сертификаты https: доступа

сертификаты https: доступа

Сообщение Olej » 19 окт 2016, 21:24

При подключении ко всем URL из https://www.youtube.com - получаю вот такие сообщения:
Цитата:
Владелец http://www.youtube.com неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.

Этот сайт использует HTTP Strict Transport Security (HSTS), чтобы указать, что Firefox должен подключаться к нему только через защищённое соединение. В результате, добавление исключения для этого сертификата невозможно.

Это те ролики, к которым массово было без проблем подключение, сотнями ... например все часовый ролики из Русский рок.

И по кнопке "Дополнительно":
Цитата:
http://www.youtube.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. Error code: SEC_ERROR_UNKNOWN_ISSUER

Но там нет возможности, как это зачастую бывает, "Принять исключение".

Анализируя предыдущие действия, могу предположить, что что-то нарушилось, когда я принял исключение для локального URL 192.168.1.105, пока разбирался с shell в браузере.
Что может быть?
Как восстановить?
Куда смотреть?
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

сертификаты https: доступа

Спонсор

Спонсор
 

Re: сертификаты https: доступа

Сообщение Olej » 20 окт 2016, 01:09

Поиск по контексту NET::ERR_CERT_AUTHORITY_INVALID даёт:
Цитата:
Нашлось 4 тыс. результатов

Разобрался (т.е. нашёл) ... убил на что 6-7 часов: из 4-х тысяч обсуждений-болтовни, единственное внятное объяснение причины:
- используемый вами DNS, скорее всего это у провайдера...
- DNS поражён вредоносным ПО
- и он перенаправляет HTTPS-запросы к совсем другим сайтам...
- возможно транзитам, перехватывающим вашу конфиденциальную информацию: логины, пароли, номера и PIN-коды банковских карт...

Как лечить?
Послать на хрен такого провайдера, и указать прямые IP доверенных DNS.
В настройках сетевых интерфейсов указать: DHCP only + прописать свои IP.
Изображение
А ещё лучше, уделить некоторое время и провести тестирование-выбор из числа публичных DNS, как описано: выбор оптимальных DNS серверов
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

Re: сертификаты https: доступа

Сообщение NoVASpirit » 20 окт 2016, 08:46

Olej
Ты прикалываешься? Закон о блокировке неугодных сайтов в нашей стране существует давно, а ты только сейчас о этом узнал?
Провайдер то хоть какой?
Все нормальные юзеры давно перешли на dnscrypt, уверен и в твоём дистре есть такой пакет...
------------------------------------
Меня всегда можно найти
Ярославская группа пользователей GNU/Linux:
yarlug@conference.jabber.ru
Аватар пользователя
NoVASpirit
Разговорчивый гость
Разговорчивый гость
 
Сообщений: 33
Стаж: 3 года 10 месяцев 23 дня
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Re: сертификаты https: доступа

Сообщение Olej » 20 окт 2016, 11:51

NoVASpirit писал(а):

Ты прикалываешься? Закон о блокировке неугодных сайтов в нашей стране существует давно, а ты только сейчас о этом узнал?

Что вы несёте, даже не прочитав в чём детально проблема. И как она решилась...
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

Re: сертификаты https: доступа

Сообщение NoVASpirit » 20 окт 2016, 13:08

Да мне непонятно каким боком днс'ы влияют на наличие сертификатов в браузере...
------------------------------------
Меня всегда можно найти
Ярославская группа пользователей GNU/Linux:
yarlug@conference.jabber.ru
Аватар пользователя
NoVASpirit
Разговорчивый гость
Разговорчивый гость
 
Сообщений: 33
Стаж: 3 года 10 месяцев 23 дня
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Re: сертификаты https: доступа

Сообщение Olej » 20 окт 2016, 13:40

NoVASpirit писал(а):

Да мне непонятно каким боком днс'ы влияют на наличие сертификатов в браузере...

Элементарно, Ватсон :D :
- сервер DNS у провайдера (получаемый автоматически с DHCP) скомпроментирован каким-то вредоносным ПО...
- он перенаправляет HTTPS-запросы (ну и HTTP, естественно) на какой-то транзитный (?) URL, работающий по принципу прокси и фильтрующий трафик...
- при доступах к HTTP URL всё проходит прозрачно...
- но при доступе HTTPS возникает ошибка сертификации NET::ERR_CERT_AUTHORITY_INVALID и браузер обрывает такие соединения...
- запросов по такой ошибке (NET::ERR_CERT_AUTHORITY_INVALID) поиск в Интернет даёт 4000!
- и в некоторых немногих из этих 4000 URL намечен такой именно механизм
- как только выбить в настройках адреса DNS, присылаемые провайдером по DHCP, и назначить гарантированные публичные DNS - ошибка исчезает.

P.S. Совершенно не исключено, что такое "проксирование" организовали прямо у себя хлопчики-придурки из дежурной смены администраторов тех. поддержки провайдера (мне пришлось настойчиво дозвониться им в 1:00 ночи и допросить с пристрастием ... правда, они как всегда ни хрена не понимают по существу).
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

Re: сертификаты https: доступа

Сообщение NoVASpirit » 20 окт 2016, 14:50

Хочешь сказать, что ты принял сертификат который тебе подсунул провайдер и теперь всё что ты пишешь в shell браузере он преспокойно читает?
------------------------------------
Меня всегда можно найти
Ярославская группа пользователей GNU/Linux:
yarlug@conference.jabber.ru
Аватар пользователя
NoVASpirit
Разговорчивый гость
Разговорчивый гость
 
Сообщений: 33
Стаж: 3 года 10 месяцев 23 дня
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Re: сертификаты https: доступа

Сообщение Olej » 20 окт 2016, 15:29

NoVASpirit писал(а):

Хочешь сказать, что ты принял сертификат который тебе подсунул провайдер и теперь всё что ты пишешь в shell браузере он преспокойно читает?

Нет, не хочу сказать. :D
- провайдер ничего никому не "подсовывает"...
- браузер, подключаясь к HTTPS ресурсу, посылает запрос на подтверждение сертификата...
- но сайт - не тот (за счёт перенаправления DNS), и сертификат не соответствует...
- и браузер обрывает подключение
- а shell браузер здесь вообще никаким боком и рядом не лежал... :?
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

Re: сертификаты https: доступа

Сообщение NoVASpirit » 20 окт 2016, 15:44

Твоя проблема в том, что утверждать о вредоносном ПО у провайдера может каждый. А вот предоставить доказательства, которых у тебя просто нет, ты не можешь... Провайдер со своим DNS может делать всё, что захочет - это ни для кого не секрет. И делает он это для своей безопасности безопасности страны и безопасности пользователей. :D
------------------------------------
Меня всегда можно найти
Ярославская группа пользователей GNU/Linux:
yarlug@conference.jabber.ru
Аватар пользователя
NoVASpirit
Разговорчивый гость
Разговорчивый гость
 
Сообщений: 33
Стаж: 3 года 10 месяцев 23 дня
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Re: сертификаты https: доступа

Сообщение Olej » 20 окт 2016, 15:53

NoVASpirit писал(а):

Твоя проблема в том, что утверждать о вредоносном ПО у провайдера может каждый.

Мне эта словесная диарея от того, кто просто не понимает техническую сторону обсуждаемой проблемы - надоела.
Прекращаем.

P.S. А что касается провайдера... так я из него в 1:00 ночи по телефону выдавил признание что это его проблема - повторением тестов-проб, которые ему диктовал.
Цитата:
Признание - царица доказательств

© приписывается ген. прокурору СССР А.Я. Вышинскому ... но на самом деле формулировка известная с Древнего Рима: "Regina probationum". :D

NoVASpirit писал(а):

Провайдер со своим DNS может делать всё, что захочет

А вот это - хуюшки. :D
Есть такие RFC, которые предписывают что DNS делает, а что не смеет делать ... а провайдеру не следующему этим стандартам долго не жить. :evil:
Olej
 
Стаж: 48 лет 11 месяцев 9 дней

След.

Вернуться в Сети. Настройка и администрирование

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron