Проверка сертификата SSL

marushin

Client
Регистрация
12.01.2015
Сообщения
193
Благодарностей
60
Баллы
28
Здравствуйте, не смог сам разобраться поэтому создал тему, если было линканите пожалуйста.
Ситуация следующая- работаю через socks5, некоторые носки видимо снифаются или ещё что нехорошее их хозяева делают с трафиком. В результате, если заходить на сайты с https через такие socks с обычного браузера, то браузер ругается на сертификат - выдан не доверенным центром, скорее всего самоподписанный. Но зенка, доверяет таким сертификатам и норм грузит сайт.
Как средствами зенки проверять- выдан сертификат доверенным центром или нет?
 

one

Client
Регистрация
22.09.2015
Сообщения
6 833
Благодарностей
1 275
Баллы
113
некоторые носки видимо снифаются или ещё что нехорошее их хозяева делают с трафиком.
Ничего они не делают.
то браузер ругается на сертификат - выдан не доверенным центром, скорее всего самоподписанный.
Так и должно быть. Само подписные SSL сертификаты уже давно потеряли доверие и носят чисто номинальный характер.
Но зенка, доверяет таким сертификатам и норм грузит сайт.
Да, иначе бы в ручную приходилось бы подтверждать само подписные сертификаты что усложнило бы автоматизацию действий.
 

Yuriy Zymlex

Moderator
Команда форума
Регистрация
24.10.2016
Сообщения
6 518
Благодарностей
3 370
Баллы
113
Ничего они не делают.
Так вот кто их поднимает)):D
Но зенка, доверяет таким сертификатам и норм грузит сайт.
Пробуй:
C#:
instance.SetBrowserPreference("security.OCSP.enabled", 1);
instance.SetBrowserPreference("security.OCSP.require", true);
instance.SetBrowserPreference("security.ssl.enable_ocsp_stapling", true);
instance.SetBrowserPreference("security.ssl.enable_ocsp_must_staple", true);
 
  • Спасибо
Реакции: doc

marushin

Client
Регистрация
12.01.2015
Сообщения
193
Благодарностей
60
Баллы
28
Ничего они не делают.
Ну как не делают, если на сайтах платёжных систем, показывает самоподписанный сертификат. Я раньше не обращал внимание, но получается, все кто пользуются зенкой - потенциальные жерты. Если на сайте нет доп скриптов проверяющих серт, то траф открыто снифается.

сибо, буду тестить
 

one

Client
Регистрация
22.09.2015
Сообщения
6 833
Благодарностей
1 275
Баллы
113
Ну как не делают, если на сайтах платёжных систем, показывает самоподписанный сертификат.
А причем тут прокси?
но получается, все кто пользуются зенкой - потенциальные жерты.
Это каким образом становятся жертвами?
Если на сайте нет доп скриптов проверяющих серт, то траф открыто снифается.
Да? Каким же образом он снифается? Да и как жили то раньше без SSL сертификатов?
 

marushin

Client
Регистрация
12.01.2015
Сообщения
193
Благодарностей
60
Баллы
28
Да? Каким же образом он снифается? Да и как жили то раньше без SSL сертификатов?
Раньше снифали, и пока не ввели HSTS в браузеры, то можно в лёгкую было пасов насобирать со сломаных роутеров, через подмену DNS. Да и сейчас есть несколько крупных сайтов, которые не используют HSTS, их помалеху хакеры щиплют.
 

one

Client
Регистрация
22.09.2015
Сообщения
6 833
Благодарностей
1 275
Баллы
113
Мда... Дела...
 

Yuriy Zymlex

Moderator
Команда форума
Регистрация
24.10.2016
Сообщения
6 518
Благодарностей
3 370
Баллы
113

marushin

Client
Регистрация
12.01.2015
Сообщения
193
Благодарностей
60
Баллы
28
Зенка по умолчанию их и не должна использовать, так как network.proxy.socks_remote_dns = false
ДНС я упомянул, чтоб объяснить принцип. Так то да, если ДНС резольвится локально, то сложнее подловить юзера. Но тогда палится локация, а зачем нам это?
 

Yuriy Zymlex

Moderator
Команда форума
Регистрация
24.10.2016
Сообщения
6 518
Благодарностей
3 370
Баллы
113
Тогда подставляй днс в зависимости от провайдера/локации.
Но имхо, это всё лишь добавляет гемор, в попытке решить не существенную проблему.
Но тогда палится локация, а зачем нам это?
Используй 8.8.8.8, где он только не используется...
 

marushin

Client
Регистрация
12.01.2015
Сообщения
193
Благодарностей
60
Баллы
28
Это ж гемор менять постоянно днс руками. Причём для отдельной категории сайтов, желательно чтоб ДНС был провайдерский. А восьмёрки, стучат в ближайший гугловский сервер, это не решает проблему детекта локации браузера.
 

Кто просматривает тему: (Всего: 4, Пользователи: 0, Гости: 4)