весь реестр резолвится в адреса и блочится тупо фаерволом. топорный способ, будут проскоки

интерес чисто академический?

подскажете где? я wireshrkом его увижу?

да, увидите:

а, уже ответили

в твоем понимании?)

в моем понимании клиент обращается к серверу, тут ему выдает на пару часов сертификат и потому устанавливают соединение

в моем понимании клиент обращается к серверу, тут ему выдает на пару часов сертификат и потому устанавливают соединение

почему на пару часов?!

в моем понимании клиент обращается к серверу, тут ему выдает на пару часов сертификат и потому устанавливают соединение

Сервер - подразумевается корневой?

круто. я этого не знала. это очень странно. надо тогда пойти подумать, почему я не смогла домены заблочить без подмены сертификатов.

круто. я этого не знала. это очень странно. надо тогда пойти подумать, почему я не смогла домены заблочить без подмены сертификатов.

так ты на чьей стороне баррикад?

почему на пару часов?!

потому что они выдаются на какой-то очень конечный вроде срок. я свои выдавала на 8 часов.

???

???

интерес чисто академический?

интерес чисто академический) я переживала за соседнюю страну)

чтооооо?

так ты на чьей стороне баррикад?

я на светлой стороне силы.

да да, тврщ майор

ёптиль! за нашу надо переживать

Вот что, народ - прокси сервер может сплайсить https соединение и для этого ему не нужно ставить клиенту серт. http://i.imgur.com/3gNQ6j1.png И проверять эти урлы на соответсвие спискам после чего принимать решение - блокировать или нет.

скоро в интернет по паспорту ходить будем

чтооооо?

ну рабочий день 8 часов. кто будет страничку держать больше 8 часов открытой? а при обновлении странички сертификат выдается заново

скоро в интернет по паспорту ходить будем

щас чо не по паспорту?

везде вроде нужен паспорт для договора

щас чо не по паспорту?

есть ещё пути...

ну рабочий день 8 часов. кто будет страничку держать больше 8 часов открытой? а при обновлении странички сертификат выдается заново

https://www.ipipe.ru/info/kak-rabotaet-ssl-sertificat.html

https://www.ipipe.ru/info/kak-rabotaet-ssl-sertificat.html

спасибо. я обязательно прочитаю.

ну рабочий день 8 часов. кто будет страничку держать больше 8 часов открытой? а при обновлении странички сертификат выдается заново

ох. все плохо

спасибо. я обязательно прочитаю.

тут простым языком

ох. все плохо

почаму?

ох. все плохо

безопасники бы вас не поддержали)

почаму?

А у вас сертификат самоподписанный для чего выдается?

почаму?

потому что сервер клиенту сертификат отдает не на какой-то срок. он отдает его при установлении соединения на весь срок жизни TLS-соединения

если вы раз в секунду будете ставить TLS-сессию - сервер будет отдавать сертификат разв секунду

ИЧСХ они почти всегда будут одинаковы

потому что сервер клиенту сертификат отдает не на какой-то срок. он отдает его при установлении соединения на весь срок жизни TLS-соединения

ну может у нее там wpa2-enterprise с одноразовыми сертификатами на каждый день)

вот сертификат от корпорации добра. он выдан до 26 июля 2017 года

вот сертификат от корпорации добра. он выдан до 26 июля 2017 года

он выдается раз в год/три/пять

если я буду держать страничку открытой, то 27 июля она закроется и меня попросят обновить сессию.

да, у сертификата есть срок действия. бывают сертификаты, выдаваемые на срок в несколько минут, но в интернете, как правило, используются сертификаты на несклько месяцев или лет

они не меняются, им незачем устаревать

они меняются со временем)

а быстротухнущие сертификаты нужны для спец.целей, когда сертификат подтверждает факт, который может перестать быть фактом очень скоро

например, факт прохождения сетевого карантина

да, всего два года

заметно меньше

сертификаты, используемые в интренете, подтверждают правильность ключевой пары

ключевая пара у большинства серверов не меняется

лааааадно) Вы правы

8 часов для тырнетика это маловато

и домен виден по https(

не день а сплошные разочарования

но асимметричное шифрование (с использованием ключевой пары) медленное

поэтому дл шифрования контента оно не используется

пойду попробую заблокировать что-нибудь без подмены сертификата

поэтому для шифрования контента сервер и клиент согласуют сессионный ключ

он каждый раз разный

и у него есть срок действия тоже

но к сертификатам этот сессионный ключ не имеет никакого отношения

когда вы говорите про "рабочий день 8 часов, никто не будет держать компьютер включенным в течение большего времени", это влияет на выбор срока жизни именно для сессионного ключа

пойду попробую заблокировать что-нибудь без подмены сертификата

А вы чем блокируете?

ERROR: S client not available

когда вы говорите про "рабочий день 8 часов, никто не будет держать компьютер включенным в течение большего времени", это влияет на выбор срока жизни именно для сессионного ключа

ну я не могу устанавливать срок сессионного ключа. или могу? а вот срок действия сертификата установить могу

можете, на сервере

просто на сколько мне известно срок действия сессионного ключа зависит от длительности сессии

нет, не зависит

то бишь на сайте, к которому люди обращаются, верно?

да

а туда доступа нет. доступ есть только на пограничное оборудование

то бишь каналообразующее

вы можете в рамках сессии пересогласовывать сессионный ключ хоть раз в секунду

которое выпускает в интернет

только процессорные мощности успевайте подтаскивать

но делают это оконечные участники

транзитные атакующие в этот проесс вмешиваться не могут (*)

зато показало что специалистов по ит безопасности нет вообще

а туда доступа нет. доступ есть только на пограничное оборудование

Если вам это нужно делать для блокировки сайтов - то оно вас вообще нафиг не упало)

Kate чем вы ограничиваете доступ?

Если вам это нужно делать для блокировки сайтов - то оно вас вообще нафиг не упало)

stonegate'ами

Если вам это нужно делать для блокировки сайтов - то оно вас вообще нафиг не упало)

я фразу не поняла про законы притяжения))))

просто читала новости про нововведения в стране ближнего зарубежья и задумалась над технической реализацией

и встала вступор

теперь вот хочу попробовать найти DPI, которая умеет блокировать домен https трафика без его расшифровки

но если шарк его видит, значит это явно можно сделать.

которая по sni ищет

точнее смотрит

оно еще до шифрования

теперь вот хочу попробовать найти DPI, которая умеет блокировать домен https трафика без его расшифровки

extfilter

sce 8000 не умеет, если чо :)

Народ, где можно bdf потестить ? В gns 3 роутер уходит в себя если включить bfd на ospf. Пробовал разные образы. Живого железа свободного нет (

могу дать два CSR1000v поиграть

Народ, где можно bdf потестить ? В gns 3 роутер уходит в себя если включить bfd на ospf. Пробовал разные образы. Живого железа свободного нет (

Ёмаё, что я только что прочитал ?

а что?) вроде пишет что gns не может в bfd + ospf

ospf знаю