rulinux.net - Форум - Rulinux.net - Новая веха в истории Рулинукса

Thu, 18 Sep 2014 06:42:11 +0400

Thu, 18 Sep 2014 00:29:40 +0400

Слава Богу и Партии!

Wed, 17 Sep 2014 14:42:42 +0400

Путин! Единая Россия! ОНФ!

Wed, 17 Sep 2014 13:51:13 +0400

Wed, 17 Sep 2014 03:32:06 +0400

Слава Богу и Партии!

Tue, 16 Sep 2014 09:54:09 +0400

Путин! Единая Россия! ОНФ!

Слава Богу и Партии!

Tue, 16 Sep 2014 07:47:58 +0400

Путин! Единая Россия! ОНФ!

Слава Богу и Партии!

Tue, 16 Sep 2014 07:45:07 +0400

Путин! Единая Россия! ОНФ!

Слава Богу и Партии!

Tue, 16 Sep 2014 07:40:08 +0400

Путин! Единая Россия! ОНФ!

Слава Богу и Партии!

Tue, 16 Sep 2014 07:37:14 +0400

Путин! Единая Россия! ОНФ!

Слава Богу и Партии!

Tue, 16 Sep 2014 04:08:45 +0400

Путин! Единая Россия! ОНФ!

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 16:32:40 +0400

Отлично!

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 10:25:11 +0400

>есть всякие глобальные команды update-ca-certificates
Если вдруг кому надо:

text



sudo mkdir -p /usr/local/share/ca-certificates/ # если не существует

sudo cp /path/to/cert/rulinux.ca.cer /usr/local/share/ca-certificates/rulinux.ca.crt # оно хочет именно .crt

sudo update-ca-certificates

Такое точно есть в арче, дебиане и бубунте. В других дистрибутивах такой штуки может не быть. Должно работать для всяких там curl-ов, но не для браузера. Для браузера - как описано в первом посте.

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 08:44:48 +0400

Спасибо товарищи за всё, теперь моя паранойа может поспать пару часов.

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 08:26:44 +0400

>Ну и если можно подробнее про то как вы это реализовали, на основе чего итп.
Обычный openssl. Сначала я делал вот по этой инструкции с именем *.rulinux.net, и всё было ок, пока я не заметил, что для rulinux.net оно не работало. Потом я погуглил про этот SAN и внёс дополнительно altnames в конфиг. То есть по ссылке процедура создания CA верная, а вот далее надо будет немного поменять конфиг и команды. За базовый конфиг я брал дефолтный из /etc/pki/что-то-там, добавил v3_extensions, вписал дополнительно rulinux.net и *.rulinux.net в altnames, переделал csr и пересоздал сертификат.

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 08:20:24 +0400

>кстати размер серта "1984" это такой профи троллинг ?
Это чистая случайность. Знак свыше.

В emacs-w3m я ничего не добавлял, он у меня и не ругался изначально. Разбираться пока лень.

Если кто пользуется httpsanywhere для ФФ (вроде у хромиума тоже есть), то можно сделать такой файл правил:

~/.mozilla/firefox//HTTPSEverywhereUserRules/rulinux.net.xml

text

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 07:01:57 +0400

кстати размер серта "1984" это такой профи троллинг ?

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 06:56:59 +0400

Сертифиат истекает в 2023, а согласно легенде "2010-2020 LOR-NG Developers Group Powered by TimeMachine " он умрёт и переродится раньше.

И да, как ты добавляешь серты в w3m ?

Ну и если можно подробнее про то как вы это реализовали, на основе чего итп.

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 06:11:18 +0400

Зер гуд! я вижу это вехой к величию нашей днявки в веках!

Re:Новая веха в истории Рулинукса

Sat, 17 Aug 2013 05:49:15 +0400

О так ты уже и SSL оформил. Спасибо. А я думал сегодня сутра этим заняться.

Новая веха в истории Рулинукса

Sat, 17 Aug 2013 00:57:40 +0400

Рулинукс стал настоящим Certificate Authority, и может подписывать SSL-сертификаты! А это значит, что нет больше нужды делать какие-то ненадёжные self-signed сертификаты, так как есть проверенный центр, который авторитетно может подтвердить, что сертификат настоящий. Это особенно важно в наш век интернет-слежки, где man-in-the-middle подстерегает пользователей не только in the middle, но чуть ли не за каждым углом.

Пока что многие популярные приложения не считают наш CA действительно авторитетным, но в скором времени он займёт место среди таких компаний, как Verisign и Thawte. Более того, так как Рулинукс обещает(тм), что никогда не передаст свои приватные ключи в NSA или ФСБ, репутация у него будет даже выше, чем у этих сомнительных корпораций - акул капитализма. Надеюсь, скоро наш бизнес по подписыванию сертификатов пойдёт вверх, и администрация форума станет настолько богатой, что сможет бросить работу и заниматься любимыми делами. Я, например, планирую на заработанные деньги купить себе скромный домик около Рейкьявика, где буду коротать остаток своей успешной жизни.

А теперь, собственно, по делу. Теперь у нас работает SSL, причем должен он работать как для rulinux.net, так и для www.rulinux.net. Спасибо технологиям Subject Alternative Names и wildcard-ам. Если у кого-то оно не заработает, то, увы, вашему браузеру больше 10 лет, и вы видите предупреждения о проблемах с SSL на каждом втором сайте в интернете.

Нетерпеливые могут сразу пройти на https://rulinux.net или https://www.rulinux.net, но я этого делать не рекомендую, пока вы не добавите CA в свой браузер. После добавления, по идее, даже самые недоверчивые параноики будут довольны, т.к. наш приватный ключ уж точно не у спецслужб, и рулинукс в этом плане действительно круче, чем какой-нибудь Verisign. Ну, если вы, конечно, доверяете тому, кто этот ключ сделал, но тут уж ничего не поделаешь:)

Многие люди в интернетах рекомендуют не передавать сертификат CA по совсем открытым каналам, опасаясь того самого man-in-the-middle, потому я выложил его в трёх разных местах, два из который вполне защищены каким-то https-ом. Да, 100-% гарантий на отсутствие MiTM нет, но всё же. Параноики могут скачать все три сертификата и сравнить их, отписавшись тут о возможных проблемах.

Сертификат в трёх местах (один и тот же):

https://mega.co.nz/#!F5RCRKqS!NyGJSxFcc-TG9LDGg-i20io9uFYL2CGfsWDlM8P6ZZo - у толстого Кима Доткома в Новой Зеландии (хочет браузер с localStorage, но зато как бы совсем надёжно).

https://docs.google.com/file/d/0B5C6M_ZUicFgaHRKTHdWejFkLTA/edit?usp=sharing - у следящего за всеми Гугля.

http://www.rulinux.net/rulinux.ca.cer - у нас, но без всяких там шифрований.

После скачивания вы можете рассмотреть сертификат, поиграть с ним, и, наконец, добавить в браузер. Например, в ФФ это делается через "настройки -> дополнительно -> сертификаты -> просмотр сертификатов -> центры сертификации -> импортировать". В хромиуме смысл примерно такой же, писать про него лень. В опере тоже. С остальным софтом разберётесь сами, есть всякие глобальные команды update-ca-certificates и т.д. После добавления вы не увидите больше ругани про непроверенный сертификат, плюс получите сертифицированную (тм) безопасность от компании Рулинукс.

Да, на сайте у нас полно mixed content, т.е. те же вставленные со сторонних сайтов картинки без https. Тут ничего поделать, увы, нельзя. Сразу признаюсь, что в создании сертификатов я слаб, потому мог где-то ошибиться. Но вроде не должен.

Такие дела.