История изменений
Исправление pztrn, (текущая версия) :
Сертификат был подписан с использованием алгоритма подписи, который был отключён, так как он небезопасен.
Ладно, давай это предположим. Давай предположим, что все сертификаты в цепочке не проверяются. Ладно, ок. Объясни, о великий гуру, ошибку процитированную, которая появилась при заходе на твой гит. Нет, я не спорю, что именно для git.stargrave.org сертификат нормальный, а вот выше? :)
Просто чтобы до тебя дошло наконец - ВСЕ сертификаты проверяются в цепочке, предоставленной сервером:
Verify return code: 19 (self signed certificate in certificate chain)А вот с en.pztrn.name, который защищен Letsencrypt и у которого сертификат CA в локальном хранилище:
Verify return code: 0 (ok)Проверь сам с помощью openssl. Почему self-signed - это и так понятно, потому что его нет в хранилище сертификатов на моей системе, следовательно, этот сертификат также, как и сертификат для объекта, будет проверен. А если вышестоящего нет - привет сообщение про self-signed. А root у CACert еще и md5 - отсюда и сообщение первой строчки.
Как вы смеете меня обвинять в том, что я как баран не ведусь и не играю в игрушки корпораций.
Я утверждал не это. Или у вас бомбит от слова «корпорации»?
Более того, вы вообще не имеете права что-то обсуждать по поводу безопасности, после того как заfailились на претензии о подписи с MD5 хэшом для *CA* сертификата.
Ты зафейлился, утверждая про какой-то out-of-band, предоставляя всю цепочку сертификатов. Out-of-band ничего не передается, сертификат либо у тебя в локальном хранилище, либо передается с цепочкой. А то, что с корневым сертификатом у CACert полная жопа - это да.
Мне плевать сколько есть *vendor-specific* утилит. Мне хочется видеть утилиты опирающиеся на стандарты, на стандарты запросов на сертификаты: PKCS# 10, CRMF, CMC, итд. И они с нами есть, независимые от вендоров: openssl, certtool как минимум.
Хы. Ну давай так, вот тебе драфт - https://datatracker.ietf.org/doc/draft-ietf-acme-acme/. Что будешь отвечать, когда его примут?
Как вы смеете меня обвинять в том что я не раздвигаю (как вы) булки перед этими отморозками?
У тебя в прошлом проблемы с этим были, или что? Зачем опускаться до такого? И до всего прочего, что у тебя по тексту далее в этом пункте.
Исходная версия pztrn, :
Сертификат был подписан с использованием алгоритма подписи, который был отключён, так как он небезопасен.
Ладно, давай это предположим. Давай предположим, что все сертификаты в цепочке не проверяются. Ладно, ок. Объясни, о великий гуру, ошибку процитированную, которая появилась при заходе на твой гит. Нет, я не спорю, что именно для git.stargrave.org сертификат нормальный, а вот выше? :)
Просто чтобы до тебя дошло наконец - ВСЕ сертификаты проверяются в цепочке, предоставленной сервером:
Verify return code: 19 (self signed certificate in certificate chain)А вот с en.pztrn.name, который защищен Letsencrypt и у которого нормально подписанный сертификат для CA:
Verify return code: 0 (ok)Проверь сам с помощью openssl. Почему self-signed - это и так понятно, потому что его нет в хранилище сертификатов на моей системе, следовательно, этот сертификат также, как и сертификат для объекта, будет проверен. А если вышестоящего нет - привет сообщение про self-signed. А root у CACert еще и md5 - отсюда и сообщение первой строчки.
Как вы смеете меня обвинять в том, что я как баран не ведусь и не играю в игрушки корпораций.
Я утверждал не это. Или у вас бомбит от слова «корпорации»?
Более того, вы вообще не имеете права что-то обсуждать по поводу безопасности, после того как заfailились на претензии о подписи с MD5 хэшом для *CA* сертификата.
Ты зафейлился, утверждая про какой-то out-of-band, предоставляя всю цепочку сертификатов. Out-of-band ничего не передается, сертификат либо у тебя в локальном хранилище, либо передается с цепочкой. А то, что с корневым сертификатом у CACert полная жопа - это да.
Мне плевать сколько есть *vendor-specific* утилит. Мне хочется видеть утилиты опирающиеся на стандарты, на стандарты запросов на сертификаты: PKCS# 10, CRMF, CMC, итд. И они с нами есть, независимые от вендоров: openssl, certtool как минимум.
Хы. Ну давай так, вот тебе драфт - https://datatracker.ietf.org/doc/draft-ietf-acme-acme/. Что будешь отвечать, когда его примут?
Как вы смеете меня обвинять в том что я не раздвигаю (как вы) булки перед этими отморозками?
У тебя в прошлом проблемы с этим были, или что? Зачем опускаться до такого? И до всего прочего, что у тебя по тексту далее в этом пункте.