Доступ по HTTPS сломан

[tlhp]

Сайт https://debianforum.ru подписан невалидным сертификатом, и, мало того, с помощью скомпрометированного SHA-1. Про поломанный CSS я уже молчу. Предлагаю немедленно исправить это, ибо авторизация MITM по HTTP в 2016 году это уже даже не смешно.

[endru]

Ну вот сломали сайт по HTTP. Давайте не будем включать https пока не прикрутим например https://letsencrypt.org/

[BULATUS]

Ну вот сломали сайт по HTTP

В смысле сломан? У меня всё показывает. Можно подробности?
Cообщение объединено 20 Январь 2016, 07:43:21

подписан невалидным сертификатом

самоподписанный и что с ним не так? Дёшево и сердито. 

с помощью скомпрометированного SHA-1

проверь ещё разок 

[endru]

В смысле сломан? У меня всё показывает. Можно подробности?

сейчас все нормально. где-то в 5-30 по МСК когда я и уважаемый ogost зашли на форум по HTTP - сайт отображался без CSS. Спустя время - все пришло в норму. Собственно писал в момент проблемы...

[BULATUS]

Просьба проверить корректную работу с протоколами... перед этим почистите куки.

[tlhp]

самоподписанный и что с ним не так? Дёшево и сердито. 

https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru

This server's certificate is not trusted, see below for details.
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.   MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings.  MORE INFO »
The server private key is not strong enough. Grade capped to B.

Хватит, не? Мой хромиум каждый выбрасывает предупреждение безопасности - никто не будет тупо жать кнопку каждый раз через твои проблемы. Короче, поставь Let's Encrypt или WoSign - там буквально 1 минута работы.

[BULATUS]

Я подумаю над этим. Пока вернул всё на место как было.

[endru]

tlhp, если надоедает нажимать кнопки - не выбирайте https, или установите сертификат локально. какой толк от https на данном форуме?

[tlhp]

какой толк от https на данном форуме?

https://www.google.com/search?q=why+https

[Malaheenee]

пока не прикрутим например https://letsencrypt.org/

Кстати, да.

[endru]

tlhp, в гугл и я могу отправить. хочу услышать вашу позицию! а пока за троллинг (пункт 3.5 правил форума) % в карму.

[BULATUS]

Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны. 

[vovan--vovan]

надеюсь все довольны.

Особенно я!    Я нифига не понял из вашего разговора, говорите на каком то абабуабском языке.

[tlhp]

Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны. 

Поздравляю, но почему-то включен устаревший SSLv3 и следовательно возможна POODLE attack: https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru
Итого только grade C. Ну или если делать совсем уже хорошо, то нужно включить SNI для https://debianforum.ru.

[BULATUS]

но почему-то включен устаревший SSLv

он был включен так как https вообще не использовался... сейчас нужный параметр прописан.
Cообщение объединено 21 Январь 2016, 19:57:05Поздравь меня ещё разок