Поддержка проекта

@васьвась если этот сертификат не установлен - хром будет просто ругаться что “соединение не защищено” при переходе например на госуслуги. Так как не будет доверять этому сертификату. Можно будет нажать “продолжить” и пользоваться дальше. Трафик всё-равно будет шифроваться.

Проблема будет если они начнут перепаковывать трафик. Это будет видно при подмене сертификата.

Пользователь @just_one написал в Поддержка проекта:

Хром не дает устанавливать самоподписные сертификаты.

Он доверяет системным. Если в ОС установить сертификат - хром будет считать его “валидным”. Сертификат любого корневого центра сертификации - самоподписанный:

Пользователь @васьвась написал в Поддержка проекта:

самоподписанный (небезопасный)

Самоподписанный не значит небезопасный. Самоподписанный значит - корневой. Журналисты они такие…

Ускоренно пилят единый центр сертификации (основной). Pathlen у него равен 4. Значит может быть еще 4 промежуточных УЦ. Скорее всего для тех, которые сейчас сушествуют. Минцифры, минфин… Если не параноить - они переводят свои порталы на единый отечественный УЦ. Сейчас госуслуги используют Cloudflare, а сертификат у них от Sectigo. Если Sectigo отзовёт сертификат - браузер будет ругаться, но это не значит что трафик не шифруется.

Это нормально и паниковать тут не стоит до тех пор, пока при обращении например к hiv.plus в цепочке сертификатов вдруг окажется этот. Тогда да, беда.

Не важно кто выдаёт сертификат. Важно у кого закрытый ключ для конкретного ресурса. При выдаче сертификата передаётся запрос на него (из которого невозможно восстановить закрытый ключ), а сохранность ключа на совести владельца. Поэтому и хостят hiv.plus на зарубежных ресурсах. Если есть доступ к хостингу - можно получить и закрытый ключ, там хранящийся.

Еще один магистральник (Lumen) отказывается от сотрудничества с Россией. Около 800т. км. оптоволокна. Вот это действительно больно.

Пользователь @hamster написал в Поддержка проекта:

Можно ссылку на хостера?

hostus

Пользователь @pixxxel написал в Поддержка проекта:

А тем временем одна за другой криптовалютные биржи…

Останавливают поддержку карт выпущенных в России - да, иначе не могут. То что их просят блокировать тех, кто попал под санкции (условную ООО “Рога и копыта”), чтобы не обходили санкции - это да. Тот же условный Иванов/Петров/Сидоров оплачивающий хостинг по “0 целых, хрен десятитысячных битка” им не интересен от слова совсем. Как и SWIFT шатают не для того чтобы кто-либо из нас не смог купить молока в ближайшем продуктовом. Сопутствующий ущерб.

Владелец крипты может быть и за границей. Тут все же главное возможность оплаты услуг такой валютой. А она есть у многих.

@ilya-antipin, @hamster дело говорит. Возможность закинуть крипту будет реально полезной. Её хоть и штормит туда-сюда, но с учетом куда летит рубль…

Пользователь @ilya-antipin написал в Поддержка проекта:

Все три ключевых компонента инфраструктуры проекта (CDN, хостер и сервисы Amazon) недоступны для оплаты из РФ более. Плюс к тому регистратор домена тоже попросил на выход.

Крупным проще отказаться, для них не существенно. Конторы поменьше всё же идут на контакт и пытаются помочь. По крайней мере физ. лицам. Только что столкнулся с невозможностью оплатить VPS через Visa/Mastercard/Paypal. Создал тикет - предложили попробовать оплатить через крипту. Минус почти 3$ на комиссии. Сказал им об этом (что дороговато выходит) - по своей инициативе накинули +2 недели.

We are all learning in these times how to survive with sanctions. That is 2 months of payment and I put 2 extra weeks on your service since BTC cost you $3 USD~ as an extra gift. Long-term here we are going to need to look at cost bottom line because not very realistic to cost more than the old banking system.

Есть еще лояльные хостеры за рубежом.

Пользователь @васьвась написал в Поддержка проекта:

Может поэтому.

@galka У сбера иногда отваливается 3-D Secure - после ввода карты не появляется форма с одноразовым паролем. Вводишь карту, жмешь оплатить и тишина. Обычно лечится повторной попыткой через *цать минут.

Да, писал об этом выше, как о возможном. Государственный MITM, так сказать. Перенимаем опыт Казахстана. У них не взлетело - отменили в 2019г. Посмотрим как у нас. Пока что хранят тонны пользовательского трафика без возможности его расшифровать.

Пользователь @ilya-antipin написал в Поддержка проекта:

@некто

In light of the unwarranted and unprovoked invasion of Ukraine, Cogent is terminating all of your services…

Предлог просто. Скорее не от нежелания сотрудничать, а из-за давления контролирующих органов. Невозможности приема оплаты, например. Кошмарят бизнес в угоду своим интересам.

Плохо конечно, что переезжать приходится. Да и явно стоимость содержания увеличивается. Курс подрос весомо. Помогаю проекту чем могу. Не великие деньги конечно…

Кстати. В районе 15:00 по МСК (GMT+3) словил 503-ю ошибку. Видимо ресурсов не хватает.

Пользователь @stuppy написал в Поддержка проекта:

Ну явно его проще как минимум в точках обмена, на М-9 и пр., заворачивать

С учетом размеров страны и кто там и чем владеет во всей цепочке… Кто-то одним куском кабеля, кто-то другим. Оборудование вообще третьим принадлежит, а то и нескольким ЮР лицам. Всё это надо согласовать и бумажкой закрепить. Пока всё это пройдёт по всем “заинтересованным” по цепочке в стиле “друг подруги тёлки брата”. Не быстро в общем.

Тема просто модная, вот её и мусолят. А по факту…

@stuppy не, я именно про первый (физический). Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны. Ибо маршрут быстрее. Пока они всё это соберут в кучу, чтобы “наша” сеть не сказала “ой, всё” из-за санкций - пройдёт очень не мало времени. А ради галочки уронить то, что есть - это надо быть совсем альтернативно-одарённым.

Основной посыл той статьи как раз в том, что они замыкают страну в свою ASN. Чтобы внутренний трафик не выходил наружу. BGP конечно выручит, перекинув маршрут в случае отключения. Но в отдалённых местах родины иногда такие сети можно встретить, что кровь из глаз идёт.

И тесты на “отключения” они забавно проводят. “Мы провели отключения, у нас (в больших городах) всё работает”. А то, что города поменьше отвалились от тех же госуслуг на час-другой - так это мелочь. Ножками дойдут.

@ilya-antipin вилами по воде (в данной статье). Пока будет физическое соединение до зарубежных ASN - будут и способы выйти в мир. DPI не всесилен. А то что слушают (ну или пытаются), так это уже давно. СОРМ с 1996 года существует и мало кто об этом вообще слышал.

Им бы пока организовать устойчивую работу своих сервисов. Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны. А то иногда отправишь traceroute до соседнего города, а он через соседнюю страну идёт. А то и не раз. Как посылка с алиекспресса.

Так что не так уж и в обозримом. Но, когда-нибудь - возможно. Как говорится: “смех-смехом, а пилотка кверху мехом”.

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить

Добавлю своих 5 копеек, если можно. Не пинайте за оффтоп, но может людям пригодится.

Надо не просто поставить 1.1.1.1 (или любой из списка по нужному протоколу), а включить “только шифрованные запросы”. Через DoH (DNS-over-HTTPS) или DoT (DNS-over-TLS). Как включить DoH на windows 10 и выше - можно посмотреть тут. Иначе да, трафик по HTTPS будет зашифрован, а вот имена доменов, к которым обращается пользователь - будут утекать…

Для POSIX-совместимых систем можно использовать stub resolver. Например пакет stubby, с вот таким конфигом:

resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_min_version: GETDNS_TLS1_2
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private: 1
idle_timeout: 9000
listen_addresses:
  - 127.0.0.1@53
round_robin_upstreams: 0
appdata_dir: "/var/cache/stubby"

upstream_recursive_servers:
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853

А уже системный resolv.conf натравить на 127.0.0.1. Тогда весь софт сам того не зная будет использовать защищенные запросы.

У кого совсем паранойя - я бы рекомендовал аккуратнее ставить “отечественный” софт (или потом проверять). А то поставят вместе с собой “нужный” корневой сертификат удостоверяющего центра и вы даже не узнаете, что ваш HTTPS трафик проходит через чье-нибудь ведомство. Ни один браузер (из обычных) даже не пикнет. Кроме Firefox, у которого “по умолчанию” отключено доверие к системным корневым сертификатам (параметр “security.enterprise_roots.enabled” в about:config).

Пользователь @васьвась написал в Чат (группа) в телеграм по ВИЧ и пр.:

Но этот тип там всё зафлудил, а у людей реальные проблемы. Им нужно место и время уделять.

Не, флудил не я. Я посоветовал тому товарищу сдать ПЦР. Свою историю я там не описывал. От меня всего пара сообщений было далее, в одном из которых я и сказал, что нет подтвержденного статуса. Поэтому и выгнали, за компанию.

Не думаю что правильно всех подобных встречать с распростертыми объятиями.

Там тоже свои фобы, некоторые боятся

Я понимаю. Просто подумал раз ссылка публичная, значит можно войти. А навредить может любой человек, независимо от статуса.

Получай свой + и приходи, если хочешь.

Выполню предписания СЦ по срокам - будет ясно.

@dimalut Любой будет переживать, если его пригласят в СЦ. Я своими переживаниями людям не надоедаю и не забиваю соответствующие форумы и чаты вопросами: “а что, а как, а…”. Вызвали, сказали что сдать и куда еще сходить. Ответили на появившиеся вопросы. Также предложили самостоятельно почитать информацию по соответствующей теме, между делом. Вот и читал. Чтож, админам виднее, раз выгнали из чата, хоть и не отсвечивал. Зачем тогда публиковать инвайт приватного чата в открытом доступе? Впрочем вопрос риторический. Поэтому более не беспокою.

@васьвась чат о ВИЧ, здоровье и медицине. И вроде без приписки: “только для тех, у кого +”. А по факту людей без установленного блотом плюса объявляют фобами/придурками и выгоняют. Хотя ни флуда, ни паники по этому поводу в чат не высказывалось. Да, подтвержденного плюса нет. Зато был контакт с позитивным человеком. Не просто же так пришел анализ сдавать, а потому, что пригласили. И не анонимно, а по паспорту. Чтобы сразу и поставили на учет, если что. СЦ просто так не вызывает людей к себе. И уж тем более не накачивает превентивно бициллином. Даже если и не подтвердится, то почему таким людям нельзя впитывать информацию по болячкам и их лечению? Не каждый человек с минусом - фоб! Даже если сейчас минус, то не факт что так и останется в дальнейшем. Добрее надо быть к людям, имхо