https://www.opennet.ru/openforum/vsluhforumID3/115910.html Разработчики Mozilla анонсировали (https://blog.mozilla.org/futurereleases/2018/11/27/next-steps-in-dns-over-https-testing/) третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов.<br><br><br>Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа измеряли производительность непосредственно операций с DNS, то на третьем этапе планируется оценить общую картину, учитывающую и время загрузки тестовой стр https://www.opennet.ru/openforum/vsluhforumID3/115910.html#123 Fri, 30 Nov 2018 19:19:56 GMT &gt; Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на <br><br>что неправильного в сертификате *.mycompany.com и тем более www.mycompany.com /alt:mycompany.com server.mycompany.com etc (а для very-secure-server.mycompany.com - отдельный на отдельном ip)? <br><br>&gt; всех клиентах, и каждому сервису не shared сертификат, очень однако большая <br><br>лолшта? widcard и alt работает в этой вот мазиле 3.6 - которая понятия не имеет ни о каком sni. Ну, правда, да, а где теперь взять wildcard, если ты не очень большой банк? Да и altnames недешевы и продаются поштучно. Постарался гугель, на славу, все кто мешал тырить траффик, уничтожены.<br><br>&gt;&gt; у меня &lt;$1, <br>&gt; Завидую белой завистью...<br><br>aruba за 2евро/мес тебе с адресом еще и vm завернет. Только thinprint читай внимательно, а то будут сюрпризы. ssd штука такая...<br><br>&gt;&gt; И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным<br>&gt;&gt; лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.<br>&gt; Я и https://www.opennet.ru/openforum/vsluhforumID3/115910.html#122 Fri, 30 Nov 2018 17:41:49 GMT &gt;&gt; если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод <br>&gt; а зачем вы собрались что-то менять в ПО и на машине которые <br>&gt; вам не принадлежат?<br><br>С чего вы это взяли, что я что то собираюсь менять не на моих машинах?<br>Я говорю о повальном использовании шпионищим Хромом DevOp-ами, привязки к нему<br><br><br>&gt; вы в инстаграмчик ходите с рабочей машинки?<br><br>Я на истаграмчик вооообще не хожу....<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/115910.html#121 Fri, 30 Nov 2018 17:27:48 GMT &gt;банально - раз на одном ip живет куча сайтов с разными сертификатами вместо<br>&gt; wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно,<br>&gt; shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.<br><br>Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на всех клиентах, и каждому сервису не shared сертификат, очень однако большая разница....<br><br>&gt; у меня &lt;$1,<br><br>Завидую белой завистью...<br><br>&gt; И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не. <br><br>Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки, легально а не хаки со стороны работников и пршмонать конкретную виртуалку не такая уж и проблема, тем более что не надо никуда и нечего перекачивать, а локальненько...<br><br>&gt; ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL<br><br>Класс, т.е. боремся за приватн https://www.opennet.ru/openforum/vsluhforumID3/115910.html#120 Fri, 30 Nov 2018 16:32:51 GMT &gt;&gt;&gt; С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL <br>&gt;&gt;&gt; сертификат <br>&gt;&gt; только смысла в этом не будет никакого.<br>&gt; Как это не будет ? Выделенный ИПшник стоит не так уж и <br><br>банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно, shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.<br><br>&gt; дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках <br><br>у меня &lt;$1, что я делаю не так? Необезличенный с отметкой в райпе еще дешевле, но там, понятно, от /28, не надо мне столько на один ящик, дохлые они у меня, а распределять их нельзя.<br><br>&gt; и ВПС-ах где можно за 3 бакса отмазаться разово, но при <br>&gt; этом свято доверять что в клаудном серваке никто не лазит со <br>&gt; стороны хостера), а для любого нормального домена надо как миниум 3 <br><br>я вот побыл тут надысь тем хостером - понадобилось при смене работы забрать все на https://www.opennet.ru/openforum/vsluhforumID3/115910.html#119 Fri, 30 Nov 2018 16:14:01 GMT &gt; В итоге без SNI адрес сайта к которому твой браузер обращается определяется <br>&gt; тривиально - нужно просто установить соединение и посмотреть какой сертификат отправил <br>&gt; сервер.<br><br>так cloudflare же ж! ;-)<br><br>сессия останется зашифрованной. просто пользователь будет в курсе, что его не видит товарищ майор, зато видят те, кто вполне могут продать товарищ-майору. <br><br>что ж в этом неправильного-то?<br><br>А там где security is the issue - так там в любом случае не может быть никакого sni. sni не средство обхода блокировок, это средство улпрощения слежки.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/115910.html#118 Fri, 30 Nov 2018 14:46:50 GMT &gt; если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод<br><br>а зачем вы собрались что-то менять в ПО и на машине которые вам не принадлежат?<br>вы в инстаграмчик ходите с рабочей машинки?<br> https://www.opennet.ru/openforum/vsluhforumID3/115910.html#117 Fri, 30 Nov 2018 09:21:20 GMT &gt;&gt;Мир отрыт для новых технологий. Предлагайте.<br><br>Если мир погряз в прошлом, будущее на этом не построишь. Обращаюсь к "старикам", направляйте "новичков" (привет Иванову :)) (будущее поколение), чтобы они создавали кардинально новые технологии, а не "скрещивали старье". Мир меняется, меняются требования, изучайте минусы/плюсы "прошлых" технологий, создавайте кардинально "новое" (новые идеи). При всем этом "скрещивании" вы думаете человек развивается? На сей день стандартный "новичек" даже не способен придумать банальный текстовый протокол.<br><br>пс: Удачи.<br> https://www.opennet.ru/openforum/vsluhforumID3/115910.html#116 Fri, 30 Nov 2018 04:44:59 GMT А какая технология нормальная? Децентрализованная? Технология ручной правки hosts? <br>Мир отрыт для новых технологий. Предлагайте. <br> https://www.opennet.ru/openforum/vsluhforumID3/115910.html#115 Thu, 29 Nov 2018 18:25:58 GMT Да, никто не отрицает, что это не совсем правильно и в идеале надо это делать в ОС. Но это ведь не самоцель. Просто ОСи будут долго внедрять, скорее всего. И даже внедрив, пользователи будут долго обновляться на новые версии ОСей (привет win7-8, старым андроидам). А у браузера есть возможность внедрить это прямо сейчас и пользователи обновятся сразу. Плюс, цитируя https://dnscrypt.info/faq/ по поводу DNS over TLS:<br>&gt; Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html<br><br>А в браузерах эта часть годами отполирована и нигде не сделано лучше среди клиентской части.<br>И те домены, которые желательно скрыть, чаще резолвятся именно для браузера, а не другого софта.<br>По этим причинам мы и видим это в браузере. Когда-нибудь это станет не нужно, но сейчас полезно и не мешает внедрению шифрования в ОСи.<br>