сертификатов?
а если не согласен, то давай Steps to reproduce, иначе балабол
Неумёха, ничего импортировать не нужно. Если ты импортируешь, то System Trust метки не получишь.Способ универсальный и работает ОЧЕНЬ давно, гуглится в один запрос: https://imgur.com/a/xF801Gf
... описан в официальной документации Firefox по ссылке: https://support.mozilla.org/en-US/kb/setting-certificate-aut...
А если ещё и научиться прописывать настройки в ~/.pki/nssdb/pkcs11.txt (он идентичен файлу с таким же именем из профиля FF, именно туда сохраняются эти настройки), то можно унифицировать настройку вообще всех приложений, которые используют NSS (LibreOffice, Evolution, Thunderbird). А некоторые продвинутые пользователи вообще рекомендуют делать симлинк из профиля FF на общепользовательские файлы из ~/.pki/nssdb. Именно так у меня и сделано. Там же унифицируется настройка SmartCard и токенов. Один раз настроил и забыл. Я тебе с самого начала не зря делал подсказку про настройку NSS, но видеть смысл в тексте ты не умеешь.
Так что там было про пену у рта и про Казахстан? Может всё же будешь человеком и извинишься за необоснованные обвинения?
дегенеративный бот удаляет коменты )))ты уже запустил wc? посчитал сколько в статье мозиллы слов import?
Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать над собой. Тем не менее рад, что у тебя заработало хотя бы.
> Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать
> над собой. Тем не менее рад, что у тебя заработало хотя
> бы.
> Признавать свои ошибки всегда тяжело.а ты трудись и у тебя получиться
> Тем не менее рад, что у тебя заработало хотя
> бы.я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))
забавная у тебя кривая реальность, сказочник )))
>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, что это за файл). Они не импортируются, просто подключается системное хранилище сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.
>>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))
> У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что
> они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла,
> в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь,
> что это за файл). Они не импортируются, просто подключается системное хранилище
> сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.видишь ли надо английский ФФ ставить, и вообще английский учить
в статье которая на сайте мозилы это дословно написано
вот три способа как можно эти сертификаты использовать и там первым предложением
"Certificates can be programmatically imported by using p11-kit-trust.so"
я же тебе предлагал грепом вордкаунтом пройтись, а ты тормозишь, ничего не понял
Linux
Using p11-kit-trust.so on LinuxCertificates can be programmatically imported by using p11-kit-trust.so from p11-kit (note that some distributions, such as Red Hat-based ones, already do this by default by shipping p11-kit-trust.so as libnsscbki.so).
This can be done by setting the SecurityDevices policy in /etc/firefox/policies/policies.json and adding an entry pointing to the p11-kit-trust.so location in the system, by manually adding it via the Security Devices manager in Preferences, or by using the modutil utility.
Preload the Certificate Databases (new profiles only)Some users will create a new profile in Firefox, manually install the certificates they need, and then distribute the various .db files (cert9.db, key4.db and secmod.db) into new profiles using this method. This is not the recommended approach, and this method only works for new profiles.
CertutilYou can use certutil to update the Firefox certificate databases from the command line. Check the Microsoft support site for more information.
>>> видишь ли надо английский ФФ ставить, и вообще английский учить.Can you summarize it for me in plain English (in your own words)? I'm getting a little bit tired of that bullshit of yours. Providing file checksums 'before' vs. 'after' is very much appreciated. Don't take as a grave offense, my only purpose is to make you more inquisitive. If those certificates were imported... Well, they must have been saved somewhere, right? So, save your breath, and show me those checksums.
>>> забавная у тебя кривая реальность, сказочник )))А столько форсу было в начале 😆
>>>> забавная у тебя кривая реальность, сказочник )))
> А столько форсу было в начале 😆я тебе уже дважды сказал, что для меня ничего не поменялось
сказочник сам придумал, сам посмеялся
тебя не отпускает никак? )))
https://imgur.com/a/bCayDDy - каких ещё вам системных сертификатов не хватает? Цепляются и системные и пользовательские. Кстати, специально выделенное Agence Nationale тебя не смущает? А почему национальное агенство Казахстана смущает? Лишь по причине того, что за французскими гос. учреждениями MITM уже замечали, а за казахским... - ты так примера и не смог привести.
Ну начни читать, можешь даже объяснить что значит вот эти твои слова:> Firefox может прекрасно использовать системный.
не может
>>> я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,Вот именно поэтому, деточка, ты и являешься неучем.
>>> а ты каждый дистр проверял?
C официальными сборками Firefox работает. Всё остальное - проблемы дистроклепателей.
>>> так хорошо, что не дали ничего сделать
Я никогда не сомневался, что из "либералов" самые лучшие запрещалкины выходят, когда они до власти дорываются. Далеко за примерами ходить не надо.
>>> не остаются!
Немцы тому примером. Начиная от органов следствия, заканчивая недавним примером c Hetzner. Всех наказали, всех удалили. Ога, аж два раза.
Да уж, MITM, так сказать, в каждый дом!
А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.
Так ты просто ставь Яндекс Чебурбраузер и всё.
> Так ты просто ставь Яндекс Чебурбраузер и всё.Откровенного трояна еще не хватало.
Это не троян. Это ФСБ-шная шпионская программа.
----
Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"...
----Если ФСБшная, то видимо разведческая. Шпионская это ФБР, Моссад или чья там еще...
феэсбээ, вообще-то - контрразведка, как и фэбээр.
в каких сервисах?
> в каких сервисах?В любых веб сервисах, например, когда у тебя на компе российский корневой серт стоит. А он стоит с большой вероятностью если чел пользует гос и банк веб сервисы в рф.
>> в каких сервисах?
> В любых веб сервисах, например, когда у тебя на компе российский корневой
> серт стоит. А он стоит с большой вероятностью если чел пользует
> гос и банк веб сервисы в рф.веб-сервис - это вполне устойчивый термин, нельзя его применять, обозначая какой-то портал государственных услуг
и ставить левый рут сертификат - это нужно быть [очень глупым человеком]
>государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом.Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт".
Неужели это тот браузер, который мы действительно заслуживаем?
https://browser.ru/> С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления
Место тут проклято.
>С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновленияС чего бы такое?
Не взлетел.
> Не взлетел.А пытался? ))
"Atom – новый браузер от Mail.ru на базе Chromium с акцентом на безопасность и приватность." - это само по себе уже очень сменой анекдот ))
>> Не взлетел.
> А пытался? ))
> "Atom – новый браузер от Mail.ru на базе Chromium с акцентом на
> безопасность и приватность." - это само по себе уже очень сменой
> анекдот ))У них был предыдущий браузер Amigo (вроде), который лез на комп из всех щелей и вёл себя как троян, потому вызывал ярость пользователей и ненависть к конторе mail.ru, которая продвигала его по модели агрессивного маркетинга. По этой причине Amigo провалился. А Atom они сделали для импортозамещения как альтернативу Яндекс браузеру, не стали пихать его насильно. Но госсектор его не заметил, может, остался осадок от Amigo. Внутри Atom -- это чисто Chromium, но движок у него давно не обновлялся.
> А Atom они сделали для > импортозамещения как альтернативу Яндекс браузеру,
Ага, у нас будети свой браузер (на базе хромиума) со совим блекджеком и троянами
> не стали пихать его насильно
смишно смишно, но до Петросяна не дотягивает
В дилло такой фигни нет и ледибёрде.
"Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.
Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.
Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.
И кто говорил что Let's Encrypt чья корова и кто её доит.
Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то?(наиболее вероятный правильный ответ - что они все же дол...6ы)
Редкая по нынешним временам приятная новость. Ещё бы DNS на такой же манер бы перевели.
Ага всё в hosts будет. Возвращаемся на начало интернета.
А что, идейа. БД будет где-то гигабайт 10. Недорого совсем.
DVD Name System, наконец-то!
Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не было".
Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт.
Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.
Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам.
Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.
>то просто продавали бы логи запросов рекламщикам.А с чего ты решил, что они самые "непродажные"?
Потому что нет открытой инфы о сделках?
Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.
> А с чего ты решил, что они самые "непродажные"?Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?
> А с чего ты решил, что они самые "непродажные"?
> Потому что нет открытой инфы о сделках?
> Ну так можно и без денег - придут из одной государственной конторы
> и пояснят им кто чья корова, и кому их можно доить.Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.
Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали.А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?
Все правильно говорили.
> А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена)В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.
фильтр Блума — это вероятностная структура данных!
он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам.
хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).Внезапно (да?) этого достаточно для CRL.
> Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не было".Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.
осетра таки надо урезать, порядка на 2 минимум
а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ.
малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...
порядков на пять.Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.
SSL сертификаты на публичных новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.
> SSL сертификаты на публичных новостных сайтах - зло. Старые устройства постоянно ругаютсяа на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо.
Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.
давай, ты не будешь говорить, что кому делать,
и тогда мы не будем тебе говорить, куда тебе следует пойти.
Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?
Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.
«Никто никогда не вернётся в 2007 год!»
> Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность
> добавлять туда рекламу и следящие скрипты?не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.
Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.
> Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и
> переехать?можешь прямо по месту прописки продолжить страдать.
Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
> Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем?А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все.
> Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?
лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза)И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь.
(чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью)
И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.
> И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.Такими фразочками будешь детей пугать. Я же могу пообщаться предметно в терминах полноценной модели атакующего: кто видит, что видит и когда видит, что из того что видят допустимо или не допустимо в моём или твоём кейсе, а что если ESNI, а что если domain fronting, а что если VPN, а где вход в этот VPN, а где выход, а через что идёт трафик до хоста, а что там при этом с таймингами и т.д. Но общаться я буду явно не с клоуном который не понимает зачем нужен TLS.
вот надуванием щек - можешь детей пугать.
Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.
А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.
> А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу.
> А браузер послушно исполнит.кругом враги! Как жыть!
>кругом враги! Как жыть!Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.
РТК, а ты что подумал?https://www.opennet.dev/opennews/art.shtml?num=52444
>Как жыть!
Пойти и обратиться на другую трёхбуквенную организацию, одной буквой лишь отличающуюся.
Ну товарищъ майор...
Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.
А кто должен страдать лишь вдвойне?
> удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресуОй, сюрпрайз-то какой!
>В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификатПропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён.
При этом удостверяющий центр и так в позиции нарушать приватность.
Наверняка их *попросили* об этом разведовательные органы.
> Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling.категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)
> При нём - ничего не отправляется. И OCSP Must Staple. Который
> требует, чтобы OCSP-ответ был прикреплён.А сервер тебе такой - "знаешь куда пройти?"
Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было.
> Наверняка их *попросили* об этом разведовательные органы.
что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.
>категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)Сфигали? Для каждого запроса не требуется свежее прикрепление.
>А сервер тебе такой - "знаешь куда пройти?"
Знаю.
>Никто не обязан поддерживать эту чудовищную несуразицу.
Несуразица это только для вас.
>что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.
Не назад, а вперёд. Теперь объекту атаки вообще никак в реалтайме не получить подтверждений. На фоне быстрой ротации сертификатов Let's Encrypt это вредно вдвойне - расследование инцидентов становится намного сложнее, и CT-логи придётся в реалтайме в огромном размере обновлять, чтобы получить хоть какую-то гарантию, что хоть какие-то следы от атаки останутся.
Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.
чем OCSP отличается от скачивания CRL с CRL DP? Правильно, ничем
Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.
Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.
Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить.Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?
> Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных.
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;
Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки.
Никакой утечки и никаких обращений от пользователя тут нет.
Да именно так (еще надо ssl_trusted_certificate с промежуточным и корневым, или как я, сам вынимаю регулярно OCSP ответы от ЦА и кормлю ими нгинкс через ssl_stapling_file, а у нгинкса исходящей связи в мир нет, обо нефиг ему там делать).. но тут есть 2 НО1. Так мало кто делает. по умолчанию это выключено и в примерах со всяких стек оверфлоу его обычно нет.
2. Самый популярный браузер (хром) болт кладёт на просроченные stapling, приклеенные к сертификату.
всякие там, палемуны начинают голосить, что сертификат не валиден (не могут проверить стаплинг, ибо просрочен), а хрому хоть бы что.тоесть, в общем, смысла мало. я так понимаю хром вообще не сильно заморачивается на тему отзыва отдельных сертификатов. он качает свой ЦРЛ, который сам наполняет по своему усмотрению, и ваш васянский, отозванный вами, сертификат там скорее всего не появится никогда. а ЦРЛ от поставщиков они не качают (покрайней мере раньше не качали и новостей, что начали, я не видел.). Я както игрался, выписал себе ЛЕ сертификат, сам же его и отозвал... в общем хром на него так и не ругался, покуда оно не скисло по дате. Давно было, надо какнить повторить тест. Вдруг чё поменялось. Зато когда они всяких симантиков гнобили, так быстро вписали куда надо и оно быстро стало орать, что сертификат - не сертификат.