anonymous@RULINUX.NET~# Last login: 2024-11-15 19:04:44
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Новая веха в истории Рулинукса

Рулинукс стал настоящим Certificate Authority, и может подписывать SSL-сертификаты! А это значит, что нет больше нужды делать какие-то ненадёжные self-signed сертификаты, так как есть проверенный центр, который авторитетно может подтвердить, что сертификат настоящий. Это особенно важно в наш век интернет-слежки, где man-in-the-middle подстерегает пользователей не только in the middle, но чуть ли не за каждым углом.

Пока что многие популярные приложения не считают наш CA действительно авторитетным, но в скором времени он займёт место среди таких компаний, как Verisign и Thawte. Более того, так как Рулинукс обещает(тм), что никогда не передаст свои приватные ключи в NSA или ФСБ, репутация у него будет даже выше, чем у этих сомнительных корпораций - акул капитализма. Надеюсь, скоро наш бизнес по подписыванию сертификатов пойдёт вверх, и администрация форума станет настолько богатой, что сможет бросить работу и заниматься любимыми делами. Я, например, планирую на заработанные деньги купить себе скромный домик около Рейкьявика, где буду коротать остаток своей успешной жизни.

А теперь, собственно, по делу. Теперь у нас работает SSL, причем должен он работать как для rulinux.net, так и для www.rulinux.net. Спасибо технологиям Subject Alternative Names и wildcard-ам. Если у кого-то оно не заработает, то, увы, вашему браузеру больше 10 лет, и вы видите предупреждения о проблемах с SSL на каждом втором сайте в интернете.

Нетерпеливые могут сразу пройти на https://rulinux.net или https://www.rulinux.net, но я этого делать не рекомендую, пока вы не добавите CA в свой браузер. После добавления, по идее, даже самые недоверчивые параноики будут довольны, т.к. наш приватный ключ уж точно не у спецслужб, и рулинукс в этом плане действительно круче, чем какой-нибудь Verisign. Ну, если вы, конечно, доверяете тому, кто этот ключ сделал, но тут уж ничего не поделаешь:)

Многие люди в интернетах рекомендуют не передавать сертификат CA по совсем открытым каналам, опасаясь того самого man-in-the-middle, потому я выложил его в трёх разных местах, два из который вполне защищены каким-то https-ом. Да, 100-% гарантий на отсутствие MiTM нет, но всё же. Параноики могут скачать все три сертификата и сравнить их, отписавшись тут о возможных проблемах.

Сертификат в трёх местах (один и тот же):

https://mega.co.nz/#!F5RCRKqS!NyGJSxFcc-TG9LDGg-i20io9uFYL2CGfsWDlM8P6ZZo - у толстого Кима Доткома в Новой Зеландии (хочет браузер с localStorage, но зато как бы совсем надёжно).

https://docs.google.com/file/d/0B5C6M_ZUicFgaHRKTHdWejFkLTA/edit?usp=sharing - у следящего за всеми Гугля.

http://www.rulinux.net/rulinux.ca.cer - у нас, но без всяких там шифрований.

После скачивания вы можете рассмотреть сертификат, поиграть с ним, и, наконец, добавить в браузер. Например, в ФФ это делается через "настройки -> дополнительно -> сертификаты -> просмотр сертификатов -> центры сертификации -> импортировать". В хромиуме смысл примерно такой же, писать про него лень. В опере тоже. С остальным софтом разберётесь сами, есть всякие глобальные команды update-ca-certificates и т.д. После добавления вы не увидите больше ругани про непроверенный сертификат, плюс получите сертифицированную (тм) безопасность от компании Рулинукс.

Да, на сайте у нас полно mixed content, т.е. те же вставленные со сторонних сайтов картинки без https. Тут ничего поделать, увы, нельзя. Сразу признаюсь, что в создании сертификатов я слаб, потому мог где-то ошибиться. Но вроде не должен.

Такие дела.

SystemV(*) (2013-08-17 04:57:40)
Отредактировано SystemV по причине "не указана"
Emacs-w3m/1.4.514 w3m/0.5.3

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Re:Новая веха в истории Рулинукса

О так ты уже и SSL оформил. Спасибо. А я думал сегодня сутра этим заняться.

Tux-oid(*)(2013-08-17 09:49:15)

Mozilla/5.0 (X11; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0 SeaMonkey/2.19
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Re:Новая веха в истории Рулинукса

Зер гуд! я вижу это вехой к величию нашей днявки в веках!

Ax-Xa-Xa(*)(2013-08-17 10:11:18)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Re:Новая веха в истории Рулинукса

Сертифиат истекает в 2023, а согласно легенде "2010-2020 LOR-NG Developers Group Powered by TimeMachine " он умрёт и переродится раньше.

И да, как ты добавляешь серты в w3m ?

Ну и если можно подробнее про то как вы это реализовали, на основе чего итп.

anonymous(*)(2013-08-17 10:56:59)
Отредактировано anonymous по причине граммар негодовангие
Mozilla/5.0 (X11; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Новая веха в истории Рулинукса от anonymous 2013-08-17 10:56:59
avatar
Скрыть

Re:Новая веха в истории Рулинукса

кстати размер серта "1984" это такой профи троллинг ?

anonymous(*)(2013-08-17 11:01:57)

Mozilla/5.0 (X11; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Новая веха в истории Рулинукса от anonymous 2013-08-17 11:01:57
avatar
Скрыть

Re:Новая веха в истории Рулинукса

>кстати размер серта "1984" это такой профи троллинг ?
Это чистая случайность. Знак свыше.

В emacs-w3m я ничего не добавлял, он у меня и не ругался изначально. Разбираться пока лень.

Если кто пользуется httpsanywhere для ФФ (вроде у хромиума тоже есть), то можно сделать такой файл правил:

~/.mozilla/firefox/<your_profile_name>/HTTPSEverywhereUserRules/rulinux.net.xml

text
<ruleset name="Rulinux">
  <target host="rulinux.net" />
  <target host="www.rulinux.net" />

  <rule from="^http://www\.rulinux\.net/" to="https://www.rulinux.net/"/>
  <rule from="^http://rulinux\.net/" to="https://rulinux.net/"/>
</ruleset>
 

SystemV(*)(2013-08-17 12:20:24)

Emacs-w3m/1.4.514 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:Новая веха в истории Рулинукса от anonymous 2013-08-17 10:56:59
avatar
Скрыть

Re:Новая веха в истории Рулинукса

>Ну и если можно подробнее про то как вы это реализовали, на основе чего итп.
Обычный openssl. Сначала я делал вот по этой инструкции с именем *.rulinux.net, и всё было ок, пока я не заметил, что для rulinux.net оно не работало. Потом я погуглил про этот SAN и внёс дополнительно altnames в конфиг. То есть по ссылке процедура создания CA верная, а вот далее надо будет немного поменять конфиг и команды. За базовый конфиг я брал дефолтный из /etc/pki/что-то-там, добавил v3_extensions, вписал дополнительно rulinux.net и *.rulinux.net в altnames, переделал csr и пересоздал сертификат.

SystemV(*)(2013-08-17 12:26:44)

Emacs-w3m/1.4.514 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:Новая веха в истории Рулинукса от SystemV 2013-08-17 12:26:44
avatar
Скрыть

Re:Новая веха в истории Рулинукса

Спасибо товарищи за всё, теперь моя паранойа может поспать пару часов.

anonymous(*)(2013-08-17 12:44:48)

Mozilla/5.0 (X11; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Re:Новая веха в истории Рулинукса

>есть всякие глобальные команды update-ca-certificates
Если вдруг кому надо:

text
sudo mkdir -p /usr/local/share/ca-certificates/ # если не существует
sudo cp /path/to/cert/rulinux.ca.cer /usr/local/share/ca-certificates/rulinux.ca.crt # оно хочет именно .crt
sudo update-ca-certificates
 


Такое точно есть в арче, дебиане и бубунте. В других дистрибутивах такой штуки может не быть. Должно работать для всяких там curl-ов, но не для браузера. Для браузера - как описано в первом посте.

SystemV(*)(2013-08-17 14:25:11)
Отредактировано SystemV по причине "не указана"
Emacs-w3m/1.4.514 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Re:Новая веха в истории Рулинукса

Отлично!

anonymous(*)(2013-08-17 20:32:40)

Mozilla/5.0 (X11; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0
[#] [Добавить метку] [Редактировать] Ответ на: Новая веха в истории Рулинукса от SystemV 2013-08-17 04:57:40
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 08:08:45)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 08:08:45
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 11:37:14)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 08:08:45
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 11:40:08)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 11:40:08
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 11:45:07)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 11:45:07
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 11:47:58)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 11:47:58
avatar
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-16 13:54:09)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-16 13:54:09Фильтры
avatar
  • матерные выражения
anonymous(*)(2014-09-17 07:32:06)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: от anonymous 2014-09-17 07:32:06Фильтры
avatar
  • матерные выражения
anonymous(*)(2014-09-17 17:51:13)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.94 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: от anonymous 2014-09-17 17:51:13Фильтры
avatar
  • матерные выражения
Скрыть

Слава Богу и Партии!

Путин! Единая Россия! ОНФ!

anonymous(*)(2014-09-17 18:42:42)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.94 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Слава Богу и Партии! от anonymous 2014-09-17 18:42:42
avatar
anonymous(*)(2014-09-18 04:29:40)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.94 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: от anonymous 2014-09-18 04:29:40
avatar
anonymous(*)(2014-09-18 10:42:11)
Отредактировано spaceivan по причине die gay
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.52 Safari/537.36
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!