← All posts tagged TLS

Заказываю сертификат подписи кода на ЛидерТелекоме (InstantSSL). Я привык, что всегда есть вариант через запрос сертификата (CSR) и «упрощённые» варианты для тех, кому то ли нужна безопасность, то ли нет, когда сразу даются для скачивания и ключ, и сертификат. Ещё видел на Certum безопасный вариант, когда браузер со смарт-картой взаимодействовать умеет для создания там неизвлекаемого ключа. Но это сложно, и необязательно, чтоб продавец реализовывал. Я бы и сам всё сгенерил, как мне удобно, это мои проблемы, и только дал бы CSR. На ЛидерТелекоме меня вообще не спросили, как я хочу делать сертификат, пара ключей как-то сама создалась в браузере, без особой защиты от копирования, и вот на это типа должен быть выдан сертификат после проверки.

Разработчики браузера тоже «молодцы». Вот нет, чтоб спросить: слушай, тут какие-то клоуны появились, понабрали по объявлениям, они понавычитали про всякие API в браузере, и думают, что если что-то есть, то надо это использовать. А что на самом деле-то надо? Действительно генерить незащищённую пару на жёстком диске, либо сгенерить на смарт-карте неизвлекаемую, либо сходить до компьютера, не подключённого к Интернет, сгенерить там пару, принести оттуда CSR и дать сайту как будто это локально создано.

Насколько реально влияет на SEO сертификат? HTTPS DV вместо HTTP, HTTPS OV вместо DV? Symantec вместо Comodo? На месте тех, кто продаёт, я бы тоже так писал, как по волшебству подрастёт посещаемость, ну а реально? Вроде только Гугл так делал, и то уже отменил.

Пока что я вижу, что при пересечении всяких там российско-китайских границ на университетских проксях не сможет кешироваться ничего, и в России если с сайта что-то в блок попадёт, то сайт грохнется сразу весь. И, самое неприятное, либо как-то ужимать поддомены сайта в один-два, либо брать несколько вайлдкардов, потому что в отличие от DNS, звёздочка в сертификате работает только на один уровень вложенности. Когда сайты делал, сроду не думал, как потом натянуть на них TLS. Мог, хотел и делал хосты до пятого уровня вложенности. Всё равно виртуально. И-таки потом успешно перетаскиваю по частям на VDS.

Либо как-то на Аде написать, чтоб при обнаружении по SNI запроса на неопознанный поддомен так же на лету по API запрашивался бесплатный DV сертификат от Comodo и/или Let's Encrypt, сохранялся и сразу использовался в соединении. Или скомбинировать: на сайте, где пользователь может тыкнуть адресную строку мышкой, хороший сертификат, а внутри — бесплатные DV.

Смотрю и думаю, а зачем. Может, подождать, вдруг TLS станет не таким дебильным? SNI же как-то дождались.

Рунет перейдёт на отечественное шифрование
В России внедрят собственные средства шифрования, а разработчиков браузеров обяжут поддерживать российские сертификаты безопасности. Это следует из госпрограммы «Цифровая экономика», подготовленной на межведомственной комиссии Минкомсвязи и отправленной на согласование в правительство.
Согласно проекту программы (есть у «Известий»), к 2021 году большинство участников информационного взаимодействия в цифровой экономике будут использовать отечественные средства шифрования. По словам президента Фонда информационной демократии и главы рабочей группы, отвечающей за раздел «Информационная безопасность», Ильи Массуха, в документе поставлена задача заставить производителей браузеров перейти на отечественные средства криптографии.
— Школы шифрования в мире, по сути, две — Россия и США, плюс Китай сейчас занялся этим вопросом. Наши алгоритмы очень надежны. Они одобрены специальным комитетом Международной организации по стандар­ти­за­ции (ISO),—- отметил эксперт. — Но крупнейшие мировые IT-корпорации не хотят их встраивать в свои браузеры. Госпрограммой мы поставили такую задачу. Илья Массух рассказал, что сейчас при безопасном соединении в интернете используются лишь американские сертификаты безопасности. В случае санкций против России владельцы сертификатов смогут очень просто их отозвать.

Прямо в точку! Хорошо, что этим делом занялись. Подпись бинарников ещё не забудьте. Поезд на WebAssembly ещё далёк от отъезда, вот давайте туда вклинивайтесь, сейчас в самый раз этим заняться.

Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.

Обнаружил, что в IceDragon (FireFox) ru.wikipedia.org резолвится не в 91.198.174.192, а в 5.189.172.38 с невалидным самоподписанным сертификатом
/C=AQ/ST=East Antarctica/L=Lake Vostok/O=XYZ/OU=Microbe Division/CN=xyz-httpserver-uates.com/emailAddress=dev@null

Ни про этот IP, ни про xyz-httpserver-uates.com полезного не нашёл.

Потом протёр глаза и увидел, что домен в браузере на самом деле ru.wikipedia.net.ru, а вовсе не org, который я начал ковырять в командной строке nslokoup, ping, openssl s_client, и перекинул меня на этот домен Яндекс через третью ссылку по запросу "GNAT LLVM". Весь этот wikipedia.net.ru принадлежит какому–то «XYZ», и с DNS серверами q1.jjputx.com и q2.jjputx.com та же история.

Я думал, Chrome и Firefox игнорят сертификат для моих доменов из–за того, что я их понапихал штук 70 в один сертификат, но всё не мог найти в Интернете, а какой же там предел. Нет, оказывается, это ..domain.tld не прокатывает, где бы ни находился, хоть в начале списка, хоть в конце. Причём, .domain.tld в этом списке тоже находится, но не покрывает домен четвёртого уровня. Вот если поставить .subdomain.domain.tld, то работает. Печально, слушай. Придётся больше работать над списком.

pagekite.net PageKite — прикольный реверс прокси с поддержкой туннелирования от бекэндов к фронтэндам. Поддерживает TLS и SNI. Умеет цепочки прокси для туннелей от бэкэнда к фронтэнду. Умеет несколько бэкэндов к одному фронтэнду и несколько фронтэндов к одному бэкэнду.

kousec.com
Заметил, что появилась новая версия OrenOSP, почти единственного реверс прокси, умеющего IPv6, TLS и SNI одновременно. Уже ломанул, осталось проверить, снято ли дурацкое ограничение на 6 дополнительных профилей SSL