← All posts tagged TLS

OCTAGRAM
FOSS ada Идёт какая-то прямо неделя принятия моих наработок в открытые проекты

I've uploaded JVM-GNAT for macOS, see
Thanks to you, I could put inside Java API files.
В оригинале документация и примеры для JGNAT не была рассчитана на проекты GPR, была устаревшая система по типу Search Directories в Делфях или include path в C, а привязки, хотя и генерировались разные, но использовались только те, что подключены. А я сделал проект, и привязки тоже проектом, и пока пытался собрать проект привязок, повылезали ошибки в случаях, когда для абстрактного метода стояла pragma Import вместо pragma Export, а также конфликты имён в разном регистре, которые генератор привязок сам не переварил. По результатам разруливания для всех стандартных Java API есть рабочие привязки. Это и приняли.

Пакет (Binding) Ada2012 Unicode NCURSES под Windows
Тут пригодился мой шаблон проекта

Работа Ada Web Server Client TLS через прокси починена
OCTAGRAM
PKI TLS Authenticode ЛидерТелеком InstantSSL Заказываю сертификат подписи кода на ЛидерТелекоме (InstantSSL). Я привык, что всегда есть вариант через запрос сертификата (CSR) и «упрощённые» варианты для тех, кому то ли нужна безопасность, то ли нет, когда сразу даются для скачивания и ключ, и сертификат. Ещё видел на Certum безопасный вариант, когда браузер со смарт-картой взаимодействовать умеет для создания там неизвлекаемого ключа. Но это сложно, и необязательно, чтоб продавец реализовывал. Я бы и сам всё сгенерил, как мне удобно, это мои проблемы, и только дал бы CSR. На ЛидерТелекоме меня вообще не спросили, как я хочу делать сертификат, пара ключей как-то сама создалась в браузере, без особой защиты от копирования, и вот на это типа должен быть выдан сертификат после проверки.

Разработчики браузера тоже «молодцы». Вот нет, чтоб спросить: слушай, тут какие-то клоуны появились, понабрали по объявлениям, они понавычитали про всякие API в браузере, и думают, что если что-то есть, то надо это использовать. А что на самом деле-то надо? Действительно генерить незащищённую пару на жёстком диске, либо сгенерить на смарт-карте неизвлекаемую, либо сходить до компьютера, не подключённого к Интернет, сгенерить там пару, принести оттуда CSR и дать сайту как будто это локально создано.
OCTAGRAM
криптография SSL PKI эцп уц Нашёл вменяемого УЦП. Это такой, который, проведя проверки, и ЭЦП по ГОСТу может продать, и SSL для сайтов, а если не может SSL для сайтов выпустить сам, ТАК ХОТЯ БЫ НЕ БУДЕТ ТУПИТЬ и предложит перепродать от другого УЦ, который может. И одновременно это не простой спекулянт иностранным SSL, который всё никак не догадается российскими ЭЦП заняться из того же окна. Вот на токенах и смарт-картах ГОСТ и RSA уже давно вместе, а почему тогда записывать их в разных местах.

Итак, встречайте: АНК.

Издание сертификата ЭП
SSL-сертификаты для HTTPS и TLS
Я уж и не верил, что когда-нибудь такое увижу. Для продажи SSL сотрудничает с польским Certum. Ну хотя бы так.

Если таких УЦ будет побольше, глядишь, кто-нибудь догадается ещё какие-нибудь совмещённые варианты делать. В КриптоПро есть ГОСТ для Authenticode, но действует только внутри предприятия, где доверие внутреннему УЦ. Кто-нибудь из УЦ мог бы это решение догадаться наружу выставить. Если от ГУЦ Минкомсвязи цепочка идти будет, это бы сразу решило многие проблемы.

Ещё плюсы УЦ:
У них можно купить смарт-карты еСМАРТ ГОСТ с отечественным криптопроцессором от Микрона (Зеленоград). еСМАРТ редко, где можно встретить, а у них вот есть. еСМАРТ ГОСТ, Рутокен ЭЦП 2.0 и еТокен от Алладин — это на данный момент все варианты с ГОСТами 2012го года (Стрибог). Кузнечика (2015й год) нет нигде, но хотя бы так. У Рутокена обновились только токены, а на смарт-картах до сих пор прошлое тысячелетие. Алладин — не вполне российский и сертификацию проходил довольно интересным способом, сертифицируется не всё изделие, а только модуль в нём. Так и остаётся еСМАРТ как лучший (кмк) вариант.
Держат сервис трансграничного электронного документооборота.

Минусы:
Похоже, удалённо ЭЦП записать не получится. Один-то раз, может, и получишь по почте новую СК, а через год что, выкинуть? Или новую получать, на которой не будет ещё не истёкших других сертификатов со старой, если они неизвлекаемые. Вот это не очень здорово.
OCTAGRAM
web SEO SSL TLS Насколько реально влияет на SEO сертификат? HTTPS DV вместо HTTP, HTTPS OV вместо DV? Symantec вместо Comodo? На месте тех, кто продаёт, я бы тоже так писал, как по волшебству подрастёт посещаемость, ну а реально? Вроде только Гугл так делал, и то уже отменил.

Пока что я вижу, что при пересечении всяких там российско-китайских границ на университетских проксях не сможет кешироваться ничего, и в России если с сайта что-то в блок попадёт, то сайт грохнется сразу весь. И, самое неприятное, либо как-то ужимать поддомены сайта в один-два, либо брать несколько вайлдкардов, потому что в отличие от DNS, звёздочка в сертификате работает только на один уровень вложенности. Когда сайты делал, сроду не думал, как потом натянуть на них TLS. Мог, хотел и делал хосты до пятого уровня вложенности. Всё равно виртуально. И-таки потом успешно перетаскиваю по частям на VDS.

Либо как-то на Аде написать, чтоб при обнаружении по SNI запроса на неопознанный поддомен так же на лету по API запрашивался бесплатный DV сертификат от Comodo и/или Let's Encrypt, сохранялся и сразу использовался в соединении. Или скомбинировать: на сайте, где пользователь может тыкнуть адресную строку мышкой, хороший сертификат, а внутри — бесплатные DV.

Смотрю и думаю, а зачем. Может, подождать, вдруг TLS станет не таким дебильным? SNI же как-то дождались.
OCTAGRAM
домены отзыв UX Domenus .pe Первые впечатления от регистратора Domenus (ООО «Регистратор», группа компаний Филанко):
Про глюки — правда. Зарегистрировал домен, написало «Спасибо, что выбрали нас» и что задание поставлено в очередь. Заходишь в очередь, а там — пусто. И в законченных нет. И в доменах нет. И баланс не изменился. Я уж подумал, что-то не сработало, пошёл по второму разу. Но нет, домен уже занят. Судя по WHOIS в панели управления — мной. Но в GNU jwhois этого ещё не видно. Через какое-то время баланс понизился, домен появился. В очереди заданий теперь можно наблюдать 504 Gateway Timeout.

В панели управления крутится блок «А знаете ли Вы что» с трёмя произвольно выбранными ссылками. Видишь «Став клиентом Domenus.ru, вы получаете ПРЕИМУЩЕСТВА при регистрации ДОМЕНОВ!», открываешь, перебрасывает на domenus.ru , а там — 404. Символичненько. Видишь «Для вас профессиональный хостинг стоит от 60 руб./мес у Hoster.ru», открываешь, перебрасывает на hoster.ru , а там — минимум 85 руб./мес. «Для вас» — это не про нас. Видишь «Виртуальный сервер VDS теперь доступен у Hoster.ru по выгодной цене!», открываешь, перебрасывает на hoster.ru , а там — 404. Не заладилось что-то с выгодными ценами. Это если судить по блоку «А знаете ли Вы что» в панели управления.

А так-то, конечно, что бы я там делал? В то время, как зарубежные регистраторы согласны зарегистрировать домен .pe начиная с $50 в год, RU-CENTER ломит 7 500 руб./год. Reg.ru поменьше, 5 706 руб./год. Это из тех, что я увидел на hostings.info, российском аналоге TLD List. Nameserver.ru на поверку вообще не продаёт PE, а Доменуса с их 5 080 руб./год в списке нет. Листал выдачи поисковиков, изучал, нашёл. Надо бы в hostings.info по этому поводу написать, раз уж я так повысил свою экспертизу в области перуанских доменов у российских регистраторов.

Почитал сайт Доменуса. TLS(SSL) сертификатами они торгуют, тоже не самыми дорогими среди OV и среди российских, но и чуть подороже, чем у ЛидерТелекома: 4 312 руб./год за Thawte SSL Web Server на 3 года у Доменуса против 3 708 руб./год у ЛидерТелекома до 30 ноября по «акции», который потом кааак подскочит до 9 934 руб./год. Такое чувство, что кто-то меня дурит, и Доменус делает это хотя бы менее заметно.

Но вот что плохо, CodeSign и S/MIME у Доменуса нет. То есть, если они согласно требуемым процедурам проверили актуальность данных для сертификата, а потом я захочу Authenticode такой же, надо будет к кому-то другому обращаться и ещё раз проходить проверку. И это странно. Ведь по-любому же перепродают из одного источника, и там, откуда берут сертификаты для сайтов, есть и для программ. Надо просто делать то же самое.

Очень понравилась услуга «Свидетельство о регистрации доменного имени».
Обычно используют: … Для получения товарного знакаИ у меня как раз логотип нарисованный готов, я изучаю вопрос, как всё сделать. Самый дешёвый регистратор из тех, кто продаёт перуанские домены и одновременно знает, как проверить российского ИП, ещё и за недорого свидетельство может сделать прямо в тему. Странно, домены имею у трёх регистраторов, но я раньше не знал, что такое бывает. Может, не обращал внимания. Но здесь это есть, и на видном месте, в том числе в панели управления у домена такая кнопка есть.

Техподдержка Доменуса отработала на отлично. Через банки между расчётными счетами деньги ходят традиционно долго, надо сканы платёжек с гарантийными печатями слать, чтоб сразу зачислили. При том, что я для них ещё вчера был неизвестно, кто, а тут заслал всяких сканов и претендую на услуги по несколько тысяч рублей под честное слово, что деньги будут, проверяли всего 4,5 часа. Заплатил и в тот же день купил, что хотел.

В общем, по мелочам — досадные недочёты, а то, что критично — хорошо.
OCTAGRAM
TLS WebAssembly Authenticode МинКомСвязи Рунет перейдёт на отечественное шифрование
В России внедрят собственные средства шифрования, а разработчиков браузеров обяжут поддерживать российские сертификаты безопасности. Это следует из госпрограммы «Цифровая экономика», подготовленной на межведомственной комиссии Минкомсвязи и отправленной на согласование в правительство.
Согласно проекту программы (есть у «Известий»), к 2021 году большинство участников информационного взаимодействия в цифровой экономике будут использовать отечественные средства шифрования. По словам президента Фонда информационной демократии и главы рабочей группы, отвечающей за раздел «Информационная безопасность», Ильи Массуха, в документе поставлена задача заставить производителей браузеров перейти на отечественные средства криптографии.
— Школы шифрования в мире, по сути, две — Россия и США, плюс Китай сейчас занялся этим вопросом. Наши алгоритмы очень надежны. Они одобрены специальным комитетом Международной организации по стандар­ти­за­ции (ISO),—- отметил эксперт. — Но крупнейшие мировые IT-корпорации не хотят их встраивать в свои браузеры. Госпрограммой мы поставили такую задачу. Илья Массух рассказал, что сейчас при безопасном соединении в интернете используются лишь американские сертификаты безопасности. В случае санкций против России владельцы сертификатов смогут очень просто их отозвать.

Прямо в точку! Хорошо, что этим делом занялись. Подпись бинарников ещё не забудьте. Поезд на WebAssembly ещё далёк от отъезда, вот давайте туда вклинивайтесь, сейчас в самый раз этим заняться.
OCTAGRAM
SSL TLS Authenticode Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.
OCTAGRAM
web Яндекс TLS Обнаружил, что в IceDragon (FireFox) ru.wikipedia.org резолвится не в 91.198.174.192, а в 5.189.172.38 с невалидным самоподписанным сертификатом
/C=AQ/ST=East Antarctica/L=Lake Vostok/O=XYZ/OU=Microbe Division/CN=xyz-httpserver-uates.com/emailAddress=dev@null

Ни про этот IP, ни про xyz-httpserver-uates.com полезного не нашёл.

Потом протёр глаза и увидел, что домен в браузере на самом деле ru.wikipedia.net.ru, а вовсе не org, который я начал ковырять в командной строке nslokoup, ping, openssl s_client, и перекинул меня на этот домен Яндекс через третью ссылку по запросу "GNAT LLVM". Весь этот wikipedia.net.ru принадлежит какому–то «XYZ», и с DNS серверами q1.jjputx.com и q2.jjputx.com та же история.
OCTAGRAM
SSL TLS WildcardSSL Я думал, Chrome и Firefox игнорят сертификат для моих доменов из–за того, что я их понапихал штук 70 в один сертификат, но всё не мог найти в Интернете, а какой же там предел. Нет, оказывается, это ..domain.tld не прокатывает, где бы ни находился, хоть в начале списка, хоть в конце. Причём, .domain.tld в этом списке тоже находится, но не покрывает домен четвёртого уровня. Вот если поставить .subdomain.domain.tld, то работает. Печально, слушай. Придётся больше работать над списком.
OCTAGRAM
web SSL TLS PageKite SNI pagekite.net PageKite — прикольный реверс прокси с поддержкой туннелирования от бекэндов к фронтэндам. Поддерживает TLS и SNI. Умеет цепочки прокси для туннелей от бэкэнда к фронтэнду. Умеет несколько бэкэндов к одному фронтэнду и несколько фронтэндов к одному бэкэнду.
OCTAGRAM
IPv6 SSL TLS OrenOSP kousec.com
Заметил, что появилась новая версия OrenOSP, почти единственного реверс прокси, умеющего IPv6, TLS и SNI одновременно. Уже ломанул, осталось проверить, снято ли дурацкое ограничение на 6 дополнительных профилей SSL
OCTAGRAM
SSL Как Proof of conept, TLS SNI я у себя уже посмотрел в действии. Один домен подписан StartCom (StartSSL), другой — Root CA (CAcert.org), и всё это один IP и один порт. Только вот в orenosp не могу понять, как несколько доменов на один SSL профиль повесить и как wildcard сделать. В доках не описано. Запятые, двоеточия, пробелы перепробовал. wildcard не работает ни для *.домена, ни для .домена. Может, не реализовано? Пока некритично, так что оставлю как есть.
OCTAGRAM
SSL kousec.com
Rather than dedicating a global IP address to each virtual server, position VPSes behind a NAT and Orenosp. This way, each virtual server can have an SSL virtual host with independent PKI certificate (Orenosp uses TLS SNI). This will make sense when global IPv4 addresses are scarse resource.
Как я понял, бесплатные сертификаты от StartSSL можно повесить на домены 2го уровня, а на поддомены — менее уважаемые сертификаты от CACert. Наконец, для .bit–доменов и вовсе самоподписанные использовать, хеш которых внесён в БД Namecoin.