Доступ по HTTPS сломан

tlhp · 19 января 2016, 16:13:50

Сайт https://debianforum.ru подписан невалидным сертификатом, и, мало того, с помощью скомпрометированного SHA-1. Про поломанный CSS я уже молчу. Предлагаю немедленно исправить это, ибо авторизация MITM по HTTP в 2016 году это уже даже не смешно.

endru · 20 января 2016, 06:04:27

Ну вот сломали сайт по HTTP. Давайте не будем включать https пока не прикрутим например https://letsencrypt.org/

BULATUS · 20 января 2016, 07:41:28

Цитата: endru от 20 января 2016, 06:04:27Ну вот сломали сайт по HTTP

В смысле сломан? У меня всё показывает. Можно подробности?

Cообщение объединено 20 января 2016, 07:43:21

Цитата: tlhp от 19 января 2016, 16:13:50подписан невалидным сертификатом

самоподписанный и что с ним не так? Дёшево и сердито.

Цитата: tlhp от 19 января 2016, 16:13:50с помощью скомпрометированного SHA-1

проверь ещё разок

endru · 20 января 2016, 08:18:28

Цитата: BULATUS от 20 января 2016, 07:41:28В смысле сломан? У меня всё показывает. Можно подробности?

сейчас все нормально. где-то в 5-30 по МСК когда я и уважаемый ogost зашли на форум по HTTP - сайт отображался без CSS. Спустя время - все пришло в норму. Собственно писал в момент проблемы...

BULATUS · 20 января 2016, 11:02:57

Просьба проверить корректную работу с протоколами... перед этим почистите куки.

tlhp · 20 января 2016, 11:27:19

Цитата: BULATUS от 20 января 2016, 07:41:28самоподписанный и что с ним не так? Дёшево и сердито.

https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru

This server's certificate is not trusted, see below for details.
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings. MORE INFO »
The server private key is not strong enough. Grade capped to B.

Хватит, не? Мой хромиум каждый выбрасывает предупреждение безопасности - никто не будет тупо жать кнопку каждый раз через твои проблемы. Короче, поставь Let's Encrypt или WoSign - там буквально 1 минута работы.

BULATUS · 20 января 2016, 11:35:01

Я подумаю над этим. Пока вернул всё на место как было.

endru · 20 января 2016, 12:14:12

tlhp, если надоедает нажимать кнопки - не выбирайте https, или установите сертификат локально. какой толк от https на данном форуме?

tlhp · 20 января 2016, 14:30:42

Цитата: endru от 20 января 2016, 12:14:12какой толк от https на данном форуме?

https://www.google.com/search?q=why+https

Malaheenee · 20 января 2016, 14:45:29

Цитата: endru от 20 января 2016, 06:04:27пока не прикрутим например https://letsencrypt.org/

Кстати, да.

endru · 20 января 2016, 15:07:07

tlhp, в гугл и я могу отправить. хочу услышать вашу позицию! а пока за троллинг (пункт 3.5 правил форума) % в карму.

BULATUS · 20 января 2016, 17:39:52

Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.

vovan--vovan · 20 января 2016, 19:13:49

Цитата: BULATUS от 20 января 2016, 17:39:52надеюсь все довольны.

Особенно я!

Я нифига не понял из вашего разговора, говорите на каком то абабуабском языке.

tlhp · 20 января 2016, 20:14:00

Цитата: BULATUS от 20 января 2016, 17:39:52
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.

Поздравляю, но почему-то включен устаревший SSLv3 и следовательно возможна POODLE attack: https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru
Итого только grade C. Ну или если делать совсем уже хорошо, то нужно включить SNI для https://debianforum.ru.

BULATUS · 21 января 2016, 19:56:01

Цитата: tlhp от 20 января 2016, 20:14:00но почему-то включен устаревший SSLv

он был включен так как https вообще не использовался... сейчас нужный параметр прописан.

Cообщение объединено 21 января 2016, 19:57:05

Поздравь меня ещё разок