← All posts tagged SSL

OCTAGRAM
Linux SSL Один тип на конференции админов не первую неделю пытался установить SSL от Let's Encrypt. То certbot не запустится, то апач всё равно с левым сертификатом сайт покажет.

<Яdmin> вот нафига вы этому барану еще и помогаете? кончится же очередной волной спама)
<RoLex> apt-get install python-pip && rm -fr /usr
<iacopo_R360> apt-get install python-pip && rm -fr /usr <-------------- verlihub ?
<iacopo_R360> root@555495:~# apt-get update
-bash: /usr/bin/apt-get: No such file or directory
<iacopo_R360> Rolex почему ты сделал мне эту команду? заставить меня форматировать сервер?
<iacopo_R360> buttana della miseria
<pewpew> готово, помогли, лол
OCTAGRAM
ГОСТ SSL PKI импортозамещение ЛидерТелеком (InstantSSL) про суверенный PKI по ГОСТу

Сравните цены Document Signing (ЭЦП): 10000 руб. в год у иностранного УЦ против 2000 руб. год у местного УЦ. Code Signing стоит 8500 руб. в год, у местных УЦ нет альтернатив. А, учитывая, как проверяют документы, то, что мог бы сделать местный УЦ за 2000 руб. в год, на самом деле у иностранного УЦ считается расширенной проверкой (EV) и стоит все 28000 руб. в год.

Хочется и для подписи программ, и для сайтов получать сертификаты в местных УЦ. Что скажет ЛидерТелеком?
OCTAGRAM
PKI Authenticode ЛидерТелеком InstantSSL Подкупили меня в субботу выпуском сертификата в тот же день (если не подтвердить, то сертификат отзывают через две недели). Ничего в субботу не сдвинулось. И в воскресенье не сдвинулось. Только в понедельник меня «передали» в Comodo, и в Comodo надо было по новой заполнить все данные, чтоб там тоже учётку создать. Судя по тому, что учётка дальше создаётся в Comodo, ЛидерТелеком не отвечает за то, как реализован выпуск сертификата, так что мои претензии к ним по этому поводу — мимо. Я думал, у них API, и в это API уж точно можно заслать CSR или хотя бы отпечаток ключа. А так получается, что лучшее, что они могут сделать — перепродать от другого поставщика. Может, у Thawte нормально сделано. А, может быть, у Comodo пугают-пугают, а потом в самый последний момент окажется, что можно CSR.

Идёт пятый день «того же дня», так и нет сертификата, ни через CSR сделанного, ни через браузер, вообще никакого. А я б хотел так ненавязчиво своими данными посветить в программах, которые делаю для заказчиков, чтоб через голову деловые контакты установить возможные.
OCTAGRAM
PKI TLS Authenticode ЛидерТелеком InstantSSL Заказываю сертификат подписи кода на ЛидерТелекоме (InstantSSL). Я привык, что всегда есть вариант через запрос сертификата (CSR) и «упрощённые» варианты для тех, кому то ли нужна безопасность, то ли нет, когда сразу даются для скачивания и ключ, и сертификат. Ещё видел на Certum безопасный вариант, когда браузер со смарт-картой взаимодействовать умеет для создания там неизвлекаемого ключа. Но это сложно, и необязательно, чтоб продавец реализовывал. Я бы и сам всё сгенерил, как мне удобно, это мои проблемы, и только дал бы CSR. На ЛидерТелекоме меня вообще не спросили, как я хочу делать сертификат, пара ключей как-то сама создалась в браузере, без особой защиты от копирования, и вот на это типа должен быть выдан сертификат после проверки.

Разработчики браузера тоже «молодцы». Вот нет, чтоб спросить: слушай, тут какие-то клоуны появились, понабрали по объявлениям, они понавычитали про всякие API в браузере, и думают, что если что-то есть, то надо это использовать. А что на самом деле-то надо? Действительно генерить незащищённую пару на жёстком диске, либо сгенерить на смарт-карте неизвлекаемую, либо сходить до компьютера, не подключённого к Интернет, сгенерить там пару, принести оттуда CSR и дать сайту как будто это локально создано.
OCTAGRAM
ГОСТ SSL эцп СмартКарты ESMART Решил зайти с другого конца. Мне ж вообще нужен ГОСТ хотя бы на одной смарткарте. А ГОСТ-то бывают разные. В статье «Алгоритмы в токенах с поддержкой ГОСТ» указано, что ГОСТы от 2012го года реализованы только у трёх производителей: ESMART Token ГОСТ, JaCarta ГОСТ и Рутокен ЭЦП 2.0. Причём, Рутокен ЭЦП 2.0 — это только свисток, а в Рутокен SC — до сих пор прошлое тысячелетие. Если не хочу свисток, этого в минус. Осталось два.

столбец «На что выдан сертификат» для JaCarta я выделил красным, потому сертифицировано не целиком устройство, как в случае с РУТОКЕН (выделено зелёным), и даже хотя бы не микросхема, как у ESMART Token ГОСТ (выделено жёлтым), а только некое СКЗИ Криптотокен 2 в составе изделия JaCarta ГОСТ
Налицо явный контраст с отечественным ESMART® Token ГОСТ.

Группа компаний ISBC предлагает единственный продукт в своем роде – смарт-карты ESMART® Token ГОСТ, основанные на базе отечественной микросхеме MIK 51 от ПАО «Микрон»
Российские криптографические алгоритмы ГОСТ реализованы нативно в ОС смарт-карты в маске чипа (не используются Java апплеты для реализации ГОСТ).

Выделился явный лидер. Кузнечика (2015й год) не хватает, а Стрибог — есть! Одна проблема, про ЕСМАРТ почти никто не знает. В моём СибСоцБанке предлагают Рутокен или MS_Key K. В местном УЦ Прокс в продаже тоже какие угодно, только но ЕСМАРТ. Походил по сайту ЕСМАРТ. Прочитал про печать на смарткартах, понял, что можно прямо у них заказать. Но меня смущало, сделают ли они печать на одной карте? Нашёл на сайте форму заказа, ввёл туда 1, система не ругнулась. По электронной почте, по телефону пообщались, очень приветливые и программист, и дизайнер. Спрашивал, а ничего, что я одну карту хочу, отвечали, да нет, это нормально. Чуть меньше 1000 рублей карта, 35 рублей печать, попросили логотипы выслать. Потом выяснилось, что всё же не нормально. Их производство делает минимум 24 карты, и все будут с чипами. Ну куда мне 24? Разве что раздавать на конференциях как визитки :) :) :) Но странно, что это выясняется так не сразу.

Либо они могут продать белую карту. Почитал сайт более внимательно.

Наше оборудование позволяет наносить изображения на карты с помощью технологий офсетной и цифровой печати.
материал карты наилучшим образом подходит под все типы принтеров для прямой и ретрансфертной сублимационной печати

Ага. То есть, офсетную и цифровую печать ИХ ОБОРУДОВАНИЕ ПОЗВОЛЯЕТ, а для сублимационной и реверсивной печати МАТЕРИАЛ КАРТЫ ПОДХОДИТ. Значит, всё же можно себе индивидуально карту оформить, просто не у них. Я так понял, что реверсивная печать лучше прямой сублимационной. Теперь ищу, у кого сделать. Вычитал на одном сайте такое:

Если у вас нету возможности купить принтер, то можете обратится в центр кт за услугой печати на пластиковых картах.
О! Здорово, уже хочу. И даже в Барнауле у них филиал есть, что помогло бы сэкономить на доставке. Если ЕСМАРТ в Зеленограде, а я — в Барнауле, то как-то карта должна ко мне попасть, и ради такой мелочи отдельная доставка обходится дорого. Вот если регулярное сообщение между городами идёт, то другое дело. Ещё б с указанной электронной почты кто-нибудь за неделю ответил, и порядок, а так не понятно пока.
OCTAGRAM
fsf SSL Authenticode Certum СмартКарты Интересовался темой, а какие вообще бывают токены/смарт-карты и для ЭЦП, и для PKI. Что-то смутно в памяти всплыло, что можно что-то у FSF купить и заодно поддержать их. Проверил. Значит, есть такие варианты: для Associate Member есть загрузочные карты с Линуксом. Интерфейс USB и только для хранения файлов. Вот если б они для ЭЦП такую не то смарт-карту, не то свисток сделали, не требующую считывателя, это было бы на отличненько. Но нет, это для другого. А ещё у FSF отдельно магазин, может там что есть? Что-то есть. Свисток, который умеет генерировать случайные числа и по совместительству флешка, но ни разу не криптотокен. Ещё можно было бы заказать Certum Open Source Code Signing Suite и понадеяться, что на смарткарте в этом комплекте изображено что-то такое, чтоб кому ни покажи, понятно было, что это для Open Source, что у любого условного разраба TortoiseHg такая же будет, и что я с такой картой — свой. Но я не увидел, чтоб там для опенсурсников какие-то особые смарткарты были. Вообще, всё удовольствие от смарткарт — в возможности на них что-то напечатать, а я у Certum так и не увидел, какое будет изображение. Как будет выглядеть считыватель, вижу, а карту забыли из коробочки выложить.
OCTAGRAM
криптография SSL PKI эцп уц Нашёл вменяемого УЦП. Это такой, который, проведя проверки, и ЭЦП по ГОСТу может продать, и SSL для сайтов, а если не может SSL для сайтов выпустить сам, ТАК ХОТЯ БЫ НЕ БУДЕТ ТУПИТЬ и предложит перепродать от другого УЦ, который может. И одновременно это не простой спекулянт иностранным SSL, который всё никак не догадается российскими ЭЦП заняться из того же окна. Вот на токенах и смарт-картах ГОСТ и RSA уже давно вместе, а почему тогда записывать их в разных местах.

Итак, встречайте: АНК.

Издание сертификата ЭП
SSL-сертификаты для HTTPS и TLS
Я уж и не верил, что когда-нибудь такое увижу. Для продажи SSL сотрудничает с польским Certum. Ну хотя бы так.

Если таких УЦ будет побольше, глядишь, кто-нибудь догадается ещё какие-нибудь совмещённые варианты делать. В КриптоПро есть ГОСТ для Authenticode, но действует только внутри предприятия, где доверие внутреннему УЦ. Кто-нибудь из УЦ мог бы это решение догадаться наружу выставить. Если от ГУЦ Минкомсвязи цепочка идти будет, это бы сразу решило многие проблемы.

Ещё плюсы УЦ:
У них можно купить смарт-карты еСМАРТ ГОСТ с отечественным криптопроцессором от Микрона (Зеленоград). еСМАРТ редко, где можно встретить, а у них вот есть. еСМАРТ ГОСТ, Рутокен ЭЦП 2.0 и еТокен от Алладин — это на данный момент все варианты с ГОСТами 2012го года (Стрибог). Кузнечика (2015й год) нет нигде, но хотя бы так. У Рутокена обновились только токены, а на смарт-картах до сих пор прошлое тысячелетие. Алладин — не вполне российский и сертификацию проходил довольно интересным способом, сертифицируется не всё изделие, а только модуль в нём. Так и остаётся еСМАРТ как лучший (кмк) вариант.
Держат сервис трансграничного электронного документооборота.

Минусы:
Похоже, удалённо ЭЦП записать не получится. Один-то раз, может, и получишь по почте новую СК, а через год что, выкинуть? Или новую получать, на которой не будет ещё не истёкших других сертификатов со старой, если они неизвлекаемые. Вот это не очень здорово.
OCTAGRAM
web SEO SSL TLS Насколько реально влияет на SEO сертификат? HTTPS DV вместо HTTP, HTTPS OV вместо DV? Symantec вместо Comodo? На месте тех, кто продаёт, я бы тоже так писал, как по волшебству подрастёт посещаемость, ну а реально? Вроде только Гугл так делал, и то уже отменил.

Пока что я вижу, что при пересечении всяких там российско-китайских границ на университетских проксях не сможет кешироваться ничего, и в России если с сайта что-то в блок попадёт, то сайт грохнется сразу весь. И, самое неприятное, либо как-то ужимать поддомены сайта в один-два, либо брать несколько вайлдкардов, потому что в отличие от DNS, звёздочка в сертификате работает только на один уровень вложенности. Когда сайты делал, сроду не думал, как потом натянуть на них TLS. Мог, хотел и делал хосты до пятого уровня вложенности. Всё равно виртуально. И-таки потом успешно перетаскиваю по частям на VDS.

Либо как-то на Аде написать, чтоб при обнаружении по SNI запроса на неопознанный поддомен так же на лету по API запрашивался бесплатный DV сертификат от Comodo и/или Let's Encrypt, сохранялся и сразу использовался в соединении. Или скомбинировать: на сайте, где пользователь может тыкнуть адресную строку мышкой, хороший сертификат, а внутри — бесплатные DV.

Смотрю и думаю, а зачем. Может, подождать, вдруг TLS станет не таким дебильным? SNI же как-то дождались.
OCTAGRAM
домены отзыв UX Domenus .pe Первые впечатления от регистратора Domenus (ООО «Регистратор», группа компаний Филанко):
Про глюки — правда. Зарегистрировал домен, написало «Спасибо, что выбрали нас» и что задание поставлено в очередь. Заходишь в очередь, а там — пусто. И в законченных нет. И в доменах нет. И баланс не изменился. Я уж подумал, что-то не сработало, пошёл по второму разу. Но нет, домен уже занят. Судя по WHOIS в панели управления — мной. Но в GNU jwhois этого ещё не видно. Через какое-то время баланс понизился, домен появился. В очереди заданий теперь можно наблюдать 504 Gateway Timeout.

В панели управления крутится блок «А знаете ли Вы что» с трёмя произвольно выбранными ссылками. Видишь «Став клиентом Domenus.ru, вы получаете ПРЕИМУЩЕСТВА при регистрации ДОМЕНОВ!», открываешь, перебрасывает на domenus.ru , а там — 404. Символичненько. Видишь «Для вас профессиональный хостинг стоит от 60 руб./мес у Hoster.ru», открываешь, перебрасывает на hoster.ru , а там — минимум 85 руб./мес. «Для вас» — это не про нас. Видишь «Виртуальный сервер VDS теперь доступен у Hoster.ru по выгодной цене!», открываешь, перебрасывает на hoster.ru , а там — 404. Не заладилось что-то с выгодными ценами. Это если судить по блоку «А знаете ли Вы что» в панели управления.

А так-то, конечно, что бы я там делал? В то время, как зарубежные регистраторы согласны зарегистрировать домен .pe начиная с $50 в год, RU-CENTER ломит 7 500 руб./год. Reg.ru поменьше, 5 706 руб./год. Это из тех, что я увидел на hostings.info, российском аналоге TLD List. Nameserver.ru на поверку вообще не продаёт PE, а Доменуса с их 5 080 руб./год в списке нет. Листал выдачи поисковиков, изучал, нашёл. Надо бы в hostings.info по этому поводу написать, раз уж я так повысил свою экспертизу в области перуанских доменов у российских регистраторов.

Почитал сайт Доменуса. TLS(SSL) сертификатами они торгуют, тоже не самыми дорогими среди OV и среди российских, но и чуть подороже, чем у ЛидерТелекома: 4 312 руб./год за Thawte SSL Web Server на 3 года у Доменуса против 3 708 руб./год у ЛидерТелекома до 30 ноября по «акции», который потом кааак подскочит до 9 934 руб./год. Такое чувство, что кто-то меня дурит, и Доменус делает это хотя бы менее заметно.

Но вот что плохо, CodeSign и S/MIME у Доменуса нет. То есть, если они согласно требуемым процедурам проверили актуальность данных для сертификата, а потом я захочу Authenticode такой же, надо будет к кому-то другому обращаться и ещё раз проходить проверку. И это странно. Ведь по-любому же перепродают из одного источника, и там, откуда берут сертификаты для сайтов, есть и для программ. Надо просто делать то же самое.

Очень понравилась услуга «Свидетельство о регистрации доменного имени».
Обычно используют: … Для получения товарного знакаИ у меня как раз логотип нарисованный готов, я изучаю вопрос, как всё сделать. Самый дешёвый регистратор из тех, кто продаёт перуанские домены и одновременно знает, как проверить российского ИП, ещё и за недорого свидетельство может сделать прямо в тему. Странно, домены имею у трёх регистраторов, но я раньше не знал, что такое бывает. Может, не обращал внимания. Но здесь это есть, и на видном месте, в том числе в панели управления у домена такая кнопка есть.

Техподдержка Доменуса отработала на отлично. Через банки между расчётными счетами деньги ходят традиционно долго, надо сканы платёжек с гарантийными печатями слать, чтоб сразу зачислили. При том, что я для них ещё вчера был неизвестно, кто, а тут заслал всяких сканов и претендую на услуги по несколько тысяч рублей под честное слово, что деньги будут, проверяли всего 4,5 часа. Заплатил и в тот же день купил, что хотел.

В общем, по мелочам — досадные недочёты, а то, что критично — хорошо.
OCTAGRAM
Delphi OpenSSL indy Решил не так давно делать веб-запросы в программе на необновлённом Indy. Кто его знает, этого заказчика, сможет он свежую поставить или нет. Узнал много нового. Оказывается, обычная библиотека OpenSSL к Indy не подходит, потому что там требуются некоторые функции специально для Indy вроде SSL_CTX_set_options_indy. Думаю, раз она в комплект не входит, надо скачать её с сайта Indy. А вот и нет! Где библиотека, где патч, интересные люди, однако.

Полазив по форумам, нашёл такую ссылку. Скачал самую свежую. Не подошло. Методично качал другие версии с конца, потом методом дихотомии, потом тупо взял самую старую версию. Смотрел в ФАРе, есть там эти долбаные нестандартные функции или нет. Нету. Нигде. Заглянул в архив и там прямо явно видно версии с Indy в названии. Наверное, оно. Скачал 0.9.8l. Не подошло. Скачал 0.9.8h. Не подошло. Действительно, если смотреть, что там внутри, то префиксы _indy видать, но это не всё, что нужно. Оказывается, IdSSLOpenSSLHeaders10.pas там не для красоты, и без него не работает. Я ведь хотел, чтоб Indy не пересобирать, думал, на интерфейс к новым функциям можно забить, а оказывается, что там и основной интерфейс переделан, поэтому каких-то нестандартных функций нет. Впрочем, пересобирать весь Indy не пришлось, достаточно было положить только этот файлик под правильным именем в директорию проекта, он заменил собой предустановленный dcu и нормально скомпоновался с остальными модулями.

Потом выяснилось, что хотя в Delphi 2007 версия Indy 10, но если бы я на сайте Indy зашёл в Indy 9, то там была бы ссылка на SSL Support DLL's, а оттуда — на Fulgan. Если б знал, что там всё настолько плохо, попробовал начать с WinInet. Авось его неумение в SNI проканает.
OCTAGRAM
SSL Authenticode Certum Certum с февраля 2017 года будет предоставлять сертификаты для подписи кода только при условии использования токенов. Естественно, поддерживаемых Certum, а вы что подумали? Так что если вы великий разработчик проектов с открытым кодом, бегом за штуку рублей запрыгивать на подножку уходящего поезда.
OCTAGRAM
SSL TLS Authenticode Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.
OCTAGRAM
web Яндекс TLS Обнаружил, что в IceDragon (FireFox) ru.wikipedia.org резолвится не в 91.198.174.192, а в 5.189.172.38 с невалидным самоподписанным сертификатом
/C=AQ/ST=East Antarctica/L=Lake Vostok/O=XYZ/OU=Microbe Division/CN=xyz-httpserver-uates.com/emailAddress=dev@null

Ни про этот IP, ни про xyz-httpserver-uates.com полезного не нашёл.

Потом протёр глаза и увидел, что домен в браузере на самом деле ru.wikipedia.net.ru, а вовсе не org, который я начал ковырять в командной строке nslokoup, ping, openssl s_client, и перекинул меня на этот домен Яндекс через третью ссылку по запросу "GNAT LLVM". Весь этот wikipedia.net.ru принадлежит какому–то «XYZ», и с DNS серверами q1.jjputx.com и q2.jjputx.com та же история.
OCTAGRAM
SSL PKI суверенитет Authenticode Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.
OCTAGRAM
Authenticode На хабрахабре пишут, что обретение DUNS–номера как–то положительно влияет на способность получить сертификат для подписи исполняемых файлов. Денег пока нет, но есть время оставить запрос в Fedgov, как сделал автор статьи.

Самый дешёвый сертификат, тем временем, я пока нашёл здесь. Если раскошелиться на 5 лет, то выходит по 3800 рублей в год (по курсу ЦБ РФ на момент написания поста).
OCTAGRAM
SSL TLS WildcardSSL Я думал, Chrome и Firefox игнорят сертификат для моих доменов из–за того, что я их понапихал штук 70 в один сертификат, но всё не мог найти в Интернете, а какой же там предел. Нет, оказывается, это ..domain.tld не прокатывает, где бы ни находился, хоть в начале списка, хоть в конце. Причём, .domain.tld в этом списке тоже находится, но не покрывает домен четвёртого уровня. Вот если поставить .subdomain.domain.tld, то работает. Печально, слушай. Придётся больше работать над списком.
OCTAGRAM
SSL OV Почему я вижу в FireFox "This website does not supply ownership information", когда в сертификате ясно прописаны O и OU? Вот даже Википедия якобы не предоставляет.
OCTAGRAM
интернет цензура Авторское право, как инструмент фашизации человеческого общества
А вообще, чтобы вебмастерам помочь посетителям обходить блокировки массово, можно вешать SSL на другие IP, и эти другие IP раздавать через какой–нибудь DNS, в котором все желающие поучаствовать вебмастера указывали бы альтернативные DNS. У Comodo есть три браузера, два на основе Chromium, третий на основе Firefox, и везде реализована возможность поставить свои DNS, и даже сырцы есть, так что потенциально можно пересобрать плагины, чтоб менять DNS у пользователей. Подмена DNS должна в любом захолустье работать.