Problem z certyfikatem SSL dla dobreprogramy.im

Nie wiem czemu, ale od kilku dni za każdym razem gdy chcę się połączyć z dobreprogramy.im za pośrednictwem Pidgina, to dostaję prośbę o potwierdzenie/odbiór certyfikatu SSL.

Wygląda na to że certyfikat jest samopodpisany, taką informacje wyświetla wtw.

 

Zmieniliśmy dzisiaj certyfikat ponieważ poprzedni wygasł… Niemniej zawsze były to certyfikaty samopodpisane - nigdy nie było z tym problemu i moje WTW nadal radzi sobie, nie mamy też jak na razie zgłoszeń od innych użytkowników. Oczywiście jeśli okaże się, że to faktycznie problem po naszej stronie, sprawę postaramy się rozwiązać.

 

Moglibyście nie odwalać dziadostwa, tylko kupić certyfikat za te kilka dularów rocznie…

Nie odwalają dziadostwa. Certyfikat jest i nie jest on najsłabszy, do zastosowań DP w zupełności wystarcza, raczej nikt tutaj nie wymienia się poufnymi danymi :wink: A jeżeli komuś przeszkadzałby taki certyfikat pod względem bezpieczeństwa, to zawsze może użyć OTR.

 

Wiem, że jestem nikim, bo nie mam w ogóle postów i nikt mnie nie zna, ale informacja o zmianie certyfikatu powinna być gdzieś upubliczniona jeszcze przed jego zmianą, wraz ze skrótami tego certyfikatu, dlatego że certyfikat nie jest autoryzowny, więc nie wiadomo kto tak naprawdę go wystawił i podłączył. Ludzie mogą wierzyć, że to DP zmieniło cert, ale może to być Mitm, bo cert nie jest zaufany. Tak informacja kilka dni przed zmianą certu byłaby bardzo miła :slight_smile: No i zapobiegłaby takim tematom :slight_smile:

 

I to jest właśnie dziadostwo. Albo kupuje się certyfikat wystawiony przez zaufanego dostawcę, albo umożliwia się użytkownikom weryfikację certyfikatu w inny bezpieczny sposób. Przy obecnych cenach certyfikatów rzędu 10 dolarów/rok, druga opcja jest całowicie pozbawiona sensu.

 

Też mam problem z Pidginem :confused:

 

Zdajesz sobie sprawę, że do XMPP trzeba mieć SSL z wildcardem? Takie certyfikaty nie są tanie, bo umożliwiają certyfikowanie niezliczonej liczby subdomen…

Kużdo, właśnie to chciałem napisać… A jak już wspominałem w poprzednich wątkach, z naszego serwera XMPP korzysta aktywnie kilkadziesiąt osób - z czego duża cześć to niemal cała redakcja. Przykro mi, ale ta usługa nie była i nie jest dla nas priorytetowa, skupiamy się na rzeczach z których chce korzystać i korzysta więcej osób.

 

Co do Pidgina - może on jakoś zapamiętał poprzedni thumbprint certyfikatu i odmawia połączenia z serwerem który przedstawia się innym (nowym) thumbprintem? Tak to wygląda sądząc po komunikacie. Trzeba by może jakoś zresetować jego cache/ustawienia. Większość osób, które znam korzysta do obsługi naszego XMPP z komunikatora WTW i tam nie ma żadnych problemów…

Niemniej informacja o zmianie certyfikatu na stronie dobreprogramy.im byłaby bardzo dobrą inicjatywą :wink: Tym bardziej, że robi się to raz na kilka lat lub przy wymogu zmiany certyfikatu. I nie chodzi o to, że ktoś codziennie by sprawdzał stronę czy czasem nie ma komunikatu, ale w momencie gdy komunikator wyświetla ostrzeżenie, to można byłoby potwierdzić prawdziwość certyfikatu na stronie.

Raz na 5 lat nie zaszkodzi ten dreszczyk emocji :wink: :stuck_out_tongue: A tak na poważnie, co do zasady masz oczywiście rację.

Do XMPP nie jest wymagany wildcard, to zależy od konfiguracji i dodatkowych usług w innych subdomenach. Poza tym, wildcard to 60-70 dolarów, dla firmy to grosze, chyba że jest się januszem biznesu. Dorzućcie trochę malware do asystenta to będzie na certyfikat. Samopodpisane certyfikaty by jeszcze uszły, gdyby administracja miała odrobinę zdrowego rozsądku.

Prosta rada: Przeszkadza Ci self-signed? To nie korzystaj. A jak chcesz to jest jeszcze OTR. Ewentualnie zasponsoruj fajny cert. A, i nie mam zielonego pojęcia, gdzie administracji brakuje rozsądku? Jest cert? Jest. Silny? 2k-bitowy starczy. To chyba Tobie przydałby się zdrowy rozsądek, bo narzekasz na certyfikat, który i tak Cię chroni, a jeżeli piszesz z dp.im z kimś i wymieniasz super-tajne-i-na-pewno-szukane-przez-nsa dane to i tak wybrałeś złą metodę… Ale to taki OT.

Jak certyfikat, którego nie mogę zweryfikować mnie chroni? Może jest to do przełknięcia w zaufanej sieci, np. domowej, ale łącząc się z serwerem na urządzeniu mobilnym podłączonym do jakiegoś hot-spota już nie (i może on być nawet 2M-bitowy). A argumenty typu “jak się nie podoba to nie korzystaj” możesz sobie darować. DP to nie jest hobbystyczny portal, z większym rozsądkiem w kwestii bezpieczeństwa można spotkać się u amatorów (publikowanie fingerprinta osobnym kanałem).

Jak już zostało powiedziane (a właściwie napisane), XMPP na DP jest niszowe, mało osób z niego korzysta, nikt nie będzie się tutaj spu… spinał, żeby jedna osoba “czuła się” bezpiecznie widząc podpisany certyfikat. Dziwne, że nie przeszkadzał Ci SS certyfikat do momentu wymiany na nowy… Docent potwierdził, że była wymiana na nowy, bo stary się kończył. Myślę, że nie będzie problemu, by Docent potwierdził, że certyfikat o sygnaturze SHA1: E0:E1:78:F3:88:59:E4:BA:A7:65:57:5F:54:00:73:3D:84:49:E6:29 jest tym, który oni wystawili, a nie jakiś Mitm. Co za tym idzie, jesteś bezpieczny. Nie zapomnij tylko zamknąć drzwi na 5 spustów i super długi pin. A co do zdania “jak się nie podoba, to nie korzystaj” - niestety, taka jest prawda. Jeżeli nie podoba Ci się dana usługa, to dlaczego z niej korzystasz? Masz przecież możliwość wyboru tysiąca innych serwerów XMPP, które mają wystawione autoryzowane certyfikaty. W pracy też byś się zgodził pracować za talerz zupy, nawet jeżeli nie odpowiadałoby Ci to? Czy zmieniłbyś wtedy pracę?

Pax Panowie, dyskusję popartą argumentami popieram, proszę tylko postarać się zachować kulturę wypowiedzi.

Nie zauważyłem, żeby nie było kultury :slight_smile: Nikt tutaj jeszcze się nie wyzywa :stuck_out_tongue:

Dlatego wtrąciłem Swoje “5 groszy”, jednak, dalszą dyskusję na ten temat (jeżeli Sobie życzysz) proszę skierować do mnie na PW.

Problemu na Pidginie już nie ma, wszystko działa jak należy.