forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новый этап тестирования DNS поверх HTTPS в Firefox"
Отправлено OldFart, 29-Ноя-18 01:27

>> Без SNI на каждый сайт надо будет иметь или выделенный IP
> да. На каждый сайт, где шифрование - по делу, а не в
> попытках удовлетворить гугля.
> Потому что иначе, повторяю, твой ssl превращается в тыкву.
SSL шифрование в тыкву не превращется (если конечно сисадин не подсадил в браузер свой доверенный рут сертификат и декодирует все на файрволе).
Гугл под видом того что он волнуется за приватность и так давно удовлетворен без SNI, любой выданный сертификат на (суб)домен находится у них в certificate transparency database доступный кстати кому попало. Кстати привязка SSL только к однлму ИП идентифицирует значительно лучше, чем если на одном ИП навешенно куча SSL хостов

>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>> сертификат
> только смысла в этом не будет никакого.
Как это не будет ? Выделенный ИПшник стоит не так уж и дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках и ВПС-ах где можно за 3 бакса отмазаться разово, но при этом свято доверять что в клаудном серваке никто не лазит со стороны хостера), а для любого нормального домена надо как миниум 3 сертификата, на сайт, на емэил сервак, на веб мэил сидящем в субдомене
SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров не избежать...

Исходное сообщение
"Новый этап тестирования DNS поверх HTTPS в Firefox" Отправлено OldFart, 29-Ноя-18 01:27
>> Без SNI на каждый сайт надо будет иметь или выделенный IP > да. На каждый сайт, где шифрование - по делу, а не в > попытках удовлетворить гугля. > Потому что иначе, повторяю, твой ssl превращается в тыкву. SSL шифрование в тыкву не превращется (если конечно сисадин не подсадил в браузер свой доверенный рут сертификат и декодирует все на файрволе). Гугл под видом того что он волнуется за приватность и так давно удовлетворен без SNI, любой выданный сертификат на (суб)домен находится у них в certificate transparency database доступный кстати кому попало. Кстати привязка SSL только к однлму ИП идентифицирует значительно лучше, чем если на одном ИП навешенно куча SSL хостов >> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL >> сертификат > только смысла в этом не будет никакого. Как это не будет ? Выделенный ИПшник стоит не так уж и дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках и ВПС-ах где можно за 3 бакса отмазаться разово, но при этом свято доверять что в клаудном серваке никто не лазит со стороны хостера), а для любого нормального домена надо как миниум 3 сертификата, на сайт, на емэил сервак, на веб мэил сидящем в субдомене SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров не избежать...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру