forum.opennet.ru - "Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов" (103)

"Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов"	+/–
Сообщение от opennews (?), 09-Дек-24, 11:51
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, принял решение прекратить поддержку протокола OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62373
Ответить \| Правка \| Cообщить модератору

Оглавление

Кстати, веб-браузеры, сфокусированные на заботе о конфиденциальности типа Lib, myster (ok), 12:18 , 09-Дек-24, (4) +12

Вот настоящая забота https opennet ru 56830-tlshttps opennet ru 53520-https, Аноним (6), 12:30 , 09-Дек-24, (6) +4

Францию тоже не забудь сюда добавить, благо новость есть прямо здесь И весь али, Аноним (12), 12:50 , 09-Дек-24, (12) +2

Минусующим советую загуглить France rogue Google certificate attack Всем чмок, timur.davletshin (ok), 15:29 , 09-Дек-24, (25) +5
А, ну, это, конечно, всё меняет Ты это имел в виду, да , anonymous (??), 16:43 , 09-Дек-24, (33) –1
ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это, chdlb (?), 01:06 , 10-Дек-24, (67) –3

Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA Российс, timur.davletshin (ok), 09:54 , 10-Дек-24, (78) +2

звездун детектедКазахстан сделал, и все правильно что сертификат забанили ANSSI , chdlb (?), 18:04 , 10-Дек-24, (83) –1

Неумёха, пока ты гуглишь, я скидываю сертификаты в usr local share ca-certifica, timur.davletshin (ok), 19:00 , 10-Дек-24, (84)

а винде ты их куда будешь складывать а ты каждый дистр проверял а у тебя FF паке, chdlb (?), 20:12 , 10-Дек-24, (85) –2

Открываешь файл, импорт, выбрать хранилище корневиков, поставить Firefox - secur, Аноним (86), 20:32 , 10-Дек-24, (86)

security enterprise_roots enabled - позволяет использовать СВОИ импортированные , chdlb (?), 22:58 , 10-Дек-24, (87) –1

Ты на линуксе, включи настройку и проверь Или мне тебе надо и скриншот приложит, timur.davletshin (ok), 07:20 , 11-Дек-24, (91)

скачай с сайта мозиллы английскую версию, не позорьсяAgence Nationale de Certifi, chdlb (?), 12:26 , 11-Дек-24, (96) –1
Это и есть английская официальная версия, запускалась на Debian 12 Русский инте, timur.davletshin (ok), 12:43 , 11-Дек-24, (98) –1
так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказ, chdlb (?), 19:38 , 11-Дек-24, (103) –1
Именно так и запущено Я же тебе говорю, что даже дефолтный грузит профиль из до, timur.davletshin (ok), 06:40 , 12-Дек-24, (106)
поставил Debian 12 KDEверсия ESR которая ставится с KDE по умолчанию тоже имее, chdlb (?), 20:51 , 11-Дек-24, (104) –1
Неумёха, ничего импортировать не нужно Если ты импортируешь, то System Trust ме, timur.davletshin (ok), 06:34 , 12-Дек-24, (105)
дегенеративный бот удаляет коменты ты уже запустил wc посчитал сколько в ста, chdlb (?), 12:34 , 13-Дек-24, (114) –1
Признавать свои ошибки всегда тяжело Но ты не отчаивайся и продолжай работать н, timur.davletshin (ok), 12:55 , 13-Дек-24, (115)
а ты трудись и у тебя получитьсяя даже не добавлял новый Security Device, зачем , chdlb (?), 13:11 , 13-Дек-24, (116) –1
У тебя логическая проблема Если ты не добавлял, откуда ты знаешь, что они именн, timur.davletshin (ok), 13:32 , 13-Дек-24, (117)
видишь ли надо английский ФФ ставить, и вообще английский учитьв статье которая , chdlb (?), 14:36 , 13-Дек-24, (120)
Can you summarize it for me in plain English in your own words I m getting a , timur.davletshin (ok), 14:47 , 13-Дек-24, (122)
А столько форсу было в начале 128518 , timur.davletshin (ok), 13:33 , 13-Дек-24, (118)
я тебе уже дважды сказал, что для меня ничего не поменялосьсказочник сам придума, chdlb (?), 14:33 , 13-Дек-24, (119)

https imgur com a bCayDDy - каких ещё вам системных сертификатов не хватает Ц, timur.davletshin (ok), 07:33 , 11-Дек-24, (92)
Ну начни читать, можешь даже объяснить что значит вот эти твои слова не может, Аноним (86), 09:24 , 11-Дек-24, (93) –1

Вот именно поэтому, деточка, ты и являешься неучем C официальными сборками Firef, timur.davletshin (ok), 07:15 , 11-Дек-24, (90)

Да уж, MITM, так сказать, в каждый дом А учитывая, что они сейчас начали всех за, Pahanivo (ok), 13:56 , 09-Дек-24, (16) –2

Так ты просто ставь Яндекс Чебурбраузер и всё , Аноним (17), 14:09 , 09-Дек-24, (17)

Откровенного трояна еще не хватало , Pahanivo (ok), 15:51 , 09-Дек-24, (27) +3

Это не троян Это ФСБ-шная шпионская программа , Аноним (-), 16:35 , 09-Дек-24, (32) +3

----Штирлиц вошёл в туалет, там крупно синела надпись Штирлиц русский шпион , Аноним (60), 21:12 , 09-Дек-24, (60) +6

феэсбээ, вообще-то - контрразведка, как и фэбээр , Аноним (89), 02:57 , 11-Дек-24, (89)

в каких сервисах , chdlb (?), 01:08 , 10-Дек-24, (68) –1

В любых веб сервисах, например, когда у тебя на компе российский корневой серт с, Pahanivo (ok), 12:24 , 12-Дек-24, (108)

веб-сервис - это вполне устойчивый термин, нельзя его применять, обозначая какой, chdlb (?), 14:39 , 13-Дек-24, (121)

Попробовал скачать браузер Атом https atom browser ru , пишет что Сайт забл, Аноним (20), 14:52 , 09-Дек-24, (20) +1

https browser ru , Аноним (22), 15:14 , 09-Дек-24, (22)

Место тут проклято , нах. (?), 16:51 , 09-Дек-24, (35) –1
С чего бы такое , Аноним (20), 18:41 , 09-Дек-24, (46)

Не взлетел , Vladjmir (ok), 15:53 , 10-Дек-24, (81)

А пытался Atom 8211 новый браузер от Mail ru на базе Chromium с акцентом , Pahanivo (ok), 19:19 , 12-Дек-24, (109)

У них был предыдущий браузер Amigo вроде , который лез на комп из всех щелей и , Vladjmir (ok), 07:21 , 13-Дек-24, (113)

Ага, у нас будети свой браузер на базе хромиума со совим блекджеком и троянами, Pahanivo (ok), 11:36 , 16-Дек-24, (125)

В дилло такой фигни нет и ледибёрде , Аноним (17), 12:40 , 09-Дек-24, (11) +2
Используется политика владельца CA , - так было бы корректнее выразиться Поста, timur.davletshin (ok), 15:54 , 09-Дек-24, (29) +1

Все время говорил что сбор данных есть, а местные эксперты не верили Вот одну и, Аноним (17), 12:32 , 09-Дек-24, (7) +1

Все время говорил что есть вредно, а местные эксперты не верили Ведь в еде встр, Аноним (13), 12:54 , 09-Дек-24, (13) +1
И кто говорил что Let s Encrypt чья корова и кто её доит , fuggy (ok), 17:59 , 09-Дек-24, (42) +1

Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то наиболее вероятн, нах. (?), 23:03 , 09-Дек-24, (66)

Редкая по нынешним временам приятная новость Ещё бы DNS на такой же манер бы пе, Тоже_Аноним_Естественно (?), 14:25 , 09-Дек-24, (19) +2

Ага всё в hosts будет Возвращаемся на начало интернета , Аноним (24), 15:27 , 09-Дек-24, (24) +3

А что, идейа БД будет где-то гигабайт 10 Недорого совсем , Akteon (?), 18:40 , 09-Дек-24, (45) +2

DVD Name System, наконец-то , Аноним (76), 07:38 , 10-Дек-24, (76)

Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходя, Аноним (20), 14:59 , 09-Дек-24, (21)

Если бы хотели оптимизировать свой бизнес, то просто продавали бы логи запросо, keydon (ok), 15:34 , 09-Дек-24, (26) +4

А с чего ты решил, что они самые непродажные Потому что нет открытой инфы о сд, Аноним (20), 18:44 , 09-Дек-24, (47) +4

Кому продавать Самим себе Кто там в списках безвозмездных меценатов , OpenEcho (?), 20:23 , 09-Дек-24, (57)
Если бы я был аморальным и получал кучу денег за данные из логов, то я бы, keydon (ok), 01:19 , 10-Дек-24, (70)

Да просто не смогли эти данные продать Логи не окупились - давайте их отключим , нах. (?), 16:08 , 09-Дек-24, (31) –2

Все правильно говорили , Аноним (41), 17:00 , 09-Дек-24, (41)
В этом плане ничего и не изменилось, это всё ещё огромный объём, который только , Аноним (43), 18:36 , 09-Дек-24, (43)

фильтр Блума 8212 это вероятностная структура данных он может сказать вам со, Аноним (20), 18:46 , 09-Дек-24, (48) +1

вот при положительном результате - уже можно потратить даже десять секунд ценног, нах. (?), 20:22 , 09-Дек-24, (56) +1
Внезапно да этого достаточно для CRL , keydon (ok), 01:20 , 10-Дек-24, (71)

Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь мал, Аноним (63), 21:50 , 09-Дек-24, (63)

осетра таки надо урезать, порядка на 2 минимума то 200 000 rps на гигабитном лин, RM (ok), 23:43 , 10-Дек-24, (88)

порядков на пять Потому что это тебе не гигабитный линк загадить, а делать ровно, нах. (?), 12:57 , 11-Дек-24, (100) +1

SSL сертификаты на публичных новостных сайтах - зло Старые устройства постоянн, Аноним (28), 15:53 , 09-Дек-24, (28)

а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показывае, нах. (?), 16:48 , 09-Дек-24, (34) –3

Скрыто модератором, Аноним (20), 18:48 , 09-Дек-24, (49) +2

Так а что делать-то Гонять весь трафик в открытую, давая провайдерам возможност, Rev (ok), 16:52 , 09-Дек-24, (37)

Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интер, Аноним (43), 18:37 , 09-Дек-24, (44)

171 Никто никогда не вернётся в 2007 год 187 , Аноним (20), 18:49 , 09-Дек-24, (50) +1

не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой э, нах. (?), 20:20 , 09-Дек-24, (55) –3

Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мн, Аноним (63), 21:48 , 09-Дек-24, (62)

можешь прямо по месту прописки продолжить страдать Почему кто-то должен за твою , нах. (?), 22:14 , 09-Дек-24, (64) –2

А почему наоборот Причём твоя параноя чисто теоретическая, а баннеры на опеннет, Аноним (63), 17:52 , 10-Дек-24, (82) +1

лично я баннер увидел ровно один раз точнее - заметил, он был, надо признать, , нах. (?), 12:49 , 11-Дек-24, (99)

Скрыто модератором, Аноним (63), 18:16 , 11-Дек-24, (101)

Скрыто модератором, нах. (?), 19:21 , 11-Дек-24, (102)

Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно, Аноним (75), 07:31 , 10-Дек-24, (75)

А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страниц, Аноним (53), 19:51 , 09-Дек-24, (53)

кругом враги Как жыть , нах. (?), 20:26 , 09-Дек-24, (58) –2

Шапочка из фольги абсолютно защищает от всех трехбуквенных отечественных и зару, Аноним (65), 23:00 , 09-Дек-24, (65)
РТК, а ты что подумал https www opennet ru opennews art shtml num 52444Пойти и, Аноним (123), 05:50 , 14-Дек-24, (123)

Ну товарищъ майор , Аноним (59), 20:33 , 09-Дек-24, (59)
Владельцы старья должны страдать, а владельцы закрытого старья должны страдать в, Аноним (63), 21:40 , 09-Дек-24, (61) +1

Скрыто модератором, Аноним (80), 12:31 , 10-Дек-24, (80)

Ой, сюрпрайз-то какой , YetAnotherOnanym (ok), 19:12 , 09-Дек-24, (51)
Пропагандистстский аргумент, рассчитанный на некомпетентных Есть такая штука, O, Аноним (53), 19:50 , 09-Дек-24, (52) +1

категорически непригодная для нагруженных систем и вредная и опасная даже для тв, нах. (?), 20:19 , 09-Дек-24, (54)

Сфигали Для каждого запроса не требуется свежее прикрепление Знаю Несуразица эт, Аноним (73), 04:22 , 10-Дек-24, (73) –1

Почему нельзя оставить альтернативу Пусть пользователь в настройках конфиденциа, Аноним (72), 04:16 , 10-Дек-24, (72)
чем OCSP отличается от скачивания CRL с CRL DP Правильно, ничем, Аноним (74), 05:30 , 10-Дек-24, (74)

Скачивание CRL не дает возможности понять какой именно сертификат клиент собирае, Ramiralez (?), 12:26 , 10-Дек-24, (79) +1

Всегда выключал в настройках OCSP как и всякие безопасные интернеты , антифишин, Ivan_83 (ok), 09:02 , 10-Дек-24, (77) +1

Ну а проверять вменяемость своего выбора ты как-то собираешься Или просто нутро, нах. (?), 12:39 , 11-Дек-24, (97)

code ssl_stapling on ssl_stapling_verify on resolver 1 1 1 1 8 8 8 8 valid 300s, Ilya Indigo (ok), 10:34 , 11-Дек-24, (94) –1

Да именно так еще надо ssl_trusted_certificate с промежуточным и корневым, или , Аноним (60), 00:08 , 13-Дек-24, (111) +1

Сообщения [Сортировка по времени | RSS]

4. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +12 +/–

Сообщение от myster (ok), 09-Дек-24, 12:18

Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.

Ответить | Правка | Наверх | Cообщить модератору

6. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +4 +/–

Сообщение от Аноним (6), 09-Дек-24, 12:30

Вот настоящая забота:
https://opennet.ru/56830-tls
https://opennet.ru/53520-https

Ответить | Правка | Наверх | Cообщить модератору

12. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +2 +/–

Сообщение от Аноним (12), 09-Дек-24, 12:50

Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол

Ответить | Правка | Наверх | Cообщить модератору

25. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +5 +/–

Сообщение от timur.davletshin (ok), 09-Дек-24, 15:29

Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))

Ответить | Правка | Наверх | Cообщить модератору

33. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от anonymous (??), 09-Дек-24, 16:43

А, ну, это, конечно, всё меняет!
Ты это имел в виду, да?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

67. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –3 +/–

Сообщение от chdlb (?), 10-Дек-24, 01:06

ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное
у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все
кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

78. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +2 +/–

Сообщение от timur.davletshin (ok), 10-Дек-24, 09:54

>>> у Казахстана не получилось пропихнуть MITM
Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры.
>>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.

Ответить | Правка | Наверх | Cообщить модератору

83. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 10-Дек-24, 18:04

звездун детектед
> Казахстан не сделал ничего такого,
Казахстан сделал, и все правильно что сертификат забанили.
> даже после попыток подделывать сертификаты.
ANSSI облажалась и ее выкинули из CA !!!!!
https://bugzilla.mozilla.org/show_bug.cgi?id=1272156
> Firefox может прекрасно использовать системный.
не может
https://bugzilla.mozilla.org/show_bug.cgi?id=620373
https://bugzilla.mozilla.org/show_bug.cgi?id=449498
https://bugzilla.mozilla.org/show_bug.cgi?id=454036
я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь

Ответить | Правка | Наверх | Cообщить модератору

84. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 10-Дек-24, 19:00

>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь
Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS.
>>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156
Какое отношение это имеет к моим тезисам?
>>> Казахстан сделал, и все правильно что сертификат забанили.
Где и кого он заMITM'им?

Ответить | Правка | Наверх | Cообщить модератору

85. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –2 +/–

Сообщение от chdlb (?), 10-Дек-24, 20:12

> сертификаты в /usr/local/share/ca-certificates
а винде ты их куда будешь складывать?
а ты каждый дистр проверял?
а у тебя FF пакетированный из твоего дистра или с сайта мозиллы?
а только ты видишь эти магические сертификаты или даже тестил их?
/usr/local/share/ca-certificates - у меня например нет такого ))))
и еще, это system-wide хранилище? я думал что это /var/lib/ca-certificates/ca-bundle.pem ))))
> System Trust (зачем-то же этот флажок придумали)
я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,
а из типов только Software Security Device и Builtin Object Token
и никакие сертификаты ниоткуда не подхватываются, и что самое главное что Firefox ничего подобного официально не сапортит (см ссылки), а так конечно да, в теории можно хоть пересобрать его гвоздями прибив к чему угодно
> Где и кого он заMITM'им?
так хорошо, что не дали ничего сделать

> CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты.
> Какое отношение это имеет к моим тезисам?
не остаются! после того случая этот CA убрали из доверенных, если ты про то что ДРУГИЕ гос CA остаются, ну тогда у тебя лажа с формулировкой, потому что другие госы не делали "попыток подделывать сертификаты", теперь понятно к чему тот линк? что для виновных отозвали, а не та хрень что ты написал, что они остаются безнаказанными

Ответить | Правка | Наверх | Cообщить модератору

86. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (86), 10-Дек-24, 20:32

> а винде ты их куда будешь складывать?
Открываешь файл, импорт, выбрать хранилище корневиков, поставить.
Firefox - security.enterprise_roots.enabled

Ответить | Правка | Наверх | Cообщить модератору

87. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 10-Дек-24, 22:58

security.enterprise_roots.enabled - позволяет использовать СВОИ импортированные сертификаты, но говорит FF использовать system-wide CA bundle, так как это делает тот же Хром, и именно об этом эта ветка, что у FF свое собственное хранилище, а не system-wide, начни читать с первых моих коментов

Ответить | Правка | Наверх | Cообщить модератору

91. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 11-Дек-24, 07:20

Ты на линуксе, включи настройку и проверь. Или мне тебе надо и скриншот приложить, что системные сертификаты работают?

Ответить | Правка | Наверх | Cообщить модератору

96. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 11-Дек-24, 12:26

скачай с сайта мозиллы английскую версию, не позорься
Agence Nationale de Certification Electronique - Tun Trust Root CA - Bultin Object Token
security.enterprise_roots.enabled true
---
какая у тебя OS?
---
P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты

Ответить | Правка | Наверх | Cообщить модератору

98. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от timur.davletshin (ok), 11-Дек-24, 12:43

> скачай с сайта мозиллы английскую версию, не позорься
Это и есть английская официальная версия, запускалась на Debian 12. Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. Ещё есть версии моего "позора"? Какие скриншоты выложить? Номер билда, архитектура? Оно на самом деле лет 10 как работает именно в такой конфигурации, т.к. у меня именно столько лет шаблону настройки NSS и FF. До этого тоже работало, но я деталей не помню. У меня тогда другой токен был.
>>> P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты
Всё дело в том, что кто-то очень сильно безапеляционно начал утверждать чушь. Но тебе не привыкать. Кстати, что там с историей про Казахстан? Или тоже причина твоего звездежа в моей токсичности?

Ответить | Правка | Наверх | Cообщить модератору

103. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 11-Дек-24, 19:38

так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказочник
> Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены.
какой к черту пакет? распакуй tar и проверь
https://download-installer.cdn.mozilla.net/pub/firefox/relea...
я кстатии проверил пакетированный FF в нескольких RPM дистрах, там security.enterprise_roots.enabled включена по умолчанию, как кстати и в версии с Mozilla CDN, и нигде нет System Trust
сейчас качаю Debian, чтобы поставить родной Mozilla .deb, и другие версии, даже не бубунту, именно Debian (у тебя же 12-ый да?), если заработает, то твоя ошибка выжившего получит премию года )))
> т.к. у меня именно столько лет шаблону настройки NSS и FF.
какому шаблону?
> Или тоже причина твоего звездежа в моей токсичности?
а ты еще и стрелочник ))))

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

106. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 12-Дек-24, 06:40

> какой к черту пакет? распакуй tar и проверь
Именно так и запущено. Я же тебе говорю, что даже дефолтный грузит профиль из домашнего каталога. А там дополнения и настройки. Ты в одном шаге от решения.

Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

104. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 11-Дек-24, 20:51

поставил Debian 12 + KDE
версия ESR которая ставится с KDE по умолчанию тоже имеет security.enterprise_roots.enabled true из коробки
скачанный Firefox stable из APT репы мозиллы - аналогично
никакого System Trust там нет
может ты просто признаешься, что ты импортируешь в Firefox системные сертификаты? И не будешь кричать с пеной у рта, что Firefox может использовать системное хранилище сертификатов?
а если не согласен, то давай Steps to reproduce, иначе балабол

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

105. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 12-Дек-24, 06:34

Неумёха, ничего импортировать не нужно. Если ты импортируешь, то System Trust метки не получишь.
Способ универсальный и работает ОЧЕНЬ давно, гуглится в один запрос: https://imgur.com/a/xF801Gf
... описан в официальной документации Firefox по ссылке: https://support.mozilla.org/en-US/kb/setting-certificate-aut...
А если ещё и научиться прописывать настройки в ~/.pki/nssdb/pkcs11.txt (он идентичен файлу с таким же именем из профиля FF, именно туда сохраняются эти настройки), то можно унифицировать настройку вообще всех приложений, которые используют NSS (LibreOffice, Evolution, Thunderbird). А некоторые продвинутые пользователи вообще рекомендуют делать симлинк из профиля FF на общепользовательские файлы из ~/.pki/nssdb. Именно так у меня и сделано. Там же унифицируется настройка SmartCard и токенов. Один раз настроил и забыл. Я тебе с самого начала не зря делал подсказку про настройку NSS, но видеть смысл в тексте ты не умеешь.
Так что там было про пену у рта и про Казахстан? Может всё же будешь человеком и извинишься за необоснованные обвинения?

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

114. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 13-Дек-24, 12:34

дегенеративный бот удаляет коменты )))
ты уже запустил wc? посчитал сколько в статье мозиллы слов import?

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

115. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 13-Дек-24, 12:55

Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать над собой. Тем не менее рад, что у тебя заработало хотя бы.

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

116. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 13-Дек-24, 13:11

> Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать
> над собой. Тем не менее рад, что у тебя заработало хотя
> бы.
> Признавать свои ошибки всегда тяжело.
а ты трудись и у тебя получиться
> Тем не менее рад, что у тебя заработало хотя
> бы.
я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))
забавная у тебя кривая реальность, сказочник )))

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

117. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 13-Дек-24, 13:32

>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))
У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, что это за файл). Они не импортируются, просто подключается системное хранилище сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

120. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от chdlb (?), 13-Дек-24, 14:36

>>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? )))
> У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что
> они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла,
> в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь,
> что это за файл). Они не импортируются, просто подключается системное хранилище
> сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.
видишь ли надо английский ФФ ставить, и вообще английский учить
в статье которая на сайте мозилы это дословно написано
вот три способа как можно эти сертификаты использовать и там первым предложением
"Certificates can be programmatically imported by using p11-kit-trust.so"
я же тебе предлагал грепом вордкаунтом пройтись, а ты тормозишь, ничего не понял
Linux
Using p11-kit-trust.so on Linux
Certificates can be programmatically imported by using p11-kit-trust.so from p11-kit (note that some distributions, such as Red Hat-based ones, already do this by default by shipping p11-kit-trust.so as libnsscbki.so).
This can be done by setting the SecurityDevices policy in /etc/firefox/policies/policies.json and adding an entry pointing to the p11-kit-trust.so location in the system, by manually adding it via the Security Devices manager in Preferences, or by using the modutil utility.
Preload the Certificate Databases (new profiles only)
Some users will create a new profile in Firefox, manually install the certificates they need, and then distribute the various .db files (cert9.db, key4.db and secmod.db) into new profiles using this method. This is not the recommended approach, and this method only works for new profiles.
Certutil
You can use certutil to update the Firefox certificate databases from the command line. Check the Microsoft support site for more information.

Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

122. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 13-Дек-24, 14:47

>>> видишь ли надо английский ФФ ставить, и вообще английский учить.
Can you summarize it for me in plain English (in your own words)? I'm getting a little bit tired of that bullshit of yours. Providing file checksums 'before' vs. 'after' is very much appreciated. Don't take as a grave offense, my only purpose is to make you more inquisitive. If those certificates were imported... Well, they must have been saved somewhere, right? So, save your breath, and show me those checksums.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

118. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 13-Дек-24, 13:33

>>> забавная у тебя кривая реальность, сказочник )))
А столько форсу было в начале 😆

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

119. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от chdlb (?), 13-Дек-24, 14:33

>>>> забавная у тебя кривая реальность, сказочник )))
> А столько форсу было в начале 😆
я тебе уже дважды сказал, что для меня ничего не поменялось
сказочник сам придумал, сам посмеялся
тебя не отпускает никак? )))

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

92. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 11-Дек-24, 07:33

https://imgur.com/a/bCayDDy - каких ещё вам системных сертификатов не хватает? Цепляются и системные и пользовательские. Кстати, специально выделенное Agence Nationale тебя не смущает? А почему национальное агенство Казахстана смущает? Лишь по причине того, что за французскими гос. учреждениями MITM уже замечали, а за казахским... - ты так примера и не смог привести.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

93. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от Аноним (86), 11-Дек-24, 09:24

Ну начни читать, можешь даже объяснить что значит вот эти твои слова:
> Firefox может прекрасно использовать системный.
не может

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

90. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от timur.davletshin (ok), 11-Дек-24, 07:15

>>> я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,
Вот именно поэтому, деточка, ты и являешься неучем.
>>> а ты каждый дистр проверял?
C официальными сборками Firefox работает. Всё остальное - проблемы дистроклепателей.
>>> так хорошо, что не дали ничего сделать
Я никогда не сомневался, что из "либералов" самые лучшие запрещалкины выходят, когда они до власти дорываются. Далеко за примерами ходить не надо.
>>> не остаются!
Немцы тому примером. Начиная от органов следствия, заканчивая недавним примером c Hetzner. Всех наказали, всех удалили. Ога, аж два раза.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

16. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –2 +/–

Сообщение от Pahanivo (ok), 09-Дек-24, 13:56

Да уж, MITM, так сказать, в каждый дом!
А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (17), 09-Дек-24, 14:09

Так ты просто ставь Яндекс Чебурбраузер и всё.

Ответить | Правка | Наверх | Cообщить модератору

27. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +3 +/–

Сообщение от Pahanivo (ok), 09-Дек-24, 15:51

> Так ты просто ставь Яндекс Чебурбраузер и всё.
Откровенного трояна еще не хватало.

Ответить | Правка | Наверх | Cообщить модератору

32. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +3 +/–

Сообщение от Аноним (-), 09-Дек-24, 16:35

Это не троян. Это ФСБ-шная шпионская программа.

Ответить | Правка | Наверх | Cообщить модератору

60. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +6 +/–

Сообщение от Аноним (60), 09-Дек-24, 21:12

----
Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"...
----
Если ФСБшная, то видимо разведческая.  Шпионская это ФБР, Моссад или чья там еще...

Ответить | Правка | Наверх | Cообщить модератору

89. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (89), 11-Дек-24, 02:57

феэсбээ, вообще-то - контрразведка, как и фэбээр.

Ответить | Правка | Наверх | Cообщить модератору

68. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от chdlb (?), 10-Дек-24, 01:08

в каких сервисах?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

108. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Pahanivo (ok), 12-Дек-24, 12:24

> в каких сервисах?
В любых веб сервисах, например, когда у тебя на компе российский корневой серт стоит. А он стоит с большой вероятностью если чел пользует гос и банк веб сервисы в рф.

Ответить | Правка | Наверх | Cообщить модератору

121. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от chdlb (?), 13-Дек-24, 14:39

>> в каких сервисах?
> В любых веб сервисах, например, когда у тебя на компе российский корневой
> серт стоит. А он стоит с большой вероятностью если чел пользует
> гос и банк веб сервисы в рф.
веб-сервис - это вполне устойчивый термин, нельзя его применять, обозначая какой-то портал государственных услуг
и ставить левый рут сертификат - это нужно быть [очень глупым человеком]

Ответить | Правка | Наверх | Cообщить модератору

20. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (20), 09-Дек-24, 14:52

>государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом.
Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт".
Неужели это тот браузер, который мы действительно заслуживаем?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (22), 09-Дек-24, 15:14

https://browser.ru/
> С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления

Ответить | Правка | Наверх | Cообщить модератору

35. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от нах. (?), 09-Дек-24, 16:51

Место тут проклято.

Ответить | Правка | Наверх | Cообщить модератору

46. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (20), 09-Дек-24, 18:41

>С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления
С чего бы такое?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

81. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Vladjmir (ok), 10-Дек-24, 15:53

Не взлетел.

Ответить | Правка | Наверх | Cообщить модератору

109. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Pahanivo (ok), 12-Дек-24, 19:19

> Не взлетел.
А пытался? ))
"Atom – новый браузер от Mail.ru на базе Chromium с акцентом на безопасность и приватность." - это само по себе уже очень сменой анекдот ))

Ответить | Правка | Наверх | Cообщить модератору

113. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Vladjmir (ok), 13-Дек-24, 07:21

>> Не взлетел.
> А пытался? ))
> "Atom – новый браузер от Mail.ru на базе Chromium с акцентом на
> безопасность и приватность." - это само по себе уже очень сменой
> анекдот ))
У них был предыдущий браузер Amigo (вроде), который лез на комп из всех щелей и вёл себя как троян, потому вызывал ярость пользователей и ненависть к конторе mail.ru, которая продвигала его по модели агрессивного маркетинга. По этой причине Amigo провалился. А Atom они сделали для импортозамещения как альтернативу Яндекс браузеру, не стали пихать его насильно. Но госсектор его не заметил, может, остался осадок от Amigo. Внутри Atom -- это чисто Chromium, но движок у него давно не обновлялся.

Ответить | Правка | Наверх | Cообщить модератору

125. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Pahanivo (ok), 16-Дек-24, 11:36

>  А Atom они сделали для > импортозамещения как альтернативу Яндекс браузеру,
Ага, у нас будети свой браузер (на базе хромиума) со совим блекджеком и троянами
> не стали пихать его насильно
смишно смишно, но до Петросяна не дотягивает

Ответить | Правка | Наверх | Cообщить модератору

11. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +2 +/–

Сообщение от Аноним (17), 09-Дек-24, 12:40

В дилло такой фигни нет и ледибёрде.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от timur.davletshin (ok), 09-Дек-24, 15:54

"Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (17), 09-Дек-24, 12:32

Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.

Ответить | Правка | Наверх | Cообщить модератору

13. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (13), 09-Дек-24, 12:54

Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.

Ответить | Правка | Наверх | Cообщить модератору

42. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от fuggy (ok), 09-Дек-24, 17:59

И кто говорил что Let's Encrypt чья корова и кто её доит.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

66. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от нах. (?), 09-Дек-24, 23:03

Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то?
(наиболее вероятный правильный ответ - что они все же дол...6ы)

Ответить | Правка | Наверх | Cообщить модератору

19. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +2 +/–

Сообщение от Тоже_Аноним_Естественно (?), 09-Дек-24, 14:25

Редкая по нынешним временам приятная новость. Ещё бы DNS на такой же манер бы перевели.

Ответить | Правка | Наверх | Cообщить модератору

24. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +3 +/–

Сообщение от Аноним (24), 09-Дек-24, 15:27

Ага всё в hosts будет. Возвращаемся на начало интернета.

Ответить | Правка | Наверх | Cообщить модератору

45. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +2 +/–

Сообщение от Akteon (?), 09-Дек-24, 18:40

А что, идейа. БД будет где-то гигабайт 10. Недорого совсем.

Ответить | Правка | Наверх | Cообщить модератору

76. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (76), 10-Дек-24, 07:38

DVD Name System, наконец-то!

Ответить | Правка | Наверх | Cообщить модератору

21. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (20), 09-Дек-24, 14:59

Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".
Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт.
Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.

Ответить | Правка | Наверх | Cообщить модератору

26. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +4 +/–

Сообщение от keydon (ok), 09-Дек-24, 15:34

Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам.
Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.

Ответить | Правка | Наверх | Cообщить модератору

47. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +4 +/–

Сообщение от Аноним (20), 09-Дек-24, 18:44

>то просто продавали бы логи запросов рекламщикам.
А с чего ты решил, что они самые "непродажные"?
Потому что нет открытой инфы о сделках?
Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.

Ответить | Правка | Наверх | Cообщить модератору

57. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от OpenEcho (?), 09-Дек-24, 20:23

> А с чего ты решил, что они самые "непродажные"?
Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?

Ответить | Правка | Наверх | Cообщить модератору

70. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от keydon (ok), 10-Дек-24, 01:19

> А с чего ты решил, что они самые "непродажные"?
> Потому что нет открытой инфы о сделках?
> Ну так можно и без денег - придут из одной государственной конторы
> и пояснят им кто чья корова, и кому их можно доить.
Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

31. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –2 +/–

Сообщение от нах. (?), 09-Дек-24, 16:08

Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали.
А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

41. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (41), 09-Дек-24, 17:00

Все правильно говорили.

Ответить | Правка | Наверх | Cообщить модератору

43. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (43), 09-Дек-24, 18:36

> А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена)
В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

48. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (20), 09-Дек-24, 18:46

фильтр Блума — это вероятностная структура данных!
он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).

Ответить | Правка | Наверх | Cообщить модератору

56. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от нах. (?), 09-Дек-24, 20:22

> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).
вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам.
хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.

Ответить | Правка | Наверх | Cообщить модератору

71. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от keydon (ok), 10-Дек-24, 01:20

> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).
Внезапно (да?) этого достаточно для CRL.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

63. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (63), 09-Дек-24, 21:50

> Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".
Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

88. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от RM (ok), 10-Дек-24, 23:43

осетра таки надо урезать, порядка на 2 минимум
а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ.
малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...

Ответить | Правка | Наверх | Cообщить модератору

100. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от нах. (?), 11-Дек-24, 12:57

порядков на пять.
Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.

Ответить | Правка | Наверх | Cообщить модератору

28. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (28), 09-Дек-24, 15:53

SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.

Ответить | Правка | Наверх | Cообщить модератору

34. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –3 +/–

Сообщение от нах. (?), 09-Дек-24, 16:48

> SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются
а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо.
Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.

Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором +2 +/–

Сообщение от Аноним (20), 09-Дек-24, 18:48

давай, ты не будешь говорить, что кому делать,
и тогда мы не будем тебе говорить, куда тебе следует пойти.

Ответить | Правка | Наверх | Cообщить модератору

37. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Rev (ok), 09-Дек-24, 16:52

Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

44. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (43), 09-Дек-24, 18:37

Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.

Ответить | Правка | Наверх | Cообщить модератору

50. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (20), 09-Дек-24, 18:49

«Никто никогда не вернётся в 2007 год!»

Ответить | Правка | Наверх | Cообщить модератору

55. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –3 +/–

Сообщение от нах. (?), 09-Дек-24, 20:20

> Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность
> добавлять туда рекламу и следящие скрипты?
не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

62. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (63), 09-Дек-24, 21:48

Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.

Ответить | Правка | Наверх | Cообщить модератору

64. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –2 +/–

Сообщение от нах. (?), 09-Дек-24, 22:14

> Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и
> переехать?
можешь прямо по месту прописки продолжить страдать.
Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.

Ответить | Правка | Наверх | Cообщить модератору

82. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (63), 10-Дек-24, 17:52

> Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем?
А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все.
> Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?

Ответить | Правка | Наверх | Cообщить модератору

99. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от нах. (?), 11-Дек-24, 12:49

лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза)
И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь.
(чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью)
И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.

Ответить | Правка | Наверх | Cообщить модератору

101. Скрыто модератором +/–

Сообщение от Аноним (63), 11-Дек-24, 18:16

> И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.
Такими фразочками будешь детей пугать. Я же могу пообщаться предметно в терминах полноценной модели атакующего: кто видит, что видит и когда видит, что из того что видят допустимо или не допустимо в моём или твоём кейсе, а что если ESNI, а что если domain fronting, а что если VPN, а где вход в этот VPN, а где выход, а через что идёт трафик до хоста, а что там при этом с таймингами и т.д. Но общаться я буду явно не с клоуном который не понимает зачем нужен TLS.

Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором +/–

Сообщение от нах. (?), 11-Дек-24, 19:21

вот надуванием щек - можешь детей пугать.

Ответить | Правка | Наверх | Cообщить модератору

75. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (75), 10-Дек-24, 07:31

Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

53. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (53), 09-Дек-24, 19:51

А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

58. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –2 +/–

Сообщение от нах. (?), 09-Дек-24, 20:26

> А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу.
> А браузер послушно исполнит.
кругом враги! Как жыть!

Ответить | Правка | Наверх | Cообщить модератору

65. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (65), 09-Дек-24, 23:00

>кругом враги! Как жыть!
Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.

Ответить | Правка | Наверх | Cообщить модератору

123. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (123), 14-Дек-24, 05:50

РТК, а ты что подумал?
https://www.opennet.dev/opennews/art.shtml?num=52444
>Как жыть!
Пойти и обратиться на другую трёхбуквенную организацию, одной буквой лишь отличающуюся.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

59. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (59), 09-Дек-24, 20:33

Ну товарищъ майор...

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

61. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (63), 09-Дек-24, 21:40

Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

80. Скрыто модератором +/–

Сообщение от Аноним (80), 10-Дек-24, 12:31

А кто должен страдать лишь вдвойне?

Ответить | Правка | Наверх | Cообщить модератору

51. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от YetAnotherOnanym (ok), 09-Дек-24, 19:12

> удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу
Ой, сюрпрайз-то какой!

Ответить | Правка | Наверх | Cообщить модератору

52. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (53), 09-Дек-24, 19:50

>В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат
Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён.
При этом удостверяющий центр и так в позиции нарушать приватность.
Наверняка их *попросили* об этом разведовательные органы.

Ответить | Правка | Наверх | Cообщить модератору

54. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от нах. (?), 09-Дек-24, 20:19

> Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling.
категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)
> При нём - ничего не отправляется. И OCSP Must Staple. Который
> требует, чтобы OCSP-ответ был прикреплён.
А сервер тебе такой - "знаешь куда пройти?"
Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было.
> Наверняка их *попросили* об этом разведовательные органы.
что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.

Ответить | Правка | Наверх | Cообщить модератору

73. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от Аноним (73), 10-Дек-24, 04:22

>категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)
Сфигали? Для каждого запроса не требуется свежее прикрепление.
>А сервер тебе такой - "знаешь куда пройти?"
Знаю.
>Никто не обязан поддерживать эту чудовищную несуразицу.
Несуразица это только для вас.
>что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.
Не назад, а вперёд. Теперь объекту атаки вообще никак в реалтайме не получить подтверждений. На фоне быстрой ротации сертификатов Let's Encrypt это вредно вдвойне - расследование инцидентов становится намного сложнее, и CT-логи придётся в реалтайме в огромном размере обновлять, чтобы получить хоть какую-то гарантию, что хоть какие-то следы от атаки останутся.

Ответить | Правка | Наверх | Cообщить модератору

72. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (72), 10-Дек-24, 04:16

Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.

Ответить | Правка | Наверх | Cообщить модератору

74. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от Аноним (74), 10-Дек-24, 05:30

чем OCSP отличается от скачивания CRL с CRL DP? Правильно, ничем

Ответить | Правка | Наверх | Cообщить модератору

79. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Ramiralez (?), 10-Дек-24, 12:26

Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.

Ответить | Правка | Наверх | Cообщить модератору

77. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Ivan_83 (ok), 10-Дек-24, 09:02

Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.

Ответить | Правка | Наверх | Cообщить модератору

97. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +/–

Сообщение от нах. (?), 11-Дек-24, 12:39

Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить.
Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?

Ответить | Правка | Наверх | Cообщить модератору

94. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." –1 +/–

Сообщение от Ilya Indigo (ok), 11-Дек-24, 10:34

> Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных.

ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;

Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки.
Никакой утечки и никаких обращений от пользователя тут нет.

Ответить | Правка | Наверх | Cообщить модератору

111. "Let's Encrypt прекращает поддержку протокола OCSP для провер..." +1 +/–

Сообщение от Аноним (60), 13-Дек-24, 00:08

Да именно так (еще надо ssl_trusted_certificate с промежуточным и корневым, или как я, сам вынимаю регулярно OCSP ответы от ЦА и кормлю ими нгинкс через ssl_stapling_file, а у нгинкса исходящей связи в мир нет, обо нефиг ему там делать).. но тут есть 2 НО
1. Так мало кто делает. по умолчанию это выключено и в примерах со всяких стек оверфлоу его обычно нет.
2. Самый популярный браузер (хром) болт кладёт на просроченные stapling, приклеенные к сертификату.
всякие там, палемуны начинают голосить, что сертификат не валиден (не могут проверить стаплинг, ибо просрочен), а хрому хоть бы что.
тоесть, в общем, смысла мало. я так понимаю хром вообще не сильно заморачивается на тему отзыва отдельных сертификатов. он качает свой ЦРЛ, который сам наполняет по своему усмотрению, и ваш васянский, отозванный вами, сертификат там скорее всего не появится никогда. а ЦРЛ от поставщиков они не качают (покрайней мере раньше не качали и новостей, что начали, я не видел.). Я както игрался, выписал себе ЛЕ сертификат, сам же его и отозвал... в общем хром на него так и не ругался, покуда оно не скисло по дате. Давно было, надо какнить повторить тест. Вдруг чё поменялось. Зато когда они всяких симантиков гнобили, так быстро вписали куда надо и оно быстро стало орать, что сертификат - не сертификат.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+12 +/–
Сообщение от myster (ok), 09-Дек-24, 12:18
Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+4 +/–
	Сообщение от Аноним (6), 09-Дек-24, 12:30
	Вот настоящая забота: https://opennet.ru/56830-tls https://opennet.ru/53520-https
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+2 +/–
	Сообщение от Аноним (12), 09-Дек-24, 12:50
	Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+5 +/–
	Сообщение от timur.davletshin (ok), 09-Дек-24, 15:29
	Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от anonymous (??), 09-Дек-24, 16:43
	А, ну, это, конечно, всё меняет! Ты это имел в виду, да?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	67. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–3 +/–
	Сообщение от chdlb (?), 10-Дек-24, 01:06
	ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	78. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+2 +/–
	Сообщение от timur.davletshin (ok), 10-Дек-24, 09:54
	>>> у Казахстана не получилось пропихнуть MITM Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры. >>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим ))) Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 10-Дек-24, 18:04
	звездун детектед > Казахстан не сделал ничего такого, Казахстан сделал, и все правильно что сертификат забанили. > даже после попыток подделывать сертификаты. ANSSI облажалась и ее выкинули из CA !!!!! https://bugzilla.mozilla.org/show_bug.cgi?id=1272156 > Firefox может прекрасно использовать системный. не может https://bugzilla.mozilla.org/show_bug.cgi?id=620373 https://bugzilla.mozilla.org/show_bug.cgi?id=449498 https://bugzilla.mozilla.org/show_bug.cgi?id=454036 я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 10-Дек-24, 19:00
	>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS. >>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156 Какое отношение это имеет к моим тезисам? >>> Казахстан сделал, и все правильно что сертификат забанили. Где и кого он заMITM'им?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	85. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–2 +/–
	Сообщение от chdlb (?), 10-Дек-24, 20:12
	> сертификаты в /usr/local/share/ca-certificates а винде ты их куда будешь складывать? а ты каждый дистр проверял? а у тебя FF пакетированный из твоего дистра или с сайта мозиллы? а только ты видишь эти магические сертификаты или даже тестил их? /usr/local/share/ca-certificates - у меня например нет такого )))) и еще, это system-wide хранилище? я думал что это /var/lib/ca-certificates/ca-bundle.pem )))) > System Trust (зачем-то же этот флажок придумали) я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет, а из типов только Software Security Device и Builtin Object Token и никакие сертификаты ниоткуда не подхватываются, и что самое главное что Firefox ничего подобного официально не сапортит (см ссылки), а так конечно да, в теории можно хоть пересобрать его гвоздями прибив к чему угодно > Где и кого он заMITM'им? так хорошо, что не дали ничего сделать > CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. > Какое отношение это имеет к моим тезисам? не остаются! после того случая этот CA убрали из доверенных, если ты про то что ДРУГИЕ гос CA остаются, ну тогда у тебя лажа с формулировкой, потому что другие госы не делали "попыток подделывать сертификаты", теперь понятно к чему тот линк? что для виновных отозвали, а не та хрень что ты написал, что они остаются безнаказанными
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от Аноним (86), 10-Дек-24, 20:32
	> а винде ты их куда будешь складывать? Открываешь файл, импорт, выбрать хранилище корневиков, поставить. Firefox - security.enterprise_roots.enabled
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 10-Дек-24, 22:58
	security.enterprise_roots.enabled - позволяет использовать СВОИ импортированные сертификаты, но говорит FF использовать system-wide CA bundle, так как это делает тот же Хром, и именно об этом эта ветка, что у FF свое собственное хранилище, а не system-wide, начни читать с первых моих коментов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 11-Дек-24, 07:20
	Ты на линуксе, включи настройку и проверь. Или мне тебе надо и скриншот приложить, что системные сертификаты работают?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 11-Дек-24, 12:26
	скачай с сайта мозиллы английскую версию, не позорься Agence Nationale de Certification Electronique - Tun Trust Root CA - Bultin Object Token security.enterprise_roots.enabled true --- какая у тебя OS? --- P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты
	Ответить \| Правка \| Наверх \| Cообщить модератору


	98. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от timur.davletshin (ok), 11-Дек-24, 12:43
	> скачай с сайта мозиллы английскую версию, не позорься Это и есть английская официальная версия, запускалась на Debian 12. Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. Ещё есть версии моего "позора"? Какие скриншоты выложить? Номер билда, архитектура? Оно на самом деле лет 10 как работает именно в такой конфигурации, т.к. у меня именно столько лет шаблону настройки NSS и FF. До этого тоже работало, но я деталей не помню. У меня тогда другой токен был. >>> P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты Всё дело в том, что кто-то очень сильно безапеляционно начал утверждать чушь. Но тебе не привыкать. Кстати, что там с историей про Казахстан? Или тоже причина твоего звездежа в моей токсичности?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 11-Дек-24, 19:38
	так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказочник > Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. какой к черту пакет? распакуй tar и проверь https://download-installer.cdn.mozilla.net/pub/firefox/relea... я кстатии проверил пакетированный FF в нескольких RPM дистрах, там security.enterprise_roots.enabled включена по умолчанию, как кстати и в версии с Mozilla CDN, и нигде нет System Trust сейчас качаю Debian, чтобы поставить родной Mozilla .deb, и другие версии, даже не бубунту, именно Debian (у тебя же 12-ый да?), если заработает, то твоя ошибка выжившего получит премию года ))) > т.к. у меня именно столько лет шаблону настройки NSS и FF. какому шаблону? > Или тоже причина твоего звездежа в моей токсичности? а ты еще и стрелочник ))))
	Ответить \| Правка \| К родителю #98 \| Наверх \| Cообщить модератору


	106. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 12-Дек-24, 06:40
	> какой к черту пакет? распакуй tar и проверь Именно так и запущено. Я же тебе говорю, что даже дефолтный грузит профиль из домашнего каталога. А там дополнения и настройки. Ты в одном шаге от решения.
	Ответить \| Правка \| К родителю #103 \| Наверх \| Cообщить модератору


	104. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 11-Дек-24, 20:51
	поставил Debian 12 + KDE версия ESR которая ставится с KDE по умолчанию тоже имеет security.enterprise_roots.enabled true из коробки скачанный Firefox stable из APT репы мозиллы - аналогично никакого System Trust там нет может ты просто признаешься, что ты импортируешь в Firefox системные сертификаты? И не будешь кричать с пеной у рта, что Firefox может использовать системное хранилище сертификатов? а если не согласен, то давай Steps to reproduce, иначе балабол
	Ответить \| Правка \| К родителю #98 \| Наверх \| Cообщить модератору


	105. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 12-Дек-24, 06:34
	Неумёха, ничего импортировать не нужно. Если ты импортируешь, то System Trust метки не получишь. Способ универсальный и работает ОЧЕНЬ давно, гуглится в один запрос: https://imgur.com/a/xF801Gf ... описан в официальной документации Firefox по ссылке: https://support.mozilla.org/en-US/kb/setting-certificate-aut... А если ещё и научиться прописывать настройки в ~/.pki/nssdb/pkcs11.txt (он идентичен файлу с таким же именем из профиля FF, именно туда сохраняются эти настройки), то можно унифицировать настройку вообще всех приложений, которые используют NSS (LibreOffice, Evolution, Thunderbird). А некоторые продвинутые пользователи вообще рекомендуют делать симлинк из профиля FF на общепользовательские файлы из ~/.pki/nssdb. Именно так у меня и сделано. Там же унифицируется настройка SmartCard и токенов. Один раз настроил и забыл. Я тебе с самого начала не зря делал подсказку про настройку NSS, но видеть смысл в тексте ты не умеешь. Так что там было про пену у рта и про Казахстан? Может всё же будешь человеком и извинишься за необоснованные обвинения?
	Ответить \| Правка \| К родителю #104 \| Наверх \| Cообщить модератору


	114. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 13-Дек-24, 12:34
	дегенеративный бот удаляет коменты ))) ты уже запустил wc? посчитал сколько в статье мозиллы слов import?
	Ответить \| Правка \| К родителю #105 \| Наверх \| Cообщить модератору


	115. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 13-Дек-24, 12:55
	Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать над собой. Тем не менее рад, что у тебя заработало хотя бы.
	Ответить \| Правка \| К родителю #114 \| Наверх \| Cообщить модератору


	116. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от chdlb (?), 13-Дек-24, 13:11
	> Признавать свои ошибки всегда тяжело. Но ты не отчаивайся и продолжай работать > над собой. Тем не менее рад, что у тебя заработало хотя > бы. > Признавать свои ошибки всегда тяжело. а ты трудись и у тебя получиться > Тем не менее рад, что у тебя заработало хотя > бы. я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) забавная у тебя кривая реальность, сказочник )))
	Ответить \| Правка \| К родителю #115 \| Наверх \| Cообщить модератору


	117. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 13-Дек-24, 13:32
	>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, что это за файл). Они не импортируются, просто подключается системное хранилище сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать.
	Ответить \| Правка \| К родителю #116 \| Наверх \| Cообщить модератору


	120. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от chdlb (?), 13-Дек-24, 14:36
	>>>> я даже не добавлял новый Security Device, зачем мне "автоматически импортировать"? ))) > У тебя логическая проблема. Если ты не добавлял, откуда ты знаешь, что > они именно импортируются? Ты ошибаешься в очередной раз. Контрольная сумма файла, > в котором хранятся локальные сертификаты NSS, не меняется (надеюсь, ты знаешь, > что это за файл). Они не импортируются, просто подключается системное хранилище > сертификатов. Библиотека установлена в дефолтной установке, надо только знать, что делать. видишь ли надо английский ФФ ставить, и вообще английский учить в статье которая на сайте мозилы это дословно написано вот три способа как можно эти сертификаты использовать и там первым предложением "Certificates can be programmatically imported by using p11-kit-trust.so" я же тебе предлагал грепом вордкаунтом пройтись, а ты тормозишь, ничего не понял Linux Using p11-kit-trust.so on Linux Certificates can be programmatically imported by using p11-kit-trust.so from p11-kit (note that some distributions, such as Red Hat-based ones, already do this by default by shipping p11-kit-trust.so as libnsscbki.so). This can be done by setting the SecurityDevices policy in /etc/firefox/policies/policies.json and adding an entry pointing to the p11-kit-trust.so location in the system, by manually adding it via the Security Devices manager in Preferences, or by using the modutil utility. Preload the Certificate Databases (new profiles only) Some users will create a new profile in Firefox, manually install the certificates they need, and then distribute the various .db files (cert9.db, key4.db and secmod.db) into new profiles using this method. This is not the recommended approach, and this method only works for new profiles. Certutil You can use certutil to update the Firefox certificate databases from the command line. Check the Microsoft support site for more information.
	Ответить \| Правка \| К родителю #117 \| Наверх \| Cообщить модератору


	122. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 13-Дек-24, 14:47
	>>> видишь ли надо английский ФФ ставить, и вообще английский учить. Can you summarize it for me in plain English (in your own words)? I'm getting a little bit tired of that bullshit of yours. Providing file checksums 'before' vs. 'after' is very much appreciated. Don't take as a grave offense, my only purpose is to make you more inquisitive. If those certificates were imported... Well, they must have been saved somewhere, right? So, save your breath, and show me those checksums.
	Ответить \| Правка \| К родителю #120 \| Наверх \| Cообщить модератору


	118. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 13-Дек-24, 13:33
	>>> забавная у тебя кривая реальность, сказочник ))) А столько форсу было в начале 😆
	Ответить \| Правка \| К родителю #116 \| Наверх \| Cообщить модератору


	119. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от chdlb (?), 13-Дек-24, 14:33
	>>>> забавная у тебя кривая реальность, сказочник ))) > А столько форсу было в начале 😆 я тебе уже дважды сказал, что для меня ничего не поменялось сказочник сам придумал, сам посмеялся тебя не отпускает никак? )))
	Ответить \| Правка \| К родителю #118 \| Наверх \| Cообщить модератору


	92. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 11-Дек-24, 07:33
	https://imgur.com/a/bCayDDy - каких ещё вам системных сертификатов не хватает? Цепляются и системные и пользовательские. Кстати, специально выделенное Agence Nationale тебя не смущает? А почему национальное агенство Казахстана смущает? Лишь по причине того, что за французскими гос. учреждениями MITM уже замечали, а за казахским... - ты так примера и не смог привести.
	Ответить \| Правка \| К родителю #87 \| Наверх \| Cообщить модератору


	93. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	–1 +/–
	Сообщение от Аноним (86), 11-Дек-24, 09:24
	Ну начни читать, можешь даже объяснить что значит вот эти твои слова: > Firefox может прекрасно использовать системный. не может
	Ответить \| Правка \| К родителю #87 \| Наверх \| Cообщить модератору


	90. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."	+/–
	Сообщение от timur.davletshin (ok), 11-Дек-24, 07:15
	>>> я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет, Вот именно поэтому, деточка, ты и являешься неучем. >>> а ты каждый дистр проверял? C официальными сборками Firefox работает. Всё остальное - проблемы дистроклепателей. >>> так хорошо, что не дали ничего сделать Я никогда не сомневался, что из "либералов" самые лучшие запрещалкины выходят, когда они до власти дорываются. Далеко за примерами ходить не надо. >>> не остаются! Немцы тому примером. Начиная от органов следствия, заканчивая недавним примером c Hetzner. Всех наказали, всех удалили. Ога, аж два раза.
	Ответить \| Правка \| К родителю #85 \| Наверх \| Cообщить модератору