Автор Тема: Доступ по HTTPS сломан  (Прочитано 4683 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tlhp

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 88
Доступ по HTTPS сломан
« : 19 Январь 2016, 16:13:50 »
Сайт https://debianforum.ru подписан невалидным сертификатом, и, мало того, с помощью скомпрометированного SHA-1. Про поломанный CSS я уже молчу. Предлагаю немедленно исправить это, ибо авторизация MITM по HTTP в 2016 году это уже даже не смешно.
« Последнее редактирование: 19 Январь 2016, 16:15:55 от tlhp »
 
Пользователи, которые поблагодарили этот пост: su16

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Доступ по HTTPS сломан
« Ответ #1 : 20 Январь 2016, 06:04:27 »
Ну вот сломали сайт по HTTP. Давайте не будем включать https пока не прикрутим например https://letsencrypt.org/

Оффлайн BULATUS

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2061
Re: Доступ по HTTPS сломан
« Ответ #2 : 20 Январь 2016, 07:41:28 »
Ну вот сломали сайт по HTTP
В смысле сломан? У меня всё показывает. Можно подробности?

Cообщение объединено 20 Январь 2016, 07:43:21
подписан невалидным сертификатом
самоподписанный и что с ним не так? Дёшево и сердито.  :)


с помощью скомпрометированного SHA-1
проверь ещё разок  ;)
« Последнее редактирование: 20 Январь 2016, 07:43:21 от BULATUS »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Доступ по HTTPS сломан
« Ответ #3 : 20 Январь 2016, 08:18:28 »
В смысле сломан? У меня всё показывает. Можно подробности?
сейчас все нормально. где-то в 5-30 по МСК когда я и уважаемый ogost зашли на форум по HTTP - сайт отображался без CSS. Спустя время - все пришло в норму. Собственно писал в момент проблемы...

Оффлайн BULATUS

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2061
Re: Доступ по HTTPS сломан
« Ответ #4 : 20 Январь 2016, 11:02:57 »
Просьба проверить корректную работу с протоколами... перед этим почистите куки.

Оффлайн tlhp

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 88
Re: Доступ по HTTPS сломан
« Ответ #5 : 20 Январь 2016, 11:27:19 »
самоподписанный и что с ним не так? Дёшево и сердито. 
https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru

This server's certificate is not trusted, see below for details.
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.   MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings.  MORE INFO »
The server private key is not strong enough. Grade capped to B.

Хватит, не? Мой хромиум каждый выбрасывает предупреждение безопасности - никто не будет тупо жать кнопку каждый раз через твои проблемы. Короче, поставь Let's Encrypt или WoSign - там буквально 1 минута работы.
 

Оффлайн BULATUS

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2061
Re: Доступ по HTTPS сломан
« Ответ #6 : 20 Январь 2016, 11:35:01 »
Я подумаю над этим. Пока вернул всё на место как было.

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Доступ по HTTPS сломан
« Ответ #7 : 20 Январь 2016, 12:14:12 »
tlhp, если надоедает нажимать кнопки - не выбирайте https, или установите сертификат локально. какой толк от https на данном форуме?

Оффлайн tlhp

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 88
Re: Доступ по HTTPS сломан
« Ответ #8 : 20 Январь 2016, 14:30:42 »
 

Оффлайн Malaheenee

  • Ветеран
  • *****
  • Сообщений: 2565
  • Учтите, мы можем дать и вредный совет.
Re: Доступ по HTTPS сломан
« Ответ #9 : 20 Январь 2016, 14:45:29 »
Все мы где-то, когда-то и в чем-то были новичками.
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Доступ по HTTPS сломан
« Ответ #10 : 20 Январь 2016, 15:07:07 »
tlhp, в гугл и я могу отправить. хочу услышать вашу позицию! а пока за троллинг (пункт 3.5 правил форума) % в карму.

Оффлайн BULATUS

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2061
Re: Доступ по HTTPS сломан
« Ответ #11 : 20 Январь 2016, 17:39:52 »
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)
 
Пользователи, которые поблагодарили этот пост: Malaheenee

Оффлайн vovan--vovan

  • Старожил
  • ****
  • Сообщений: 550
  • Debian + i3
Re: Доступ по HTTPS сломан
« Ответ #12 : 20 Январь 2016, 19:13:49 »
надеюсь все довольны.
Особенно я!   :) Я нифига не понял из вашего разговора, говорите на каком то абабуабском языке. :) :) :) :) :) :) :) :) :) :)
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...
 

Оффлайн tlhp

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 88
Re: Доступ по HTTPS сломан
« Ответ #13 : 20 Январь 2016, 20:14:00 »
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)
Поздравляю, но почему-то включен устаревший SSLv3 и следовательно возможна POODLE attack: https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru
Итого только grade C. Ну или если делать совсем уже хорошо, то нужно включить SNI для https://debianforum.ru.
 

Оффлайн BULATUS

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2061
Re: Доступ по HTTPS сломан
« Ответ #14 : 21 Январь 2016, 19:56:01 »
но почему-то включен устаревший SSLv
он был включен так как https вообще не использовался... сейчас нужный параметр прописан.

Cообщение объединено 21 Январь 2016, 19:57:05
Поздравь меня ещё разок :D
 
Пользователи, которые поблагодарили этот пост: su16

Теги:
 

Доступ к форуму.

Автор BULATUS

Ответов: 0
Просмотров: 1951
Последний ответ 20 Октябрь 2013, 07:52:28
от BULATUS