Шифруется ли соединение с помощью ssl если написано: «Не защищено»

Зависит от адреса который ты в браузере вбиваешь.

Если http://... - он у тебя и не попытается зайти через https (если в вебсервере не настроено перенаправление).

Если заходишь на https://... , а тебе браузер не говорит ничего про неизвестный сертификат и сразу показывает страницу - значит ты не так настроил что-то.

Зависит от адреса который ты в браузере вбиваешь.

Если http://... - он у тебя и не попытается зайти через https (если в вебсервере не настроено перенаправление).

Если заходишь на https://... , а тебе браузер не говорит ничего про неизвестный сертификат и сразу показывает страницу - значит ты не так настроил что-то.

По http:// будет перенаправление на https://, в конфиге который я прилагал к посту это прописано. И вот что он говорит при переходе туда.

все эти самоподписаные сертификаты фуфло, как только через https - браузеры сразу ругаться начинают, может это к лучшему - последний рубеж хоть какой то защиты...

все эти самоподписаные сертификаты фуфло, как только через https - браузеры сразу ругаться начинают, может это к лучшему - последний рубеж хоть какой то защиты...

А что мне авторитетный сертификат получать для веб-сайта в локальной сети?

в локалке - даже авторитетный не моможет на https браузеры один черт ругаться будут и никакое перенапроавление не спасет...

в локалке - даже авторитетный не моможет на https браузеры один черт ругаться будут и никакое перенапроавление не спасет...

Вопрос состоял в том что если я нажму «Перейти на сайт» браузер возьмёт сертификат и соединение станет зашифрованным или будет дальше передавать по не зашифрованному соединению?

Возьмет. А если ты добавишь сертификат в доверенные - он и ругаться не будет ровно до тех пор пока не заменишь этот сертификат на сервере(или пока он не прокиснет, если ты дату окончания запредельную не ставил).

Возьмет. А если ты добавишь сертификат в доверенные - он и ругаться не будет ровно до тех пор пока не заменишь этот сертификат на сервере(или пока он не прокиснет, если ты дату окончания запредельную не ставил).

Окей, а как добавить сертификат в доверенные в Шindows?

с самопальным сертификатом ничего зашифровано не будет, вам еще повезло - у меня еще проблемней было - браузеры вообще отказывались переходить пока не отключишь в них защиту...

с самопальным сертификатом ничего зашифровано не будет
браузеры вообще отказывались переходить пока не отключишь в них защиту

ОП, не слушай его, слушай pinkbyte

Не слушай его, слушай pinkbyte

Да это я уже понял. В конце-концов я имею доступ к маршрутизатору, через который это всё проходит и там это всё можно поснифать и проверить.

Соединение будет защищено и с самоподписным сертификатом.

Только обрати внимание, что если ты его не добавишь в доверенные в браузере / ОС, то есть возможность провести атаку MITM с подменой сертификата.

Только обрати внимание, что если ты его не добавишь в доверенные в браузере / ОС, то есть возможность провести атаку MITM с подменой сертификата.

Как добавить то в Windows?

Или этот форум только по GNU/Linux?

Копируешь сгенерированный сертификат на винду -> двойной клик -> далее -> далее -> далее -> сертификат установлен.

Это если твой браузер не игнорирует сертификаты ОС.

А вообще на винфак :) У меня Линукс, т.ч. подробно из головы не расскажу как в винде сертификаты ставятся.

Правой кнопкой -> установить сертификат -> указать хранилище вручную -> доверенные корневые центры сертификации.
Как то так

Я уже установил, но проблема в том что Осёл и Microsoft Edge не выводят предупреждения как и должно быть и пишут что сайт защищён, а вот Google Chrome и Mozzila Firefox продолжают выводить предупреждение о том что: «САЙТ ОПАСЕН!1!!!». Ладно буду разбираться, всем спасибо.

как добавить сертификат в доверенные в Шindows?

Вопрос не совсем верный. Как добавить сертификат доверенные в Windows в браузер X, где X нужно уточнить. Поясняю. В Windows(как и в Linux) есть общесистемное хранилище доверенных корневых сертификатов. Но есть браузеры(и не только, но давай пока не отклоняться от темы) которые используют СВОЁ хранилище. Яркий пример - Firefox, там своя криптография(NSS кажется), с блэкджеком и куртизанками. Контрпример - Chrome, использует системное хранилище в Windows(как в Linux - хз, не пользовался им там, но подозреваю что тоже). IE/Edge под оффтопиком, понятное дело, используют системное хранилище.

Так что, как я уже сказал, уточни о каком браузере идет речь.

Ну и еще есть HSTS - который не позволит перейти на сайт, где неправильно настроен HTTPS, например имеется недоверенный сертификат или он просрочен. Да, даже варианта «игнорировать и пройти» по умолчанию НЕ БУДЕТ. Вроде в Firefox это пока можно отключить, но по стандарту оно должно быть реализовано именно так.

как в Linux - хз, не пользовался им там, но подозреваю что тоже

Хромиум использует мозиловский nss.

Арчевики как всегда полезна https://wiki.archlinux.org/index.php/Network_Security_Services

Описание от разрабов https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools...

И конкретно как добавить:

$ certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n "certificate_nickname" -i /path/to/cert/filename

Вопрос не совсем верный. Как добавить сертификат доверенные в Windows в браузер X, где X нужно уточнить. Поясняю. В Windows(как и в Linux) есть общесистемное хранилище доверенных корневых сертификатов. Но есть браузеры(и не только, но давай пока не отклоняться от темы) которые используют СВОЁ хранилище. Яркий пример - Firefox, там своя криптография(NSS кажется), с блэкджеком и куртизанками. Контрпример - Chrome, использует системное хранилище в Windows(как в Linux - хз, не пользовался им там, но подозреваю что тоже). IE/Edge под оффтопиком, понятное дело, используют системное хранилище.

Так что, как я уже сказал, уточни о каком браузере идет речь.

Ну и еще есть HSTS - который не позволит перейти на сайт, где неправильно настроен HTTPS, например имеется недоверенный сертификат или он просрочен. Да, даже варианта «игнорировать и пройти» по умолчанию НЕ БУДЕТ. Вроде в Firefox это пока можно отключить, но по стандарту оно должно быть реализовано именно так.

Я добавил сертификат в доверенные IE/Edge не ругаются, и Mozzila тоже добавил в доверенные, остался только Google Chrome, он то вроде должен воспринимать системное хранилище, а он продолжает выводить: САИТ НЕ БИЗОПАСНЫЙ!1!!1! Причём с той же самой ошибкой...

Последние версии Chrome требуют дополнительные атрибуты в сертификате (subjectAltName). В дефолтном конфиге openssl они не ставятся и добавление в доверенные не поможет. Нужно сгенерировать сертификат снова с нужными опциями.

с самопальным сертификатом ничего зашифровано не будет,

lol

А можно поподробнее? Я сделал свой собственный ЦС вот по этому мануалу, как это сделать что оно было совместимо с этим мануалом?

В дефолтном конфиге openssl они не ставятся и добавление в доверенные не поможет.

В дефолтном конфиге они не стоят по умолчанию, или же их вообще нельзя поставить в конфиге?

Можно поправить основной конфиг или создать свой и подсунуть его openssl через параметр командной строки.

Первый попавшийся рецепт по ключевому слову subjectAltName: http://www.r-notes.ru/administrirovanie/poleznosti/164-openssl-sozdanie-multidomennogo-sertifikata.html

Выкладывай пароль, не позорься.

Можно поправить основной конфиг или создать свой и подсунуть его openssl через параметр командной строки.

Первый попавшийся рецепт по ключевому слову subjectAltName: http://www.r-notes.ru/administrirovanie/poleznosti/164-openssl-sozdanie-multi...

Я вот нашёл мануал. Что вообще такое subjectAltName? Что оно делает? И зачем там:

[ alternate_names ]

DNS.1        = example.com
DNS.2        = www.example.com
DNS.3        = mail.example.com
DNS.4        = ftp.example.com

Если верить гуглу, который ссылается на rfc, то в сертификате поле commonName, обычно запрашиваемое openssl, должно содержать имя владельца («Вася Пупкин», «Рога и Копыта»..). А вот перечень доменов или ip должны быть перечислены в атрибуте subjectAlternativeName.

В твоём случае достаточно одного параметра

DNS.0 = transmission.local

все эти самоподписаные сертификаты фуфло

да они же с технической стороны вопроса не отличаются (та же openssl).

Я создал новый топик, болле соответствующий разделу и обсуждаемой теме, так что го сюда.

а чего мне позориться - ну не полчучатся у меня на сервере сделать самопальный сертификат, как только пользовательи начинают лезть в https сквозь меня их браузеры сразу ничинают ругаться на защиту соединения, может вы научите как сварганить подложный сертификат - на который браузеры при попытке зайти в https ругаться не будут, смотрю много саркастических комов - неужели это так просто, я себе весь мозг сломал и даже забил на это дело...