Чтобы добавлять сообщения и комментарии, .

@den-po:
den-po

badssl.com

@schors:
schors

У меня вчера был день камингаутов по SSL. Commodo изменил правила проверки организаций. У большинства дилеров на сайтах конечно же этого изменения нет. Теперь Commodo звонить по телефону только из базы налоговой службы или из DUNS. DANE ueber alles!

@sansentrailles:
sansentrailles

А где нынче модно SSL сертификаты покупать? Какой-нибудь Comodo Positive или что-то подобное.

@AlexVK:
AlexVK

CVE-2016-2183
Block cipher algorithms with block size of 64 bits (like DES and 3DES) birthday attack known as Sweet32

This is a cipher vulnerability, not limited to any specific SSL/TLS software implementation. DES and Tripple DES (3DES) block ciphers with a block size of 64 bits, have a birthday bound of approximately 4 billion blocks (or 2 to the power of 32, hence the name of this vulnerability). A man-in-the-middle (MitM) attacker, who is able to capture a large amount of encrypted network traffic, can recover sensitive plain text data.
CVE: CVE-2016-2183
NVD: CVE-2016-2183
CVSSv2: AV:N/AC:L/Au:N/C:P/I:N/A:N

Reference:
https://sweet32.info/
https://access.redhat.com/security/cve/cve-2016-2183
https://www.openssl.org/blog/blog/2016/08/24/sweet32/
Evidence:
Cipher Suite: TLSv1_1 : DES-CBC3-SHA
Cipher Suite: TLSv1_2 : DES-CBC3-SHA
Remediation:
This issue can by avoided by disabling block ciphers of 64 bit length (like DES/3DES) in all the SSL/TLS servers. Exact procedure depends on the actual implementation. Please refer to the documentation of your SSL/TLS server software and actual service software (http server, mail server, etc).

@OCTAGRAM:
OCTAGRAM

Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.

@OCTAGRAM:
OCTAGRAM

Mozilla и Apple забанят удостоверяющие центры WoSign и StartCom
Готовьтесь

@otakuSiD:
otakuSiD

Using Let’s Encrypt for free automated SSL certificates


codeproject.com

@OCTAGRAM:
OCTAGRAM

Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.

@OCTAGRAM:
OCTAGRAM

Я думал, Chrome и Firefox игнорят сертификат для моих доменов из–за того, что я их понапихал штук 70 в один сертификат, но всё не мог найти в Интернете, а какой же там предел. Нет, оказывается, это ..domain.tld не прокатывает, где бы ни находился, хоть в начале списка, хоть в конце. Причём, .domain.tld в этом списке тоже находится, но не покрывает домен четвёртого уровня. Вот если поставить .subdomain.domain.tld, то работает. Печально, слушай. Придётся больше работать над списком.

@Dant:
Dant

Тулза для тюнинга параметров крипто-алгоритмов, SSL/TLS в виндовсах без долбежки в реестр:

IIS Crypto is a free tool that gives administrators the ability to enable or disable protocols, ciphers, hashes and key exchange algorithms on Windows Server 2008, 2012 and 2016: nartac.com

support.microsoft.com

@OCTAGRAM:
OCTAGRAM

Почему я вижу в FireFox "This website does not supply ownership information", когда в сертификате ясно прописаны O и OU? Вот даже Википедия якобы не предоставляет.

@jjj:
jjj

juick advanced не умеет работать через https???

@datacompboy:
datacompboy

Блин, пришла пора даже self-signed сертификаты все обновить...

@vt:
vt

Добавил в угнич-жабберсервер поддержку STARTTLS — как и обещал, это заняло один вечер :)
xmpp.net — результаты для тестовой копии, в ближайшем времени запустим на основном домене.

@schors:
schors

*ссылка фуф, полторы недели мучался с этим енкриптом. но сделал, будь он неладен vk.com

@Balancer:
Balancer

Вот так, понадеешься на облака... С какого-то фига bower.herokuapp.com выдаёт «SSL: Handshake timed out». Другие https-сайты — всё ок. С других удалённых машин этот сайт — тоже ок. Но именно с этой — всё висит. Соответственно, bower-инфраструктура не работает. И х.з., куда копать.

@Melhior:
Melhior

Все ратуют за шифрование, обходы фаерволов с его помощью. Но в то же время кажется что они хотят делать наоборот. Вспоминаем SNI в https и понимаем что с его помощью можно снимать данные что, куда и зачем. Пусть не полностью, но блокировать доступы к сайтам по этой информации уже можно.

@stanislavv:
stanislavv

Ставим на сайт сертификат от leaderssl, подсовываем туда промежуточный сертификат от комодо.
На десктопе — сертификат ок, на фф андроидном — ок, на 5-м андроиде в стандартном браузере — тоже ок, остальные браузеры на андроиде — чаще овощ.

@schors:
schors

с сегодняшнего дня больше не работает RC4. всё

@otakuSiD:
otakuSiD

gist.github.com

ENV["SSL_CERT_FILE"] = "/usr/local/rvm/usr/ssl/certs/cacerts"

@Melhior:
Melhior

Гугл грозился отключить у себя на сайте ssl3 и rc4. Когда же наконец свершится сей факт, уже месяц прошел.

@Dimez:
Dimez

Посоны, где можно БЫСТРО купить wildcard SSL-сертификат по карте?
rapidssl ебёт вола уже третьи сутки, EU support phone всегда занят, technical chat is temporarily unavailable.
Обратный подтверждающий отзвон не прошёл (почему-то не проходит никогда)
Старый менеджер, с которым связывались, недоступен по директ номеру.

@OCTAGRAM:
OCTAGRAM

Открыл для себя SSL версию telnet: openssl s_client -connect ya.ru:443 -servername ya.ru

@schors:
schors

Всё, мордакнига ушла на TLS 1.1 и выше. Можно считать, что SNI теперь везде

@Tremerix:
Tremerix

А у вас сертификат погас! :-P А у нас... браузера красненький раскрас :(

@Zert:
Zert

А есть ли способ сделать так, чтобы к nginx мог подцепиться только тот клиент, который имеет один конкретный сертификат для SSL? Ну чтобы никто больше даже в принципе не мог установить соединение. Сертификат желательно сапоподписанный, и чтобы его потом можно было в любое время поменять.

@OCTAGRAM:
OCTAGRAM

Первый раз в жизни добился, чтобы wget научился безопасно в SSL. Оказывается, все сертификаты нужно переименовать при помощи c_rehash, и, оказывается, C:\GnuWin32\etc\wgetrc не считается за глобальный файл настроек, а C:\GnuWin32\bin\wget.ini — вполне себе да.

@Melhior:
Melhior

Let's Encrypt уже скоро на порогах интернета.

@Zert:
Zert

Почему самоподписанные сертификаты — это плохо? Не троллю, реально не понимаю, ибо мало знаю по теме.

@oreolek:
oreolek

Обновил цепочку SSL сертификатов до SHA-2. Сервер Mumble больше не ругается, тест SSL от Qualys выдаёт рейтинг А.

@qrilka:
qrilka

А чем в реальности чревато если CA подпишет 2 разных сертификата с одним и тем же serial?

@lex2d:
lex2d

Вопрос линуксоидам)
letsencrypt.org Два раза прочитал и не понял. Эти ребята делают современные дырявые сертификаты только бесплатно и без напряга. Или мутят что-то не дырявое by design?
Вероятно нужен @ArkanoiD

@Dimez:
Dimez

Додрочить nginx до а+ — бесценно.

@seeker:
seeker

Слушайте случился у меня тут коллапс мозговой деятельности.
есть у нас домен AAA.BBB, в нем есть джабберсервер XMPP.AAA.BBB. с пользователями USER@AAA.BBB
Можно ли как-нить сделать так что бы так что бы сертификат выписывать НЕ на AAA.BBB ??

@Zvezdunov:
Zvezdunov

Существуют ли сейчас п/я без ssl? Яндексы с майлами уже всё как пару тройку месяцев. Где такой ящичек можно завести.

@schors:
schors

поднял цены на SSL, перевел за кадром в y.e.

@MagoBuono:
MagoBuono

Жуйк, а стартссл выдает больше одного сертификата в руки? Или на одну физ.морду только один?

@Zawullon:
Zawullon

Жуйк, а где сейчас берут бесплатные ssl? На домен и 1 поддомен. selfsigned не хочу. знаю только про startssl. Для owncloud и ttrss хочется.

@werru:
werru

Сервер mail.dsp-sgm.ru. Обнаружил, что с ограниченным количеством отправителей у меня проблемы с получением почты SSL_accept error. Мою почту получают.
я не понимаю куда хоть копать-то!?
пример лога недошедшего до меня послания в ответе

@schors:
schors

забавно, но внезапно провайдеры саботируют блокировку github. Северен (который кстати Ростелеком) в офисе не заблокировал, at-home не заблокировал, хостинговый транзит не заблокировал. HTTPS, а IP блочить не рискуют. ну кроме Хабардистов конечно