Автор Тема: Доступ по HTTPS сломан  (Прочитано 5597 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tlhp

Доступ по HTTPS сломан
« : 19 Января 2016, 16:13:50 »
Сайт https://debianforum.ru подписан невалидным сертификатом, и, мало того, с помощью скомпрометированного SHA-1. Про поломанный CSS я уже молчу. Предлагаю немедленно исправить это, ибо авторизация MITM по HTTP в 2016 году это уже даже не смешно.
« Последнее редактирование: 19 Января 2016, 16:15:55 от tlhp »
 
Пользователи, которые поблагодарили этот пост: su16

Оффлайн endru

Re: Доступ по HTTPS сломан
« Ответ #1 : 20 Января 2016, 06:04:27 »
Ну вот сломали сайт по HTTP. Давайте не будем включать https пока не прикрутим например https://letsencrypt.org/

Оффлайн BULATUS

Re: Доступ по HTTPS сломан
« Ответ #2 : 20 Января 2016, 07:41:28 »
Ну вот сломали сайт по HTTP
В смысле сломан? У меня всё показывает. Можно подробности?

Cообщение объединено 20 Января 2016, 07:43:21
подписан невалидным сертификатом
самоподписанный и что с ним не так? Дёшево и сердито.  :)


с помощью скомпрометированного SHA-1
проверь ещё разок  ;)
« Последнее редактирование: 20 Января 2016, 07:43:21 от BULATUS »
 

Оффлайн endru

Re: Доступ по HTTPS сломан
« Ответ #3 : 20 Января 2016, 08:18:28 »
В смысле сломан? У меня всё показывает. Можно подробности?
сейчас все нормально. где-то в 5-30 по МСК когда я и уважаемый ogost зашли на форум по HTTP - сайт отображался без CSS. Спустя время - все пришло в норму. Собственно писал в момент проблемы...

Оффлайн BULATUS

Re: Доступ по HTTPS сломан
« Ответ #4 : 20 Января 2016, 11:02:57 »
Просьба проверить корректную работу с протоколами... перед этим почистите куки.

Оффлайн tlhp

Re: Доступ по HTTPS сломан
« Ответ #5 : 20 Января 2016, 11:27:19 »
самоподписанный и что с ним не так? Дёшево и сердито. 
https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru

This server's certificate is not trusted, see below for details.
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.   MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings.  MORE INFO »
The server private key is not strong enough. Grade capped to B.

Хватит, не? Мой хромиум каждый выбрасывает предупреждение безопасности - никто не будет тупо жать кнопку каждый раз через твои проблемы. Короче, поставь Let's Encrypt или WoSign - там буквально 1 минута работы.
 

Оффлайн BULATUS

Re: Доступ по HTTPS сломан
« Ответ #6 : 20 Января 2016, 11:35:01 »
Я подумаю над этим. Пока вернул всё на место как было.

Оффлайн endru

Re: Доступ по HTTPS сломан
« Ответ #7 : 20 Января 2016, 12:14:12 »
tlhp, если надоедает нажимать кнопки - не выбирайте https, или установите сертификат локально. какой толк от https на данном форуме?

Оффлайн tlhp

Re: Доступ по HTTPS сломан
« Ответ #8 : 20 Января 2016, 14:30:42 »
 

Оффлайн Malaheenee

Re: Доступ по HTTPS сломан
« Ответ #9 : 20 Января 2016, 14:45:29 »
Все мы где-то, когда-то и в чем-то были новичками.
 

Оффлайн endru

Re: Доступ по HTTPS сломан
« Ответ #10 : 20 Января 2016, 15:07:07 »
tlhp, в гугл и я могу отправить. хочу услышать вашу позицию! а пока за троллинг (пункт 3.5 правил форума) % в карму.

Оффлайн BULATUS

Re: Доступ по HTTPS сломан
« Ответ #11 : 20 Января 2016, 17:39:52 »
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)
 
Пользователи, которые поблагодарили этот пост: Malaheenee

Оффлайн vovan--vovan

Re: Доступ по HTTPS сломан
« Ответ #12 : 20 Января 2016, 19:13:49 »
надеюсь все довольны.
Особенно я!   :) Я нифига не понял из вашего разговора, говорите на каком то абабуабском языке. :) :) :) :) :) :) :) :) :) :)
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...
 

Оффлайн tlhp

Re: Доступ по HTTPS сломан
« Ответ #13 : 20 Января 2016, 20:14:00 »
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)
Поздравляю, но почему-то включен устаревший SSLv3 и следовательно возможна POODLE attack: https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru
Итого только grade C. Ну или если делать совсем уже хорошо, то нужно включить SNI для https://debianforum.ru.
 

Оффлайн BULATUS

Re: Доступ по HTTPS сломан
« Ответ #14 : 21 Января 2016, 19:56:01 »
но почему-то включен устаревший SSLv
он был включен так как https вообще не использовался... сейчас нужный параметр прописан.

Cообщение объединено 21 Января 2016, 19:57:05
Поздравь меня ещё разок :D
 
Пользователи, которые поблагодарили этот пост: su16

Теги:
     

    Доступ к форуму.

    Автор BULATUS

    Ответов: 0
    Просмотров: 2116
    Последний ответ 20 Октября 2013, 07:52:28
    от BULATUS