Доступ по HTTPS сломан

Автор tlhp, 19 января 2016, 16:13:50

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

tlhp

Сайт https://debianforum.ru подписан невалидным сертификатом, и, мало того, с помощью скомпрометированного SHA-1. Про поломанный CSS я уже молчу. Предлагаю немедленно исправить это, ибо авторизация MITM по HTTP в 2016 году это уже даже не смешно.

endru

Ну вот сломали сайт по HTTP. Давайте не будем включать https пока не прикрутим например https://letsencrypt.org/

BULATUS

#2
Цитата: endru от 20 января 2016, 06:04:27Ну вот сломали сайт по HTTP
В смысле сломан? У меня всё показывает. Можно подробности?

Cообщение объединено 20 января 2016, 07:43:21

Цитата: tlhp от 19 января 2016, 16:13:50подписан невалидным сертификатом
самоподписанный и что с ним не так? Дёшево и сердито.  :)


Цитата: tlhp от 19 января 2016, 16:13:50с помощью скомпрометированного SHA-1
проверь ещё разок  ;)

endru

Цитата: BULATUS от 20 января 2016, 07:41:28В смысле сломан? У меня всё показывает. Можно подробности?
сейчас все нормально. где-то в 5-30 по МСК когда я и уважаемый ogost зашли на форум по HTTP - сайт отображался без CSS. Спустя время - все пришло в норму. Собственно писал в момент проблемы...

BULATUS

Просьба проверить корректную работу с протоколами... перед этим почистите куки.

tlhp

Цитата: BULATUS от 20 января 2016, 07:41:28самоподписанный и что с ним не так? Дёшево и сердито. 
https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru

This server's certificate is not trusted, see below for details.
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.   MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings.  MORE INFO »
The server private key is not strong enough. Grade capped to B.

Хватит, не? Мой хромиум каждый выбрасывает предупреждение безопасности - никто не будет тупо жать кнопку каждый раз через твои проблемы. Короче, поставь Let's Encrypt или WoSign - там буквально 1 минута работы.

BULATUS

Я подумаю над этим. Пока вернул всё на место как было.

endru

tlhp, если надоедает нажимать кнопки - не выбирайте https, или установите сертификат локально. какой толк от https на данном форуме?

tlhp


Malaheenee

Все мы где-то, когда-то и в чем-то были новичками.

endru

tlhp, в гугл и я могу отправить. хочу услышать вашу позицию! а пока за троллинг (пункт 3.5 правил форума) % в карму.

BULATUS

Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)

vovan--vovan

Цитата: BULATUS от 20 января 2016, 17:39:52надеюсь все довольны.
Особенно я!   :) Я нифига не понял из вашего разговора, говорите на каком то абабуабском языке. :) :) :) :) :) :) :) :) :) :)
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...

tlhp

Цитата: BULATUS от 20 января 2016, 17:39:52
Прикрутил бета-сертификат Let's Encrypt надеюсь все довольны.  :)
Поздравляю, но почему-то включен устаревший SSLv3 и следовательно возможна POODLE attack: https://www.ssllabs.com/ssltest/analyze.html?d=debianforum.ru
Итого только grade C. Ну или если делать совсем уже хорошо, то нужно включить SNI для https://debianforum.ru.

BULATUS

Цитата: tlhp от 20 января 2016, 20:14:00но почему-то включен устаревший SSLv
он был включен так как https вообще не использовался... сейчас нужный параметр прописан.

Cообщение объединено 21 января 2016, 19:57:05

Поздравь меня ещё разок :D