LINUX.ORG.RU

Халявные сертификаты для нищебродов без гемора. LetsEncrypt вместо Wosign и их подводные камни.

 , , ,


1

4

Салам Алейкум, братухи.

P.S. Читаем до конца, тут Вам не толксы.
P.P.S. Прошу проверить работоспособность на MS Outlook с IMAP, если есть такая возможность.


Недавно LetsEncrypt перешла в бету и теперь доступна всем публично. Очевидно, что многие об этом даже не знали, т.к. в новости ЛОРа принято писать о IT-феминистках, скандалах и игрулях, а не о реально важных вещах и технологиях. Но речь в этом треде пойдёт не деградации ЛОРа и попустительской редакционной политике.

Суть LetsEncrypt в том, чтобы автоматически генерировать ВАЛИДНЫЕ (и подписанные глобальным CA) сертификаты.

https://letsencrypt.readthedocs.org/en/latest/intro.html http://www.msxfaq.de/signcrypt/letsencrypt.htm

Сертификаты выдаются только на 3 месяца для предотвращения инцидентов безопасности.

Летсэнкрипт запускается в виде скрипта на сервера и не требует никакой регистрации на сайте. Скрипт работает так:
1. генерирует пару ключей (локально)
2. подписывает публичный ключ у ЦА (не путайте с ЦП! ЦА подтверждает Ваш ключ, чтобы быть уверенным в том, что ЦП не будет перехвачена спецслужбами или подменена обычным контентом)
3. получает от ЦА сертификат.
4. опционально автоматически настраивает апач и nginx домены на использование https и стойкой криптографии для безопасной передачи ЦП. Также автоматически ставится сервис в крон для автообновления сертификатов.

Не смотря на то, что закрытый ключ не покидает систему, Вы должны проверить наличие ФОРСИРОВАННОГо диффи-хельмана при установке https-соединения для генерации отказуемых симметричных сессионных ключей. Иначе, в случае утечки закрытого ключа, можно будет восстановить все симметричные ключи и расшифровать все сессии. Что может привести не только к нежелательной утечки конфиденциальной информации (ЦП), но и финансовых реквизитов.

Также учите, что спецслужбы по всему миру владеют закрытыми ключами ЦА, что позволяет им устраивать MitM-атаки, просматривать и подменять ЦП. Для критичных систем убедитесь, что Ваша система доверяет только Вашему ЦА. Также используйте плагины для браузера EFF SSL Observatory, HTTPS Enywhere, HTTP Nowhere для гарантии соответствия ЦА истинному подписавшему ЦА, а также для предотвращения перехода на HTTP-данные.

Сразу хочу предупредить, что LetsEncrypt, WoSign и StartSSL Free не поддерживаются IE6 и устаревшими системами! Также будут проблемы с хромом и сафари на WinXP (они используют богомерзкий АНБшный CryptoAPI винды). Windows 7 (от IE8. по умолчанию) поддерживает все данные CA. Firefox поддерживает LetsEncrypt и Wosign с версии 1.0 (но реально проверял только с четвёртой). StartSSL в 4.0 и прочих древних FF может не поддерживаться.

Также учтите: если нужна поддержка legacy (например ie6), то надо отключить SNI (передача доменного имени до начала криптосессии), а также включить поддержку старых протоколов и алгоритмов шифрования.

Также могут возникнуть проблемы со старыми линуксами (curl и wget не будут работать без форсированного флага). Так например: В Ubuntu 12.04.5 (без обновлений, с обновлениями всё ок):
1. wget с LetsEncrypt НЕ работает.
2. curl с LetsEncrypt работает.
3. wget с wosign НЕ работает.
4. curl с wosign работает.
5. wget с startssl НЕ работает.
6. wget с startssl НЕ работает.

В CentOS 5.6:
1. wget с LetsEncrypt НЕ работает.
2. curl с LetsEncrypt НЕ работает.
3. wget с wosign НЕ работает.
4. curl с wosign НЕ работает.
5. wget с startssl НЕ работает.
6. wget с startssl НЕ работает.

Из этого всего могу дать следующие рекомендации:
0. Если есть бабки - покупайте платный сертификат в любом случае. Также платный сертификат можно купить на три года, что удобно для устаревшего серверного ПО (MS Exchange, например).
1. Если Вы - нищебродное днище, либо если Ваш проект не требует поддержки старого говна, то советую использовать LetsEncrypt.
2. Если у Вас ситуация аналогичная первой, но нет возможности постоянно обновлять сертификат (1. Вы используете морально устаревшие системы, например MS IIS на Windows Server, 2. используете НЕ для веба (jabber, почта и т.п.) 3. система изолирована внутри локальной сети ), то рекомендую использовать WoSign.
3. У Вас крупный проект или махровый ынтерпрайз, то однозначно лучше купить сертификат у нормального CA.
4. Если Вы используете Java или Pidgin, тогда необходимо покупать сертификат у нормального CA.
5. Если у Вас over9000 доменов (например, у Вас тумблер хостится) стоит задуматься о покупке wildcard сертификата.

Далее информация о поддержке LetsEncrypt (в скобках может дополнение о других сертификатах):
0. https://community.letsencrypt.org/t/which-browsers-and-operating-systems-supp...
1. Firefox. Как мимимум с 4.0 (возможно с 1.0) работает. (StartSSL в древних лисах работать не будет). Все современные лисы работают всеми CA.
2. Pidgin не работает (используйте startssl)
3. Thunderbird. Точно все современные версии на всех ОС (включая wosign. StartSSL в древних версиях не поддерживается)
4. IE и Edge. Минимум 8 версия для всех. IE6 точно не поддерживается, по IE7 в зависимости от условий. (со всеми CA)
5. Chrome и Cromium. Поддержка ОС аналогично встроенной ОС криптоапи (древние макоси, линуксы и винхп не будут работать ни с каким CA). (со всеми CA)
6. Safari на всех современных Apple-устройствах точно работает (со всеми CA).
7. Android точно работает с версии 4.2 со всеми . Версия 2.0.6 (Android browser 2.0.6 Webkit 530.17) точно НЕ работает.
8. Устройства Blackberry не работают со всеми CA.
9. Java не работает с letsencrypt.
10. WinPhone работает со всеми.
11. WinCE устройства любых версий НЕ работают со всеми.
12. Symbian НЕ поддерживает все CA.
13. Links работает аналогично curl (см. выше).
14. wget и curl могут не работать на старых системах (см. выше).

Для проверки устройств и серверов можете использовать следующие ресурсы:
https://dev.windows.com/en-us/microsoft-edge/tools/screenshots/#https://check... (IE6 тут врёт, не смотрите на него)
http://browsershots.org/ (тут линукс не работает. больше 7 скриншотов не выставляйте) http://netrenderer.de/index.php (тут IE тестируйте)


https://pirate-party.ru/ (подписан letsencrypt)
https://community.letsencrypt.org/ (подписан letsencrypt)
https://www.checkmyping.com/ (подписан wosign)
https://fkurz.net/ (подписан startssl)

Салам Алейкум, братухи.

Я за бан.

Недавно LetsEncrypt перешла в бету и теперь доступна всем публично. Очевидно, что многие об этом даже не знали

Все в курсе, что оно уже неделю как. И многие знали раньше о том, когда именно оно перейдёт в открытый режим.

Также могут возникнуть проблемы со старыми линуксами
Из этого всего могу дать следующие рекомендации

Очень далекоидущие выводы из пустяка.

У меня letsencrypt-серт везде работает нормально, использую для https и jabber-сервера.

Andrey_Utkin ★★ ()

4. Если Вы используете Java или Pidgin, тогда необходимо покупать сертификат у нормального CA.

што.

derlafff ★★★★★ ()

Как-то они всё там перемудрили. Чем им не понравилась традиционная схема с ежегодным сертификатом. Ещё какой-то свой, по отзывам жутко кривой софт хотят ставить, слава богу, что можно простым скриптом это всё заменить. Мутная затея. startssl-овского пока хватает.

Кстати как у этих товарищей с отзывами? Бесплатно?

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Как-то они всё там перемудрили.

Ничего они не перемудрили. Вы бы попробовали бы хоть раз получить сертификат вручную. Там столько полей нужно заполнить, что обосраться можно. А потом ещё ждать полдня, пока подтвердят. Потом через openssl генеришь пару ключей, вручную загружаешь на сайт, вручную выгружаешь. Дам даже с одним доменом можно сойти с ума, не то что с сотнями. А тут всё делается копипастой даже не включая мозги.

Чем им не понравилась традиционная схема с ежегодным сертификатом

Чтобы не утекали и что АНБшники не пёрли. Плюс хороший стимул для установки автообновлялки сертификатов. В чём проблема?

Кстати как у этих товарищей с отзывами? Бесплатно?

Бесплатно. Мгновенный отзыв и новая генерация прямо из скрипта.

AnyGov_security ()
Ответ на: комментарий от AnyGov_security

То, что старое говно уязвимо ко всем эпичным багам, включая даунгрейд до SSLv3, всякие хертблиды и остальные за последние пару лет.

А потому для старого говна можно юзать даже самоподписанные сертификаты, на безопасность это в целом не повлияет, ведь даже подписанные сертификаты от именитых центров будут бессильны против банального MitM, для которого есть _готовые_ инструменты.

Chaser_Andrey ★★★★★ ()

Подписал у себя два домена WoSign и LE. Но в будущем планирую перейти на LE, как только утрясут все шереховатости. Если кто-то вдруг сидит из старого софта/ОС, то буду признателен за тест.

О таком хламе как startssl даже упоминать не стоит.

Deleted ()
Ответ на: комментарий от Jurik_Phys

AFAIR теперь только на год, ничего не прикрывали.

Deleted ()
Ответ на: комментарий от Chaser_Andrey

То, что старое говно уязвимо ко всем эпичным багам, включая даунгрейд до SSLv3, всякие хертблиды и остальные за последние пару лет.

Внезапно. Кто-то этого не знал? Хватит капитанить.

А потому для старого говна можно юзать даже самоподписанные сертификаты

Старое говно бывает закрытым или (ещё хуже) госсертифицированным. Там ничего трогать нельзя.

AnyGov_security ()
Ответ на: комментарий от Deleted

startssl

1. А чего с ним не так? Вроде на всех современных девайсах и ОСях он везде работает.

Но в будущем планирую перейти на LE, как только утрясут все шереховатости.

2.Какие ещё шероховатости? 3. С WoSign есть какие-нибудь особенности при регистрации? 4. Поддомены до сих пор можно получить бесплатно? 5. Сколько примерно занимает первая регистрация? 6. За какой срок до истечения сертификата его можно отозвать и выпустить новый?

AnyGov_security ()

too slow, уже давно обсудили.

beastie ★★★★★ ()

5. wget с startssl НЕ работает.

6. wget с startssl НЕ работает.

Братишка, да мы и с первого раза поняли, зачем повторять повторять?

jori ()
Последнее исправление: jori (всего исправлений: 1)
Ответ на: комментарий от jori

Сорри, там про curl было в обоих шестых пунктах. Теперь уже не могу поправить. Кстати, давно хотел спросить: не холодно ли спать под шконкой и у параши? Не то чтобы я туда собираюсь, просто интересно.

AnyGov_security ()
Ответ на: комментарий от AnyGov_security

А чего с ним не так?

Выдает сертификаты не всем и забирает внезапно по своему усмотрению.

С WoSign проблем нет, но репутация у них после уменьшения срока не очень.

Deleted ()
Ответ на: комментарий от anonymous

Safari не удается проверить удостоверение сертификата....

Гугл говорит, что возможно проблема в не настроенной дате и времени в ios.

SSL Labs выдаёт рейтинг «A» поэтому думаю, проблема в клиенте.

Jurik_Phys ★★★★★ ()
Последнее исправление: Jurik_Phys (всего исправлений: 1)
Ответ на: комментарий от Jurik_Phys

ага, учитывая что дата и время уже давно настраиваются автоматически...

как в том анекдоте про Билли на стрельбище...

anonymous ()
Ответ на: комментарий от Jurik_Phys

SSL Labs выдаёт рейтинг «A» поэтому думаю, проблема в клиенте.

Поясните про рейтинги. На что это влияет, кроме зеленой плашки в браузере?

AnyGov_security ()
Ответ на: комментарий от Deleted

У тебя трабл с «Server sent invalid HSTS policy»

Как такое может быть? Там всего-то три варианта ответа. А браузер из-за этого не бугуртит?

AnyGov_security ()
Ответ на: комментарий от jori

Но в душе ты украинец :)

Сало не люблю, ем чипсы с УКРОПом. Так что не думаю.

Вот теперь я тебя, кажется, вспомнил.

М?

AnyGov_security ()
Ответ на: комментарий от Deleted

Насчет wo sign — они подписывают csr или генерят сами все?

redixin ★★★★ ()

И как себя поведёт рекламируемый LetsEncrypt, если какие-нибудь внутренние органы какой-нибудь страны настойчиво попросят таки подписать сертификат для какого-нибудь ihatemygovernment.org?

Они вообще дают хоть какие-нибудь гарантии того, что ни при каких обстоятельствах никакие госструктуры или корпорации не получат от них подложный сертификат для какого-нибудь домена?

Китайцы вон, вовсю этим занимаются, также, наверняка, легко найдутся всякие «цивилизованные» которые легко поделятся сертификатом каких-нибудь нациков или ортодоксов с какими-нибудь social justice warriors, да и с россиянскими органами запросто могут «сотрудничать» направо и налево.

Вообще непонятен этот маразм с СА. Дополнительная централизация и контроль за шифрованием со стороны третьего лица совсем не то, что нужно для безопасности. Самоподписанный сертификат в разы надёжнее, чем сертификат подписанный каким-то левым CA безоговорочно принимаемый софтом.

Правильная борьба за шифрование всего вообще должна начинаться с уничтожения любых предопределённых списков CA в любом софте.

Stanson ★★★★★ ()
Ответ на: комментарий от Stanson

Самоподписанный сертификат в разы надёжнее, чем сертификат подписанный каким-то левым CA безоговорочно принимаемый софтом.

Только если Ваше ПО доверяет только Вашему ЦА. Иначе никакой разницы вообще нет.

Правильная борьба за шифрование всего вообще должна начинаться с уничтожения любых предопределённых списков CA в любом софте.

Это есть в моём посте, читать научитесь уже. К тому же всё критичное к шифрованию ПО (типа ipsec или openvpn) использует всегда только указанный админом ЦА.

AnyGov_security ()
Ответ на: комментарий от Stanson

И как себя поведёт рекламируемый LetsEncrypt, если какие-нибудь внутренние органы какой-нибудь страны настойчиво попросят таки подписать сертификат для какого-нибудь ihatemygovernment.org?

Постарается отказаться.

Они вообще дают хоть какие-нибудь гарантии того, что ни при каких обстоятельствах никакие госструктуры или корпорации не получат от них подложный сертификат для какого-нибудь домена?

Да. Certificate Transparency.

Китайцы вон, вовсю этим занимаются

Нет.

также, наверняка, легко найдутся всякие «цивилизованные» которые легко поделятся сертификатом каких-нибудь нациков или ортодоксов с какими-нибудь social justice warriors, да и с россиянскими органами запросто могут «сотрудничать» направо и налево.

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Вообще непонятен этот маразм с СА. Дополнительная централизация и контроль за шифрованием со стороны третьего лица совсем не то, что нужно для безопасности.

Это единственный вариант при текущей архитектуре интернета. Другой вариант реализован в TOR — onion-адреса, как публичные ключи. Но существенный минус: их невозможно запомнить.

Самоподписанный сертификат в разы надёжнее, чем сертификат подписанный каким-то левым CA безоговорочно принимаемый софтом.

Это не так. Самоподписанный сертификат заменяется MITM-атакующим на другой самоподписанный сертификат и вся надёжность летит в трубу. Единственное, от чего защищает самоподписанный сертификат, это от пассивного слушателя.

Правильная борьба за шифрование всего вообще должна начинаться с уничтожения любых предопределённых списков CA в любом софте.

Правильная борьба за шифрование всего вообще должна начинаться с шифрования всего вообще.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Постарается отказаться.

Бугагашечка. :)

Да. Certificate Transparency.

И как это поможет, если СА просто не разместит инфу о том, что выдан ещё один сертификат на какой-то домен?

Нет.

Да. Или гугль просто так CINNIC выкинул из хромого? А история с DigiNotar

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Не вижу чем они могут помочь. При сговоре CA и какого-нибудь абстрактного ФСБ у юзера с браузером в дефолте нет шанса узнать что сертификат - левый.

Это не так. Самоподписанный сертификат заменяется MITM-атакующим на другой самоподписанный сертификат и вся надёжность летит в трубу.

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.

Stanson ★★★★★ ()
Последнее исправление: Stanson (всего исправлений: 2)
Ответ на: комментарий от AnyGov_security

Только если Ваше ПО доверяет только Вашему ЦА. Иначе никакой разницы вообще нет.

Разумеется. Вопрос как раз в том, с какой стати стоит доверять каким-то СА кроме своего.

Это есть в моём посте, читать научитесь уже. К тому же всё критичное к шифрованию ПО (типа ipsec или openvpn) использует всегда только указанный админом ЦА.

Я как-то больше про браузеры и всё такое. Тем более, что мне вообще неизвестны случаи применения сертификатов купленных/полученных от какого-либо стороннего СА кроме как для того, чтобы пользователю браузера не надо было лишних телодвижений совершать при первом посещении сайта.

Увы, именно браузеры сегодня являются основным средством доступа к информации, и именно в них заложена эта аццкая бомба в виде Trusted CA

Stanson ★★★★★ ()
Ответ на: комментарий от Stanson

И как это поможет, если СА просто не разместит инфу о том, что выдан ещё один сертификат на какой-то домен?

Этот сертификат будет обнаружен и в результате этого инцидента корневой сертификат CA будет отозван из всех браузеров. По сути это означает завершение бизнеса для этого CA.

Да. Или гугль просто так CINNIC выкинул из хромого? А история с DigiNotar

«Вовсю» в данном случае неприменимо. Это не «вовсю», а «попробовали и тут же получили по лбу».

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Не вижу чем они могут помочь. При сговоре CA и какого-нибудь абстрактного ФСБ у юзера с браузером в дефолте нет шанса узнать что сертификат - левый.

Посмотрит отпечаток сертификата LOR-овского сертификата, сравнит с отпечатком товарища из США, например и обнаружит подмену. Или просто в новостях прочитает, такое сразу будет замечено.

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.

И что ты будешь делать, когда тебе нужно будет самому заменить сертификат сайта? Обзванивать всех юзеров и заверять их, что всё правильно и тебя не взломали?

Legioner ★★★★★ ()
Ответ на: комментарий от Stanson

Увы, именно браузеры сегодня являются основным средством доступа к информации, и именно в них заложена эта аццкая бомба в виде Trusted CA

Ты альтернативу-то опиши, я пока не понимаю тебя. Trusted CA это как демократия. Всем понятны проблемы, но лучшего решения не существует. Вот я захожу на https://linux.org.ru/ браузер получает некий самоподписанный сертификат. Как дальше надо действовать, чтобы иметь какую-то уверенность, что меня не прослушивает кто-либо? Я должен встретиться с макскомом, проверить его паспорт (а кстати как? Вдруг паспорт поддельный), сверить хеш ключа и работать с сайтом? Или ты предлагаешь другие варианты?

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от Stanson

кроме как для того, чтобы пользователю браузера не надо было лишних телодвижений совершать при первом посещении сайта.

Хреновый из Вас крипроанархист и админ в вобщем: как минимум ещё пара распростанённых вариантов использования: доступ к webdav через https, jabber, imap/pop3/smpt в их защищенном варианте.

Увы, именно браузеры сегодня являются основным средством доступа к информации

У хомяков?

эта аццкая бомба в виде Trusted CA

Я не вижу хомяковой альтернативы. На самом деле текущая ситуация легко позволяет повысить уровень безопасности введением HTTPS Observatory-подобного механизма в браузерах по-умолчанию. При этом саму базу лучше p2p хранить. Смысл в том, что браузеры со всего мира наблюдают, какие сертификаты и ЦА где используются. Если у тебя внезапно не совпадает, то браузер нафиг шлёт сертификат от гэбни, а разработчикам браузера и в p2p-сеть прилетает от твоего браузера ивент о проблемах. На следующий день будет выпущено обновление браузерного пула сертификатов и «согласный к сотрудничеству» к гэнёй ЦА пойдёт лесом, просрав свой бизнес. Подобные инцеденты уже пару раз были. После этого они будут очень много думать перед «сотрудничеством», а гэбня не сможет просто так лезть в трафик.

AnyGov_security ()
Ответ на: комментарий от Legioner

Этот сертификат будет обнаружен и в результате этого инцидента корневой сертификат CA будет отозван из всех браузеров. По сути это означает завершение бизнеса для этого CA.

Такая лажа уже пару раз случалась. Учитывая, что она может быть выявлена только в случае большого перехвата и подмены https-трафика (в котором будет присутствовать линуксоид со своими плагинами, а не только хомяки), думаю, у спецслужб есть ЦА-сертификаты до сих пор. В инцидентах палились только говноспецслужбы на своей территории. Наиболее вероятно, что у АНБ и ФСБ (если есть в СНГ ЦА, я просто хз) могут быть ЦА-сертификаты для атак на отдельных людей. См. мой пост выше по поводу предотвращения таких атак кровавой гэбни.

«Вовсю» в данном случае неприменимо. Это не «вовсю», а «попробовали и тут же получили по лбу».

Из-за тупых гэбней. Вероятно, умные гэбни ещё спалили «сотрудничавших» с ними партнёров. Напомню, что в США ты ОБЯЗАН сотрудничать с АНБ де-факто.

Посмотрит отпечаток сертификата LOR-овского сертификата, сравнит с отпечатком товарища из США, например и обнаружит подмену. Или просто в новостях прочитает, такое сразу будет замечено.

Только если есть плагины в браузере. На глаз не обнаружишь, если ты для каждого соединения не помнишь отпечатки ключей.

И что ты будешь делать, когда тебе нужно будет самому заменить сертификат сайта? Обзванивать всех юзеров и заверять их, что всё правильно и тебя не взломали?

Лол.

AnyGov_security ()
Ответ на: комментарий от Legioner

Ты альтернативу-то опиши

Для текущей схемы см. выше. По-нормальному: тор-стайл, где привязка говноимён с ключами (или просто ключей как таковых, если у нас не шифросеть даркнетная) к нормальным именам есть (в i2p есть как минимум каталог для этого, вроде и в тоже что-то такое есть). Для предотвращения регистрации кучи говна можно требовать биткоины, которые будут переводиться в кошелек-чёрную дыру (его закрытый ключ изначально будет уничтожен), и в блокчейне имён, после проверки блокчейна биткоина на оплату, сохраняться.

я пока не понимаю тебя. Trusted CA это как демократия

Компрократия и олигархия: избрать ЦА ты не можешь, все существующие - говно (как минимум никто публично процедуру генерации ключей в защищенном от гэбней черном ящике (где потом будет подпись происходить) не делал). Мало того, браузеры не контролируют внезапную смену ЦА и сертификата (как и другое ПО). Также ЦА может отозвать сертификат по велению левой пятки правой ноги (а если у тебя активно использующий https магазин или https-only портал антиправительственный, то это удобно для гэбни. тут лучше, чем DNS - можно у другого ЦА быстро сертификат купить. Но всё же.). Это очень напоминает DNS-говно с оплатой воздуха и анальным контролем с стороны гэбней (и АНБ в частности).

AnyGov_security ()
Ответ на: комментарий от Stanson

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.

Поэтому сертификат ему подменят уже при первом посещении сайта и он ничего не узнает.

Почему до тебя не дойдёт, что для атаки на подписанный CA сертификат нужно быть ФСБ/NSA или хотя бы иметь инсайдеров в CA, а на самоподписанный атаку может провести кто угодно, начиная с твоего соседа-кулхацкера? И мотивации у него больше: получить данные кредитки, например.

В своей локальной сети — да, пользуйся самоподписанными сколько угодно.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.