Zdravim.
Uz asi 2 dni sledujem ze mi nejde linuxos na https z odkazu ktori som mal vytvoreny. Konci to na textovom odkaze "LinuxOS 404" a textovy tucniak.
Vypla sa podpora https alebo to blbne len mne. Http ide v pohode.
Pre pridávanie komentárov sa musíte prihlásiť.
neviem, ako je to s certifikatom, ale pravdepodobne budeme riesit ten open ssl certifikat, co bude spusteny od decembra
Https naďalej funguje (https://linuxos.sk/). Odstrihol som https://m.linuxos.sk/. Napíšem o tom blog, ale v krátkosti na https://m.linuxos.sk/ bolo to isté čo na http(s)://linuxos.sk. Lets encrypt ako spomínal eMDi bude.
Ok, asi som sekol aj https://www.linuxos.sk. Povolil som aspoň presmerovanie, ale no je tam stále ten blbý sám sebou podpísaný certifikát.
Nič v zlom, ale na self signed certifikáte nie je nič zlé. Certifikačná autorita nemusí byť dôveryhodná, ako sa už viac krát prefláklo.
Celé je to blbé. Prehliadače považujú certifikáty nepodpísané autoritou za nebezpečné a vyhadzujú hnusné hlásenia hoc omnoho nebezpečnejšie je http. Keby sa jednoducho prehliadač normálne pýtal, či dôverovať certifikátu (žiadne rýchlo odtiaľto preč ako teraz) nebol by self signed certifikát nič hrozné.
Mýliš sa. Prehliadače nepovažujú self signed certifikáty za nebezpečné. Prehliadače prezentujú self signed certifikáty za nebezpečné. A to je v kombinácii s prefláknutými certifikátmy na '*' len placebo efekt na ovčanov. Áno, také certifikáty sa naozaj používajú.
ja som mal s tym problem, ked som robil FB appky, tak to bol cisty problem. prvotne to zacalo v chrome a pak aj vo FF. cize dnes ak nemam trusted certifikat, tak nenasadzujem HTTPS .... lebo BFU to nepozna a odide.
Bez DNSSEC je každé šifrovanie len paródiou na bezpečnosť. Samozrejme prehliadače chybne poukazujú na nebezpečný certifikát. CA bez DNSSEC samozrejme tiež nič nerieši, nehovoriac o tom či je lepšie veriť svojej CA, alebo štátom úplatným CA.
Prikladám malé video z môjho jednoduchého skriptu, ako sa dá DNS záznam jednoducho zmeniť vo viacerých routroch. Vždy keď vypíše PWNED! tak mám náhodný niekoho router pod kontrolou, teda ak by som chcel, je to len pre demonštráciu dnešnej bezpečnosti.
Čo s tým navrhuješ robiť? Momentálne máme doménu na forpsi, ktoré dnssec pre .sk nepodporuje.
Bola to len analýza dnešného stavu, pokiaľ nepríde masové nasadenie DNSSEC, tak sa nič moc robiť nedá, alebo to migrovať tam kde už to nasadené je.
Aj keby prišlo, tak sa nič nezmení. To zabezpečenie zodpovedá autorite, a tá sa dá uplatiť alebo nahradiť. Na trhu sú bežne dostupné napr. https proxy filtrujúce "porno". Povedzte mi, jak to môže v reále fungovať keď máme veriť dôveryhodným certifikačným autoritám? A nahradenie udp packetu s dns bez lokálnej cache na štýl peňaženky s vizitkami? Prd!
Si pamätám aj keď google malo rozhodené zlé certifikáty na ballanceroch. Už to nechcem vidieť.
Viac info v mojom blogu.
Vdaka za info.