Firefox лучше меня знает куда мне не надо

Администратор сайта слоу: несколько дней прошло, а у него всё еще проблемы

Может он хромовод или линуксоид, не рыпающийся до обновления жирнолиса в репозитариях debian stable. Хотя сама ситуация с выпиливанием сертификатов только в новой версии браузера аж через три месяца после того как стало известно о множественных нарушениях со стороны CA превращает всю эту типа суръёзную инфраструктуру с доверенными CA в забавный цирк, наблюдаемый мной с попкорном.

Да ваще все эти сертификаты цирк.

https://www.voipinfo.ru/forum/viewtopic.php?f=10&t=45375&sid=5b1cd45d...

Diff Пофиксили сменой сертификата по моему репорту.

Это он молодец и ты тоже.
Но мне интереснее что делать когда мозилла решит что сертификат, зашитый в какую-нибудь железку тоже недостаточно кошерен.

Будем решать проблемы по мере их поступления. ;)

А если я захожу на свой сайт, на который заходит только ограниченный круг лиц? Тут реально нет смысла покупать сертификат. А свои могут и по отпечатку сверить сертификат.

Для ssh же не нужно покупать сертификат, там для проверки подлинности сверяют отпечаток. И ничего, брат жив.

«Let's encrypt» для этого есть.

Не всегда удобна из-за хитрожопой системы получения сертификата.

Для ssh же не нужно покупать сертификат, там для проверки подлинности сверяют отпечаток. И ничего, брат жив.

Для web (https) — тоже самое. Делай самоподписанный сертификат. А при заходе на этот свой сайт говори «да, я согласен» (поглядев на отпечаток)..

...проблема правда в том что SSH он обычно для *своего* сервера. А вот web-сайт ты делаешь чтобы его смотрели другие люди. Как эти другие люди будут сверять отпечаток?

А вот проблема описанная в этой теме — тут речь не про самоподписанный сертификат, а про отозванный.

Тоже самое как автор сайта сказал бы «не заходите на этот сайт! Я там всё сломал, нечаянно»

Не всегда удобна из-за хитрожопой системы получения сертификата.

Это как? Приведи пример, где (в каких случаях) Letsencrypt тебе оказался неудобным? :-D

Не по теме, но для jabber-сервера (ejabberd) я выбирал между let's encrypt и тогда ещё не забаненным startssl, я выбрал startssl, т.к. там просто заказал и на долгое время забыл.

Пусть резвятся, но мой комьютер обязан делать то, что приказываю ему я. Если бы это было не принципиально, я бы не пользовался СПО.

А если сервер в какой-то момент вреиени сбрендит и вместо GET-запроса захочет получать €E|-запрос? То в этом случае ты тоже начнёшь возмущаться о том что почему браузер не заходит на сайт по твоему приказу?

Может ты не доконца понимаешь опасность отозваного сертификата?

Думаешь наверно что твоё решение «огнорировать отзыв» касается только одного проблемного сайта А хрен!

Это web, детка! Тут сайты могут взаимодействовать друг с другом на клиенской стороне...

Ты не знаешь какими договорами были связаны этот сайт и какой-то другой ещё. Кто там кому CORS-запросы шлёт и кто чьи скрипты исполняет :-)

Может ты не доконца понимаешь опасность отозваного сертификата?

20 лет пользовались http и ВООБЩЕ НЕ ПАРИЛИСЬ, а тут все безопасностью озаботились вдруг.

Единственный способ «обезопасить» веб — это заходить в него с links. А лучше — вообще не заходить.

и кто чьи скрипты исполняет

Отименна. Я этого хоть с валидым, хоть с невалидным сертификатом не знаю.

я выбирал между let's encrypt и тогда ещё не забаненным startssl, я выбрал startssl, т.к. там просто заказал и на долгое время забыл.

То есть выбор в итоге оказался неправельным? И проще было сразу настроить Letsenctypt , чем всё равно делать это но уже после возни со Startssl?

20 лет пользовались http и ВООБЩЕ НЕ ПАРИЛИСЬ

Ну тебе никто не мешает гонять пароли в открытом виде. Можешь ещё через открытый вайфай это делать чтоб показать какой ты смелый.

Единственный способ «обезопасить» веб — это заходить в него с links.

Уровень компетенции современных линуксоидов с землей на трёх китах и двух черепахах.

А если завтра let's encrypt забанят?

Кстати, вроде Pidgin не ругается на startssl.

20 лет пользовались http и ВООБЩЕ НЕ ПАРИЛИСЬ, а тут все безопасностью озаботились вдруг

Не парились? Тык это наверное потомучто....

...у меня ощущение складывается что люди 20~40 лет назад вообще глупыми были. Учитывая какие протоколы нам достались в наследство от них.

Например электронная почта, которая полкчает спам от любого спамера (не требуя от него пройти проверку верификации, принятую по индивидуальным правилам относительно того кому он отправляет)

Учитывая, что у пользователь заходит на сайт, идентичность которого подтверждает браузер, который он скачал из этого же самого интернета при помощи ОС, которую он установил, скачав из того же интернета при помощи браузера, который он скачал из...

Криптография, ога.

А если завтра let's encrypt забанят?

А если забанят меняии я не смогу рассказать что делать когда забанят letsencrypt ? :-)

Зайдёшь с другого ip-адреса под новым аккаунтом и расскажешь.

При мировой заговор будет?

Про неуловимого Джо.

Твой самоподписанный сертификат отозван? А иначе сам его экспортируешь или добавляешь исключение безопасности.

тут речь не про самоподписанный сертификат, а про отозванный

Половина комментаторов эту разницу не уловили.

Кстати, вроде Pidgin не ругается на startssl.

Да даже хром не ругается, хотя они там кукарекуют про бежопасность и красным обещают помечать все не https-страницы.

браузер, который он скачал из этого же самого интернета при помощи ОС

Я не стану кочать браузер, а тем более ос у васяна на файлопомойке. А 15 лет назад бы скачал и еще спасибо бы сказал — тогда это было скорее безопасно, чем опасно. А сегодня наоборот.

А если кирпич на голову упадёт? А если всемирный потоп? Я тут уже отвечал:

Будем решать проблемы по мере их поступления

Актуально только для рукожопов

Красным помечают http с формами ввода логина-пароля.

Я не стану кочать браузер, а тем более ос у васяна на файлопомойке. А 15 лет назад бы скачал и еще спасибо бы сказал — тогда это было скорее безопасно, чем опасно. А сегодня наоборот.

А какая разница, откуда именно ты качаешь файл, если у тебя нет возможности криптографически подтвердить источник? Ты же не лично встретился с васяном, а получил его его подписи из того же самого интернета.

Я и на авроре такие сайты встречал.

Сегодня как раз куда больше доверия к васяну, чем к крупной корпорации. Васян хотя бы ручками заботливо выпиливает зонды, а если запихнёт вместо пару новых, то вреда от этого большого не будет.

Не только QtWebkit, но и QtWebEngine (правда, в генте (пока) с последним не вариант).

А ты поставь https://gist.github.com/annulen/309569fb61e5d64a703c055c1e726f71

А ты поставь

Буду иметь в виду.

Когда кнопка для добавления исключения отсутствует при заходе на сайт - исключение для «игнора невалидности сертификата» для данного сайта - все еще опять можно добавить (штатными средствами), только более долгим путем: Preferences / Advanced / Certificates / Servers / Add Exception

Firefox 51.0.1