LINUX.ORG.RU
решено ФорумSecurity

Чудеса с сертификатами у домашнего провайдера

 , ,


1

2

Привет, ЛОР.

У меня несколько дней с перебоями работали сервисы гугла через домашнего провайдера. Серьезного расследования по этому поводу не проводил, только заметил, что трассировка до половины подсетей гугла останавливается еще в Москве, списал это на криворукость провайдера, пообщался с девочками из техподдержки, которые не особо помогли, и переключился на tor, с которым проблем не было.

Вчера гугл заработал, а сегодня по наводке из конфы l@c.j.r, проверил сертификаты и обнаружил следующее:

Через домашнего провайдера: http://pastebin.com/DvwwWSP8
Через tor и vps в Европе и США: http://pastebin.com/hYXm4etR

Через домашнего провайдера я получаю совсем другой сертификат.

Что скажут местные специалисты?

Deleted

Последнее исправление: Klymedy (всего исправлений: 1)
Защита от расшифровки облачного хранилища
Защита SIP

<fat>


Деятельность интернет-гигантов Skype, Facebook и Gmail в России под угрозой из-за требований нового законодательства, согласно которому социальные сети обязаны в течение полугода хранить информацию о пользователях. …Именно в этом проекте прописано хранение данных отечественных и зарубежных интернет-сервисов на территории России в течение полугода.


началось? ;)

</fat>

aol ★★★★★
()

Через домашнего провайдера я получаю совсем другой сертификат.

Вполне закономерно. Гугл, сцуко, большой.

Пример неудачный. Во-первых, ютуб у некоторых (больших) провайдеров терминируется локально. Во-вторых, поскольку обращение происходит из разных географических регионов, запрос обрабатывается разными узлами, отсюда различные (но валидные!!!) сертификаты.

Нужно понимать, что провайдер не может невозбранно подменить сертификат, если ты конечно не добавлял сертификат его неавторизованного CA в список корневых сертификатов.

Macil ★★★★★
()

Сертификаты валидны? Какими CA подписаны?
Меня вот как-то больше напрягает такое:
openssl s_client -connect smtp.gmail.com:465 -ssl3
два месяца уже как «эра ssl прошла!(с)».
Ну и прочие почтари, сайты, банки. 443 465 993 995 порты все до сих пор с -ssl3 хендшейкаются.
А про подмену сертификата сразу визга будет на половину экрана.

imul ★★★★★
()

к слову, у меня многие сайты внезапно стали выдавать такое: http://postimg.org/image/ec5mg9r8d/ к чему бы это? уже наверное по меньшей мере месяц как

хотя, дата новая, но это ни о чём не говорит, перед этим браузер тоже жаловался на подобные сертификаты

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 2)

В общем, наверное зря я паниковал. При соединении их разным мест по гугловским ip вместо домена, получаются одни и те же сертификаты, подписанные их CA.

Deleted
()
Ответ на: комментарий от wakuwaku

Issued by
Common name: gblnet.ru

Ванга: провайдер решил немножко пощекотать твой HTTPS.

Deleted
()
Ответ на: комментарий от wakuwaku

Всё правильно. CloudFlare всем даёт бесплатно создать https-соединения теперь.

th3m3 ★★★★★
()
Ответ на: комментарий от anonymous

Но почему он невалидный, почему теперь на тех сайтах отдаёт сертификаты, выданные GlobalSign nv-sa, и предупреждений нет? Или это косяк cloudflare?

wakuwaku ★★★★
()

Имеет смысл переключиться на альтернативные источники энер^W информации. Дабы выбор есть и немалый.

Трасса до google.ru конечно впечатляет, но они типа говорят это партнеры. Такое партнерство даром не нужно. Интересно какой профит конечному пользователю о этого партнерства?

Фактически «партнерские поисковые запросы» сливаются в зонд, да ещё приработок за счёт таргетирования рекламы...

Нет у гугла поисковик не будет на вебсокетах еще пока...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Защита от расшифровки облачного хранилища
Security
Защита SIP