В ночных сборках Firefox по умолчанию отключена поддержка протоколов TLS 1.0 и TLS 1.1 (настройка security.tls.version.min выставлена в значение 3, устанавливающее TLS 1.2 как минимальную версию). В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года. В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в январе 2020 года...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51586
Все правильно сделали
Когда уже обязательный TLS 1.3? Старые телефоны сами собой не обновятся. Куда смотрят маркетолухи?
ну вот, смотрят же ж - просто лягушку надо варить - медленно, а то ж выскочит.через пол-годика запретят все что ниже 1.2, хотя никаких реальных причин этому нет - кто хочет "безопасТность", и так давно мог убрать все "неправильные" шифры, а кто хочет чтоб работало - тому похрен что они "неправильные", соседу Васяну все равно не осилить, а от товарщимайора не поможет, он из бутылочки не выпить предложит.
еще немножко - и будет только распрекрасный 1.3 (окончательно хоронящий хотя бы теоретическую возможность разработки протокола, обходящегося без дурацкого sni), и побежите менять, как миленькие. А кто не все - того гугель уже исключил из результатов поиска, а завтра и открываться на его мобилах не будет.
Так и замечательно что только tls 1.3 останестся - при включенной в браузере (в лисе по умолчанияю, в хроме в ручную переключить надо) поддержке early_data (0-RTT) и если сайт поддерживает то ещё и быстрота повторных соединений увеличивается - чем плохо то ?Паранойя же на счёт товарища майора к 99% сайтов никакого отношения не имеет. Это только ваши личные тараканы.
Дык тащмайор не сайты разрабатывает. Он просто сидит между тобой и мемасиками и ждет, когда ты своим комментом разожжешь ненависть к определенной группе населения.
Те кто боится за мемасики (а уж тем более из посетителей этого сайта) - все из под VPN через TOR сидят. Товарищу майору ловить нечего !
> все из под VPN через TOR сидят во вконтакте, зарегистрированном на свою персональную сим-карту
ну что вы, что вы - разумеется, карта куплена на савке, зарегистрирована на Кыргымбалды Жормагомедова (кстати, это наш осведомитель, и продавец славянской внешности - тоже), и мы ничего не знаем о ее истином владельце. Кроме, разумеется, местоположения с точностью до метра в любое время суток, профиля втентакля, мэйлврушечки и гуглопочты, google id, всех других сим-карт побывавших в том же мобильнике, номера банковсих счетов (слил банк, которому он слил эту карту - а мэйлврушечка привязала профиль на поддельное имя к бановской информации - ага, банки радостно делятся, так что теперь известно и настоящее. Вместе с адресом прописки, местом работы и любимой рыгаловкой на углу, где он платил кредиткой этого банка.) и прочего, по мелочи.Зато он уже обновил софт на своем локалхосте, и у него там сплошной tls 1.3 - молодец!
плохо тем, что это интересно исключительно жертвам гугля, гугля и г...мордокниги, возможно.Всем остальным от 0rtt не жарко и не холодно, просто кое-кто, как обычно, поленился разобраться в технологии.
Причем гуглю, гуглю и гуглю никто и сейчас совершенно не мешает использовать распрекрасный tls1.456 с божественным 0rtt - и для этого совершенно незачем уничтожать в браузерах любые другие версии.
Но так лох не купит новую гуглемобилу заподорого, а вот на это гугель пойтить не могет.
Поэтому принудительное впихивание ненужно1.3 идет по всем фронтам.
> Паранойя же на счёт товарища майора к 99% сайтов никакого отношения не имеет.
да ну?
> Это только ваши личные тараканы.я не работаю в мурзилакорп, не надо на меня их тараканов-то скидывать. Поднимите гляделки повыше - "Главными проблемами TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение" - написал не я. Это вам перевели близко к тексту бред именно мазиловского проповедника.
А мои данные - да, в полной безопасности с нисикьюрно, нисикьюрно, плёхим, плёхим TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
- и никакой васян их не расшифрует. Он их, собственно, и не получит вообще.Но их перестанет индексировать гугель (впрочем, уже, конечно, пофигу) а потом и вместо страницы будет показываться пустое место без кнопки "продолжить" или хотя бы внятного сообщения об ошибке.
Ну разумеется, это случайно.
> Это только ваши личные тараканы.Попадались сайты в РФ где ещё версия ссл3 используется. Не ходить не вариант. Отчетность сдается в госструктуры через такие сайты. Надеюсь ключом можно будет обратно вернуть поддержку старых версий. И не выпилят они её с концами.
Ну тогда только посочувствовать Вам :( Неужто правда ssl3 ?
Как только все эти сайты перестанут открываться в "самом замечательном браузере" - сразу побегут обновлять протокол . А в лисе специально отключат не сразу , а подождут пока спящие проснутся .
не побегут - во-первых, в требованиях написано - "internet explorer 6+". Во-вторых это госконтора, ей бегать по статусу неположено, несолидно.Объявят конкурс на улучшение сайта в целях дальнейшего улучшения. Пол-года пособирают заявки. Выиграет контора сына прокурора. Наймет харьковского аутсорсера за три рубля в месяц. К 2022му может, конечно, и начнут работать...
Оно может и хорошо - а то вон online.vtb.ru улучшайки на днях улучшили - теперь немодным браузером уже не открывается вообще. Нельзя же ведь использовать не самую-самую распоследнюю версию б-жественного vue.js? Зато офлайн-генераторы на смарткартах - теперь немодно, и ни в одном офисе уже даже не помнят, что это и как работало. sms'очки ваше всьо. Отвязать нахрен телефон - тоже уже нельзя.
Берёшь NDK с сайта гугла.
Берёшь boringssl с сайта гугла.
Собираешь.
Заменяешь системные библиотеки.
система ломается к херам.
????
PROFIT!!!!
Мозилла бегает на побегушках и реализует хотелки гугеля быстрее самого гугеля, в результате "фф плохой, хромой хороший".
как будто гугель нам не за это и отстегивает?
> В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года.
> В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в январе 2020 года.Не понял, где мозилла первее. Ждём вой анонима в январе, когда его любимые сайты поломаются.
Хрень - планируют. А мы - вот, уже! Кто молодцы? Мы молодцы!
Они это для чего делают? Чтобы стимулировать переход на более новые версии или как? Просто если сайт не предлагает ничего другого, но он мне очень нужен, то как быть?
статью опять не читал, но яростно негодуешь? поменяй значение security.tls.version.min (2 вместо 3) и не ной, если приспичило ночными сборками пользоваться
как обычно - выучить еще стопицотпервое заклиненание для очередного скрытого преференса, впридачу к предыдущим стопитистам, делиться сокровенным знанием на тайных форумах, через пол-года - все равно его проиметь, или мурзила перестанет этим преференсом пользоваться.
Через год поддержку выпилят из openssl, и все равно ничего уже работать не будет.должны остаться только правильные сцайты. с правильной рыгламой. Все остальное надо поломать нахрен.
тут ты прав, это заговор чтоб отвадить тебя писать всякую совершенно нездоровую чушь на OpenNET
> Просто если сайт не предлагает ничего другого, но он мне очень нужен, то как быть?Напиши админу сайта, что он дятел. А если админа нет, то плохие новости: сайт сдохнет сам, как только закончится срок оплаты домена или хостинга, и мозилла тут не виновата.
Ах если бы у КАЖДОГО нужного сайта был админ...
У любого сайта есть админ. А там, где его пока нет - скоро появится. У тебя есть шанс стать админом нужного тебе сайта )
ну заберите у меня уже ненужносайт, а? bitrix 2014го года, да и тот хохлоаутсорсер ковырял на от..сь, никакого тебе https вообще (и миллион вшитых ссылок и ифреймов http, так что даже при заходе через https модные браузеры всю жизнь будет выть что он "insecure-insecure, ой плёхо, плёхо, плёхо, щас вас всех тут поимеют-поимеют" Вах баюсь-баюс!). Я к той теме уже прохладно отношусь, он не про выгул собак вообще.что-то вот не вижу мильена желающих угнать админа. Одни только попытки торговать cp через форум и комменты - причем у этих "детишек" усы отклеиваются прямо на ходу, и под ними явная рожа товарищмайора просвечивает.
Что может быть плохого в избавлении от старых дырявых протоколов? Или тут про downgrade атаку не слышали, с понижением версии протокола?
Плохое в том, что браузер - это средство доступа к информации, которую хочет пользователь, а не воспитания его и админов сайтов.
И кстати, туда же выпиливание FTP из браузеров. Что-то даже Microsoft в свое время настолько настойчиво не пыталась лечить юзеров на предмет что им нужно, а что не нужно.
то что они не дырявые (реализации - да, ну так с чего ты взял что реализация 1.3 будет лучше?). И "избавить" вас от них бегут вовсе не из благих соображений.> Или тут про downgrade атаку не слышали
слышали, тебе никто и раньше не запрещал выпилить вообще все протоколы и сидеть ждать волшебного tls1.5, который не даунгрейдится. (кстати, как и самому гуглю)
но вообще-то если кто-то сумел вклиниться в твою сессию между тобой и гуглем - у меня для тебя очень плохие новости - тебе не версию tls надо улучшать, а быстро и незаметно покидать помещение, стараясь не попадать в область действия камер.
> то что они не дырявыеДверь у сарая моего деда тоже не дырявая, однако пробивается при надобности пальцем. MD5 и SHA-1 не так чтобы очень безопасные шифры.
кто о чем, а опеннетовский дятел - долбит.Деточка, перечитай еще три раза то, на что отвечал. Там и про шифры, и про "безопастность".
Судя по никнейму, тебе должно быть пох. Чего тут так напрягаться и всяких дятлов учить?
Они пришли за ними ночью
О, это все прекрасно, но поломает кучу устройств. Скажем компания TP-LINK с некоторых пор, поддалась на "модную" тенденцию и начала в свои консумерские девайсы типа роутеров встраивать TLS в админку. При этом, сюрприз-сюрприз, TLS у них там 1.1 и не отключается. Неясно зачем вообще оно надо и особенно - в таком исполнении.
А http в девайсах отрублен совсем?
Или хотя бы можно зайти и включить можно?
При логине в админку автоматический редирект на HTTPS.
А если зайти в нее можно ли отключить? Может можно зайти сейчас и отключить, пока не поздно. А так для устройств во внутренней сети действительно в https смысла нет особого. Если наружу вешать интерфейс, то еще как-то могу понять, но просто не нужно вешать наружу, блин.
На многие TP-Link'и ставится openwrt
> На многие TP-Link'и ставится openwrtК сожалению не на всё у них ставится OpenWRT. Товарищ себя для загородного дома по дешевке взял две APшки EAP225v2. Шикарные игрушки. Но возникли у него вопросы по ряду хитрых настроек нескольких SSID, никак не мог он найти где бы делалось, а альтернативы в виде OpenWRT нет. Понятно, что это железо для кровавого энтерпрайза и никто не ожидал, что их домой будут ставить адекватные люди, но вот так вышло, а OpenWRT нет. Но потом покопались и нашли с трудом все что нужно.
железо для кговагого ентер-прайса умеет не только несколько ssid, а еще и танцевать цыганочку с выходом. А это - длинк.передай лоху чтоб шел за убиквити, а это - лохам подбросил.
Лучше рукус тогда. Убиквити - так себе, микротик от вайфай.
ну да, именно мокротык - так же виснет под нагрузкой или отваливается от контроллера.Ну так не надо ее на башенный кран вешать, а между баней и сараем - норм, даже хэндовер, кажется, работал.
А при ее цене - можно на вес брать.
Цыганочку-то оно умеет. Оно еще и за пивом бегает, и минет по утрам делает. А некоторые вещи не совсем умеет, ну типа пиво и минет в кровавом энтерпрайзе нужны, а вот курица и классика не особо
Не, все настроили таки, пользуется и доволен, но осадочек, что нет альтернативных прошивок остался.
ну вот мне когда иду погадить за баню - охренеть как хочется по дороге обновлять альтернативную прошивку, потому что опять что-то отвалилось?нормальное (или полоумное, убиквити то бишь) - повесил по дороге на забор, и пока сосед не спер - оно работает, каши не просит. Повисло - подергай за шнур питания.
> Неясно зачем вообще оно надо и особенно - в таком исполнении.оно надо, внезапно, чтобы при нулевых трудозатратах получить защиту от васяна, банально спершего пароль, гуляющий по гуаносети или вовсе светимый в воздух, без всякой защиты, обычным плейнтекстом. Вполне разумная мера предосторожности для гуанооборудования, предназначенного именно для таких сетей.
и нет, не надо тут сказочек что в твоем сортире завелся такой мощный васян, что сумеет подсунуть тебе mitm'еный сертификат. Это просто кошка там срет. А вот просто перехватить плейнтекст - умельцев полно.
Неясно, зачем оно мурзиле надо было все поломать, но от этих идиотов ничего другого уже никто и не ждет. Зато на валидные сертификаты оно уже восемь лет показывает невменяемую белую страницу, полную неведомой хни (без кнопки "продолжить", ясен) - поищи по SEC_ERROR_BAD_DER и ужаснись.
>[оверквотинг удален]
> спершего пароль, гуляющий по гуаносети или вовсе светимый в воздух, без
> всякой защиты, обычным плейнтекстом. Вполне разумная мера предосторожности для гуанооборудования,
> предназначенного именно для таких сетей.
> и нет, не надо тут сказочек что в твоем сортире завелся такой
> мощный васян, что сумеет подсунуть тебе mitm'еный сертификат. Это просто кошка
> там срет. А вот просто перехватить плейнтекст - умельцев полно.
> Неясно, зачем оно мурзиле надо было все поломать, но от этих идиотов
> ничего другого уже никто и не ждет. Зато на валидные сертификаты
> оно уже восемь лет показывает невменяемую белую страницу, полную неведомой хни
> (без кнопки "продолжить", ясен) - поищи по SEC_ERROR_BAD_DER и ужаснись.Если задача защитить пароль от Васяна Петросяна, то чем делать "простенький TLS на минималках" было бы достаточно сделать HTTP-DIGEST авторизацию. Да, немодно, по дедовски, зато работает и ресурсов вычислительныхтребует всего ничего.
Вроде бы правильно сделали, но теперь не работают сайты:
guimc.bmstu.ru
vpn.bmstu.ru
webvpn.stu.ru
Теперь, чтобы смотреть учебные планы, лекции итд нужно использовать другой браузер...