LINUX.ORG.RU

Не доступен ЛОР ?

 , ,


0

1

Как то странно себя ведет на моем старом андроид телефоне. Лазаю там по инету Хром 106 (вроде).

Я лазаю в основном по техническим сайтам, всякие нерусские, есть опеннет и лор. Так вот иногда ЛОР не грузится и пишет какую то ошибку по сертификату. Другие также не грузятся, но там есть пункт дополнительно, нажимаешь и есть выбор зайти на этот сайт и что то с безопасностью …

Так вот всей куче сайтов ЭТО работает кроме ЛОР, на нем нажмешь дополнительно и нет такого пункта. Потом ЛОР иногда открывается.

Почему это так ?

★★★★★

Ответ на: комментарий от utanho

Какое время не понял ? Куча нерусских сайтов и опеннет открываются и только ЛОР нет. Мне просто интересно кто ЛОР держит они специально так сделали или они про это хз ?

Да и он открывается то нет … я это не совсем понимаю.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

старом андроид телефоне. старом

Там протухли корневые сертификаты. Новые не зашиты. Всё что по цепочке идет подписью от них считается невалидным.

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

Т.е. кучи в кучи сайтов можно добавить исключение а на крутом ЛОРе нет.

Ну допустим. Тогда почему иногда заходит на ЛОР ?

(нужно мне скрин снять, просто там не совсем про сертификат вроде, про какое то мошеничество вроде …)

Сейчас глянул, написано, ЛОР юзает механизм HSTS.

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 2)
Ответ на: комментарий от teod0r

Вроде телефон, и время синкается от сети ЖСМ … и самое главное то, что раз пашет, раз нет. Меня это в тупик вводит. И то что опеннет и на остальных (кучи) сайтов такого нет.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от maxcom

Да я понимаю, и хз что думать.

opennet

  1. https://imgur.com/GUfrTx1
  2. https://imgur.com/djLDBM3

LOR

  1. https://imgur.com/ZypY5Uv
  2. https://imgur.com/1GLo1rc

Вся куча сайтов ведет себя как 1-2 (как опеннет), т.е. я нажимаю дополнительно и перехожу на сайт.

На единственном ЛОР после дополнительно, нет ссылки перехода :(

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 2)
Ответ на: комментарий от mx__
  1. This new cross-sign will expire in early 2024.

  2. На ЛОРе HSTS, которого нет на той куче сайтов + опеннет, для которых тебе удалось добавить исключение. Если на сайте настроен HSTS - браузер тупо не даёт этого сделать.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 4)
Ответ на: комментарий от token_polyak

Да я все понимаю. Но когда следующий раз с телефона зайду на лор я прям от туда тебе и отвечу.

Это штука у меня уже больше месяца, просто решил сейчас сообщить, так как до конца не понимаю, почему иногда можно зайти.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

Хром 106

Осталось еще провериться с другими браузерами, как вариант:

Несмотря на то что сертификаты являются встроенным системным компонентом Android, существуют браузеры, у которых есть собственный набор сертификатов. Главное установить подходящий браузер. В нашем случае это Mozilla Firefox…

krasnh ★★★★
()
Ответ на: комментарий от token_polyak

Если на сайте настроен HSTS - браузер тупо не даёт этого сделать.

Считаю такое поведение свинством.

У себя давно сделал прокси который слушается в этом плане меня а не чьих-то хотелок.

firkax ★★★★★
()
Ответ на: комментарий от mx__

так как до конца не понимаю, почему иногда можно зайти.

Когда удалось зайти - посмотри информацию о цепочке сертификатов. Наверно там и будет разгадка. Может быть тебя митмят чьим-то ещё не истёкшим фейковым сертификатом.

firkax ★★★★★
()
Ответ на: комментарий от maxcom

Какой эффект ? Сегодня зайду а завтра нет ? И от чего это зависит ?

mx__ ★★★★★
() автор топика
Ответ на: комментарий от firkax

Ну у меня есть такое предположение, но видать митмят только ЛОР … или скорее митят все, а так как на ЛОРе HSTS то это выдает.

Только вот не могу понять, почему то митмят то нет, почему так ?

Пров у меня кстати Билайн.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от firkax

Вот зашел, вроде тот же сертификат, но пишет что соединение безопасно.

Не понимаю :(

Не, насколько я понял выше сертификат р3 и еще 2. Раньше был только р3, выше уже не было.

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__

Посмотри не только сертификат но и цепочку до доверенного корневого и посмотри у всех сроки действия.

firkax ★★★★★
()
Ответ на: комментарий от firkax

https://imgur.com/a/TYdUfYh

У последнего как то не так с датой. Но когда не работало то казало только 2 сертификата ЛОР и Р3, дальше не было.

Как еще раз обламается я скину скрины тех 2х.

Главный вопрос почему это меняется каждый раз ?

P.S. Я привык что в цифре все работает одинаково а не как в аналоге раз так а раз эдак.

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от maxcom

А лор поддерживает нешифрованный http? Просто современные браузеры его автоматом перенаправляют на https и проверить невозможно.

Werenter ★★☆
()
Ответ на: комментарий от mx__

ЛОР присылает только первые два из цепочки, в которой у тебя четыре. Цепочка странная.

Третий по идее должен быть доверенным рутом, но у тебя он вроде как промежуточный (можешь в списке доверенных центров сертификации посмотреть - он там есть?). Третий подписан четвёртым, который просрочен, но почему-то при этом считается за доверенный. Возможно, ты себе установил какой-то хакерский фикс для DST Root CA X3, чтобы он считался доверенным несмотря на дату, потому что проблема с его просрочкой в своё время была массовой и затронула много сайтов (сейчас уже починили).

Если твоё устройство действительно считает доверенным именно просроченный DST и не знает про ISRG, то причина понятна: ISRG может случайно оказаться в кеше и тогда всё работает, а потом его из кеша выкидывают и ничего не работает, пока какой-нить другой сайт его заново не пришлёт.

Правильное решение: добавить ISRG в доверенные центры сертификации, а DST оттуда удалить.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Понятно.

взял ISRG х1 самоподписанный и залепил. Теперь цепочка из 3х. Удалять DST (не стал) и хз как это сделать на 6 дроиде.

Поглядим как дальше будет. СПАСИБО.

P.S. Фиксов не было, но дроид старый и давно уже не обновляется и исправленный сертификат не завезли … Про притаскивание ISRG х1 тоже понятно, залез куда то по http потом полазал а он хлоп на перелез на https и припер его …

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.