Бабушка, смотри, я сделал двач! Войти !bnw Сегодня Клубы
Привет, TbI — HRWKA! 1239.0 пользователей не могут ошибаться!
?6941
прекрасное6443
говно5904
говнорашка5512
хуита4710
anime3065
linux2651
music2633
bnw2601
рашка2565
log2354
ололо2166
дунч1821
pic1815
сталирасты1491
украина1439
быдло1437
bnw_ppl1417
дыбр1238
гімно1158

The SSL Certificate Authority in Greece that is 1 of 2 certificate authorities in the world that provides certificates for .onion domains has told me they intend to revoke the https:// certificate for our Onion domain for unspecified violations of some clause. I've thread through it and I have no idea what they're talking about. I have literally never heard of a CA revoking an SSL certificate before.
#MSE40T (4+1) / @komar / 550 дней назад
Ваш TLS тормозит? Не беда! Мы придумали вариант TLS в виде наклейки с надписью «секурно»! https://news.ycombinator.com/item?id=16667036
#XTZMQ6 (0+2) / @komar / 678 дней назад
Посчитал, насколько S после HTTP умножает latency — и охуел.
#SISKNP (4+1) / @komar / 680 дней назад
https://www.europarl.europa.eu/ ломает gnutls.
#PEPEX2 (19) / @komar / 711 дней назад
Самая писечка в том, что «рядовому пользователю» этот tls fingerprinting вообще по хую: у него браузер хром, собранный гуглом под винду. Таких как они — миллионы, он практически невидим. А вот страдать от этой хуйни будут те самые пердолики, у которых нибыдляцкие браузеры, собранные хуй знает как, да скрипты автоматизации, сделанные на известных библиотеках. И чем краснее у пердолика глаза, тем уникальнее его отпечаток. Свои резалки трекеров, куков и джаваскриптов они могут себе только в жопу засунуть: их identity сливается еще до того, как с сервером будет установлено соединение.
#YMGF9N (2) / @komar / 719 дней назад
Кроме шуток: tls fingerprinting теперь используется на каждом углу. (недавно в этот угол я чуть не въебался ступней) Ваше «спасибо» передавайте хуесосам, которые агитировали за https в каждую жопу, потому что «сыкурно».
#L2YQ3U (0) / @komar / 719 дней назад
ssl
В сегодняшней рубрике «эсосэл обосрался»: curl https://rsload.net/
#806ZAW (0) / @komar / 1079 дней назад
ssl
Секурные хуесосы и прочие любители подолбиться в SSL среди бела дня, ваш выход. Вот приходит ко мне человек и жалуется, что очередная кривая хуета — https://stroi.mos.ru/news/rss — не работает в моем поделии. А не работает она потому, что на cURL'е сделана. Можете нажать и сами убедиться: curl https://stroi.mos.ru/news/rss Разумеется я, как человек нормальный, тянусь к кнопке «отключить проверки SSL на хуй», так как понимаю, что тем самым никогда в жизни не скомпроментирую ни одного байта информации — она и так, блять, вся публичная. Но мне интересно, че вы спизданете по этому поводу, и как правильно писать багрепорты в спортлото о том, что у них SSL не SSL.
#LMJEAJ (15) / @komar / 1092 дня назад
протухло
#ZBZRXY (2) / @anonymous / 1363 дня назад
ssl
Как запросить отзыв сертификата у домена, если допустим там меня наебали?
#M2L19K (4+1) / @moskvano / 1432 дня назад
Похоже, понял, почему у комара нету SSL. При запуске композ-файла docker-compose-ssl.yml из репа https://github.com/sameersbn/docker-redmine мы получаем SSL_ERROR_RX_RECORD_TOO_LONG, подробнее в причине ошибки буду разбираться позже, но сертификат там генерируется ка-то по еврейски. Та же самая проблема у меня на https://www.mcst.ru, а у них там то понос, то золотуха, вангую, что это обычный докеризованный сает в ДЦ (bazar@ao756:~$ curl -v -A "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0" mcst.ru >Server: Apache/2.2.22 (Ubuntu)) (пользовали бы они хойстинг, а не ВПС, проблемы бы не было, там одну капу нажать надо). Похоже, комар как-то захотел деплойнуть джекилльца, а с сертификатом получил ту же ошибку, и вынес его нахуй. Апшеронский фенотип - это, конечно, проблема для программиста.
#0Y12QZ (1) / @bazar / 1651 день назад
штеблета пошевелись тама штоле
#WXH8NC (0+2) / @anonymous / 2596 дней назад
Вроде починил. Ппц неудобно пердолиться с телефона. Скриптопоебень обновила сертификаты еще в ноябре, но вот nginx что-то не релоднула, хоть и велено было
#G4LV37 (5) / @stiletto / 2897 дней назад
TIL: http://www.rutschle.net/tech/sslh.shtml Да, оказывается не надо ебаться в глаза конфигами haproxy
#HMJ7OR (2+1) / @stiletto / 2976 дней назад

Короче, в новом Subscriber Agreement ничего сильно нового не ввели:

  • поуточняли некоторые формулировки;
  • указали, что сертификаты можно распространять и копировать;
  • пытаются через условия соглашения заставить вас не ставить 777 на все директории и вообще быть более сознательными security-wise;
  • клятвенно обещают, что сгенерированные вашим компьютером ключи (байтики) — ваша собственность (а сертификат принадлежит ISRG, кстати говоря);
  • специально для аутистов указано, что юзать сертификат после его отзыва низя. Для супер-аутистов также есть отдельный пункт про то, что приватный ключ после отзыва сертификата использовать тоже нельзя;
  • чуют, что текста как-то слишком много, поэтому пункт о privacy policy сократили и начали ссылаться на другие свои документы, которых уже целый зоопарк;
  • теперь если на вас кто-то пожалуется и ваш сертификат отзовут, то всё, его уже не вернут, даже если докажете, что ISRG была неправа (раньше ISRG оставляла за собой право как отобрать, так и вернуть);
  • обещают отозвать сертификат, если вы его используете для криминала или перехвата трафика других.
#PXD4V7 (7) / @minoru / 3050 дней назад

В StartEncrypt, недавно релизнутым клоном Let's Encrypt от StartCom, обнаружена целая куча дырок: https://www.computest.nl/blog/startencrypt-considered-harmful-today/

#1RH0DO (2) / @minoru / 3058 дней назад
Запустил я значится certbot с letsencrypt, он мне наделал 4 файла: ``` cert1.pem chain1.pem fullchain1.pem privkey1.pem ``` У софтины на сервере 3 файла: ``` ... .tls.crt ... .tls.dh ... .tls.key ``` Но, ЧСХ, самоподписанные, из-за чего я и полез на letsencrypt. Как из первых четырёх сделать вторые три?..
#N1JB7G (6) / @dluciv / 3096 дней назад
А http://letsencrypt.org/ даёт сертификаты, которыми можно подписывать свои сертификаты? Или у них можно получать много сертификатов на разные хосты? Хочется использовать для разных сервисов разные сертификаты, чтобы, если один похекают, не компромитировать остальные. Сейчас правда сервис только один, но потенциально...
#50DF1E (6) / @dluciv / 3096 дней назад

Любопытный пост о том, как модель Let's Encrypt может быть расширена для выдачи OV- и EV-сертификатов.

#19AHFG (1) / @minoru / 3136 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.