Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
Войти
Забыли пароль?
или продолжите с
Создать аккаунт
Я хочу получать рассылки с лучшими постами за неделю
или
Восстановление пароля
Восстановление пароля
Получить код в Telegram
Войти с Яндекс ID Войти через VK ID
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
ПромокодыРаботаКурсыРекламаИгрыПополнение Steam
Пикабу Игры +1000 бесплатных онлайн игр

Копай Дыру в России

Симуляторы, Приключения, Экшены

Играть

Топ прошлой недели

  • Oskanov Oskanov 8 постов
  • alekseyJHL alekseyJHL 6 постов
  • XpyMy XpyMy 1 пост
Посмотреть весь топ

Лучшие посты недели

Рассылка Пикабу: отправляем самые рейтинговые материалы за 7 дней 🔥

Нажимая кнопку «Подписаться на рассылку», я соглашаюсь с Правилами Пикабу и даю согласие на обработку персональных данных.

Спасибо, что подписались!
Пожалуйста, проверьте почту 😊

Новости Пикабу Помощь Кодекс Пикабу Реклама О компании
Команда Пикабу Награды Контакты О проекте Зал славы
Промокоды Скидки Работа Курсы Блоги
Купоны Biggeek Купоны AliExpress Купоны М.Видео Купоны YandexTravel Купоны Lamoda
Мобильное приложение

TLS

12 постов сначала свежее
156
Timeweb.Cloud
Timeweb.Cloud
6 месяцев назад
Лига мобильной связи

Я тебя найду и позвоню⁠⁠

Автор текста: Antxak

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

❯ Расследование, с которого всё началось

Осенью ко мне обратился крупный заказчик с довольно типовой проблемой — утечкой лидов с сайта, собирающего заявки. Работало это так:

  • Клиент оставляет заявку на сайте.

  • В этот же день с ним связывается колл-центр заказчика.

  • На следующий день ему звонят злоумышленники и начинают продавать уже свое.

Это затрагивало значительную часть клиентов, но не всех. К моменту начала расследования утечке был уже не первый месяц.Отрабатывали мы стандартные гипотезы:

  • Слив сотрудниками колл-центра.

  • Технический фактор слива данных с сайта.

  • Слив данных партнерами и контрагентами.

  • Таргетинг на клиентов компании.

Но эта статья ни в коем случае не пиар расследования, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, и провайдеры сотовой связи открыто продают маркетинговым агентствам данные о переходах на сайты.

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Аудитория Хабра от провайдера сотовой связи

Вот, например, прогноз аудитории одного из провайдеров сотовой связи, на таргетинг всех, кто за последнюю неделю заходил на Хабр! Примерно 280 тыс. человек, цена смс каждому будет в районе нескольких рублей + 0.5 рубля за этот доп фильтр. Да, информация по вашему входу на сайт стоит 50 копеек.

Как это работает? Это все входы на сайт через мобильный интернет! Провайдер видит домен к которому вы обращаетесь, он не шифруется по умолчанию в TLS.

Можно купить только у одного провайдера? Нет, они перепродают сервисы друг друга, поэтому можно оттрекать абонентов нескольких провайдеров в личном кабинете одного. Они сами распределяют прибыль от продажи ваших данных.

Данными о заходах на сайты торгуют уже давно, позволяют отправлять СМС,  а маркетинговые агентства, покупая этот трафик, позволяют ПОЗВОНИТЬ жертве клиенту, правда, без передачи номера. За оплату такого слива вам дадут ссылку через которую можно позвонить через гейтвей IP-телефонии.

Но это не так страшно и эффективно, ведь на сайт много кто заходит, будет много мусорных звонков от случайных заходов. А у нашего заказчика утекали именно оформленные заявки. Звонили только тем, кто их оставил, и только через мобильный интернет. Но не всем, кто вообще заходил на сайт.

Но не так давно появилась новая опция, позволяющая отследить звонки!

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Заходил на Хабр и общался по телефону с Госуслугами? Ты тут

Вам предлагают вбить от 5 номеров, и посмотреть, а сколько ваших жертв, тьфу, клиентов звонили на указанные номера? Или им звонили с этих номеров, или как на скрине “любое направление”. 190 человек из 280 тысяч пользователей Хабра за последнюю неделю общались с техподдержкой Госуслуг, ведь ее номер 78001007010.

Почему я уверен, что их 190, и туда не попали другие 4 номера? Их не существует, туда можно вбить любые несуществующие номера. Вот подтверждение, я поменял первый номер на также не существующий, поменял 0 на конце на 1, и в выборке аудитории стало пусто!

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

5 неактивных номеров

Именно так угоняли заявки у нашего клиента, они ставили фильтры:

  • Заход на сайт компании.

  • Звонок с номера колл-центра компании.

Колл-центр заказчика звонил по всем заявкам, а уже на следующий день это появлялось в личном кабинете маркетологов, которые за небольшую сумму могли совершить звонок всем, кто попадал в фильтр!

Да, за слив метаданных ваших телефонных звонков нужно доплатить всего-то 2 рубля!

Полный список доступных фильтров и условий прикладываю:

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Фильтры и цены их добавления у одного из провайдеров

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

И условия при которых будет отправлена СМС

Отдельно обратите внимание на “присутствие в геозоне” и условие “вход в геозону”. Где-то год назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил у меня, не замечаю ли я, что в командировках в Москву спам звонков и смс прилетает больше, чем дома в Питере? Тогда я не мог аргументированно ответить почему, но вот, Дима (@d1g1), тебе ответ! Таргетят нас именно так.

❯ А если не маркетологи?

Но кто еще может использовать подобный инструмент? Покупая ссылки на звонки у маркетинговых компаний за скромные деньги или вовсе бесплатно пользуясь фильтрами?

Конкуренты

Могут таргетировать ваших сотрудников, и звонить вашим клиентам под любым предлогом,копируя вашу базу.

Они же могут таргетировать ваших сотрудников с целью коммерческого шпионажа, фильтры по гео могут даже позволить им следить за перемещениями! Главное — просто правильно их настроить.

Ревнивые мужья/жены

  • Ваша жена/девушка с кем-то очень мило беседовала вчера?

Вы можете позвонить всем, с кем она вчера говорила!

  • Она куда-то ездила на выходных и вы ей звонили?

По фильтру звонков таргетите именно ее, а геозоной начинаете искать, сужая круг и перемещая его куда угодно. Вуаля, вы найдете в каких зонах она была в определенный момент в течение дня. И ее подруга живет совсем не там.

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Кто бывает в Зингере?

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

А кто из них был в определенный момент времени?

Мошенники

  • Узнать, что жертва (да, тут уже жертва) уехала в геозону?

  • Позвонить всем, кто общался вчера с центром элитных автомобилей, и попросить предоплату за бронь?

  • Позвонить всем клиентам дорогого отеля, которые вчера туда заехали и звонили в него? Можно предложить что-то элитное с “предоплатой”!

И многое многое другое, такой инструмент — настоящий подарок для продвинутых и таргетированных атак “колл-центров служб безопасности”. Все, что нужно, — оплатить услуги любого из кучи агентств, или напрямую закупать у провайдеров на любое юрлицо.

Внимание, платить нужно только за звонок/смс, отслеживать геолокацию абонента можно абсолютно бесплатно в предпросмотре аудитории фильтров!

❯ А как этому противодействовать?

Если у вас своя компания и вы боитесь утечек клиентов, изобразите клиента. Возьмите новую симку, зайдите к себе на сайт с мобильного интернета и оформите заявку, позвоните на телефон, указанный на сайте. Словом просто пройдите клиентский путь.

Если после такого вам позвонят конкуренты/мошенники, у вас проблема, но уже хорошо, что о ней вы узнали. Первое, что вам придется сделать, — выбить из их рук фильтр звонков, ведь он самый эффективный в таргетинге. Для этого придется сменить привычный номер на сайте, а в идеале заменить его динамическим. При большом и сменяемом пуле номеров, фильтр работать перестанет, отследить, с кем именно общается ваша компания звонками, станет невозможно.

Альтернативный вариант — звонить через мессенджеры, но далеко не всем это будет по душе(

А для обычных пользователей?

Меньше серфите через мобильный интернет, используйте Wi-Fi. Также по возможности прячьте свои коммуникации от провайдера с помощью сервисов защиты трафика, их как раз сейчас используют для совсем другого, о чем сейчас не стоит писать по просьбе РКН. Но это надёжно закроет доступ к посещаемым вами сайтам.

Геозону контролировать невозможно, не оставлять же дома телефон, как некоторые криминальные элементы?

❯ А что с этим делать глобально?

Реклама должна работать, это драйвер бизнеса! Но не такой ценой. По моему скромному мнению, необходимо ограничивать инструменты рекламы. Сейчас провайдеры и маркетинговые агентства открыто торгуют очень чувствительной информацией, позволяющей даже узнать, где находился их абонент в течение дня!

Более того, чтобы “пробить” геолокацию, зная номер абонента, не нужно платить ни одного рубля, проходить какую-то модерацию, нужно просто иметь логин и пароль к любому кабинету рекламы! И сделать ему один единственный сброс-звонок, для эффективной фильтрации по звонкам.

Почему это законно? Номер не передается, персональных данных фактически нет. Передается ссылка для звонка, или отправляется СМС сообщение. Геолокация тоже передается "всего фильтра", а не конкретной персоны. Но никого не волнует, что отфильтровать одного человека довольно просто.

Чтобы понять как это стоит ограничить, нужно понять, а где грань этичного таргетинга? Как можно таргетировать группы людей, без возможности вычленить конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По моему мнению, мы эту грань уже давненько прошли. И эта грань — фильтр по звонкам, именно он позволяет нам легко таргетировать и сливать информацию по конкретному абоненту! Зная его номер и сделав ему пустой разовый звонок.

Я тебя найду и позвоню Расследование, Timeweb, Информационная безопасность, Детектив, Мошенничество, Интернет-мошенники, TLS, Маркетинг, Сотовые операторы, Длиннопост, Негатив

Написано специально для Timeweb Cloud и читателей Пикабу. Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале.

Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться в рамках наших блогов (за вознаграждение) — пиши сюда.

Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.

Показать полностью 8
[моё] Расследование Timeweb Информационная безопасность Детектив Мошенничество Интернет-мошенники TLS Маркетинг Сотовые операторы Длиннопост Негатив
18
13
Durdoom
Durdoom
2 года назад

Получение национального сертификата для своего домена (ЮЛ) через ГосУслуги⁠⁠

Здравствуйте дорогие Пикабушники.


Произошла ситуация которой никто не ждет, а именно увеличение риска отзыва глобальных сертификатов западных центров сертификации доменных имен (TLS).

Уважаемые "Минцифры" предложили решение в виде получения "НАШЕГО" ,"ОТЕЧЕСТВЕННОГО" сертификата для домена, пока что только для Юридических лиц (через личный кабинет Госуслуг).

Перечитав их инструкцию при составлении заявления (прилагается внутри заявления) я заполнил соответствующие графы и благополучно стал ждать. Но спустя сутки (примерно) обнаружил письмо счастья(в кабинете), что мне отказано ибо есть ошибки в файлах .csr(запрос на выпуск сертификата) -отсутствуют необходимые поля.

Получение национального сертификата для своего домена (ЮЛ) через ГосУслуги Полезное, Госуслуги, TLS, Сертификат безопасности, Инструкция, Длиннопост

Видимо я что то сделал не так когда генерировал эти самые .csr. В итоге решил выложить инструкцию как правильно подготовить необходимый файл чтобы он подходил под требования Минцифры (на ресурсе не нашел похожих статей). Может кому нибудь будет полезно. Погнали.


1. Для создания запроса на выпуск tls-сертификата предварительно установите приложение openssl.

Windows:

https://slproweb.com/products/Win32OpenSSL.html, там выбираете свою разрядность ОС: 32 или 64 (у меня 64)

Linux:

Да если у тебя линукс то для этого всего тебе вообще нечего не нужно объяснять:) привет красноглазикам и любителям man)

Далее откройте командную строку. В нашем случае CMD (Win+R и вводим cmd).


Если закрытого ключа нет то делаем так:


Windows

В командной строке введите:

"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out test.csr -new -subj"/C=RU/ST=Moscow/L=Moscow/O=My super company/CN=*.mydomain.ru" -addext "keyUsage = digitalSignature,keyEncipherment" -addext "subjectAltName = DNS:mydomain.ru, DNS:www.mydomain.ru,DNS:*.mydomain.ru" -addext "extendedKeyUsage = serverAuth" -newkey rsa:2048 -nodes-keyout newKey.key


где:

• test.csr – наименование запроса, например, mydomain.csr

• C – двухбуквенный код страны, для России – RU

• ST – район, область, например, Moscow

• L – полное название города, например, Moscow

• O - официальное название организации, например, My super company

• CN – имя домена, на который оформляется TLS-сертификат. Например*.mydomain.ru.


Для доменных имён на русском языке следует указывать конвертированное с помощью метода punycode значение.

Например, кто.рф

При заполнении параметров ST/L/O/OU кириллицей необходимо создать в «C:\Program Files\OpenSSL-Win64\bin\cnf» конфигурационный файл mydomain.cnf, заполнить его так:

[req]

prompt = no

distinguished_name = dn

[dn]

C = RU

ST = Москва

L = Москва

O = Тестовая Организация

OU = Тестовый департамент

CN = *.mydomain.ru

и изменить команду перед выполнением:

«"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out test.csr -new -addext"keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName =DNS:mydomain.ru, DNS:www.mydomain.ru, DNS:*.mydomain.ru" -addext"extendedKeyUsage = serverAuth" -utf8 -config "C:\ProgramFiles\OpenSSL-Win64\bin\cnf\mydomain.cnf" -newkey rsa:2048 -nodes -keyoutnewKey.key»

где:

• keyUsage – расширение, определяющее назначение ключа. В запросе обязательно должны присутствовать digitalSignature и keyEncipherment, иные –при необходимости

• subjectAltName – расширение, определяющее альтернативное имя субъекта(DNS-имя). Обязательно должно быть указано хотя бы одно значение. Пример записи: subjectAltName = DNS:mydomain.ru

• extendedKeyUsage – расширение, определяющее расширенное назначение ключа; в запросе обязательно должно присутствовать serverAuth, иные – при необходимости

• newKey.key – наименование нового ключа, например, mydomain.key


Проверить созданный запрос можно с помощью следующей команды:

"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "\path\to\test.csr" -noout-text»

,"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "\path\to\test.csr" -noout-text -nameopt utf8» - при заполнении параметров ST/L/O/OU кириллицей,

где:

• test.csr – наименование созданного запроса


Linux

В командной строке введите:

openssl req -out test1.csr -new \-subj "/C=RU/ST=Moscow/L=Moscow/O=My super company/CN=*.mydomain.ru" \-addext "keyUsage = digitalSignature, keyEncipherment" \-addext "subjectAltName = DNS:mydomain.ru, DNS:www.mydomain.ru, DNS:*.mydomain.ru" \-addext "extendedKeyUsage = serverAuth" \-newkey rsa:2048 -nodes -keyout newKey.key

где:

• test1.csr – наименование запроса, например, mydomain.csr

• C – двухбуквенный код страны, для России – RU

• ST – район, область, например, Moscow

• L – полное название города, например, Moscow

• O - официальное название организации, например, My super company

• CN – имя домена, на который оформляется TLS-сертификат. Например,*.mydomain.ru.


Для доменных имён на русском языке следует указывать конвертированное с помощью метода punycode значение, например, кто.рф

При заполнении параметров ST/L/O/OU кириллицей в запросе укажите ключ «-utf8».

Например:

openssl req -out test1.csr -new -subj "/C=RU/ST=Москва/L=Москва/O=Тестовая Организация/OU=Тестовый департамент/CN=*.mydomain.ru" -addext"keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName =DNS:mydomain.ru, DNS:www.mydomain.ru, DNS:*.mydomain.ru" -addext"extendedKeyUsage = serverAuth" -utf8 newkey rsa:2048 -nodes -keyout newKey.key

где:

• keyUsage – расширение, определяющее назначение ключа. В запросе обязательно должны присутствовать digitalSignature и keyEncipherment, иные –при необходимости

• subjectAltName – расширение, определяющее альтернативное имя субъекта(DNS имя). Обязательно укажите хотя бы одно значение. Пример записи:subjectAltName = DNS:mydomain.ru.

• extendedKeyUsage – расширение, определяющее расширенное назначение ключа. В запросе обязательно должно присутствовать serverAuth, иные – при необходимости

• newKey.key – наименование нового ключа. Например, mydomain.key


Проверить созданный запрос можно с помощью следующей команды:

«openssl req -in test1.csr -noout -text»

«openssl req -in test1.csr -noout -text -nameopt utf8» — при заполнении параметров ST/L/O/OU кириллицей

где:

• test1.csr – наименование созданного запроса



Двигаемся дальше, тем у кого есть ключ:

(Рекомендуется генерировать новый закрытый ключ всякий раз, когда вы генерируете файл CSR)


Windows

В командной строке введите:

"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out test2.csr -new -subj"/C=RU/ST=Moscow/L=Moscow/O=My super company/CN=*.mydomain.ru" -addext "keyUsage = digitalSignature,keyEncipherment" -addext "subjectAltName = DNS:mydomain.ru, DNS:www.mydomain.ru,DNS:*.mydomain.ru" -addext "extendedKeyUsage = serverAuth" -key/path/to/existsKey.key

где:

• test2.csr – наименование запроса, например, mydomain.csr

• C – двухбуквенный код страны, для России – RU

• ST – район, область, например, Moscow

• L – полное название города, например, Moscow

• O - официальное название организации, например, My super company

• CN – имя домена, на который оформляется TLS-сертификат, например*.mydomain.ru.


Для доменных имён на русском языке следует указывать конвертированное с помощью метода punycode значение, например, кто.рф

При заполнении параметров ST/L/O/OU кириллицей необходимо создать в «C:\Program Files\OpenSSL-Win64\bin\cnf» конфигурационный файл mydomain.cnf, заполнить его так:

[req]

prompt = no

distinguished_name = dn

[dn]

C = RU

ST = Москва

L = Москва

O = Тестовая Организация

OU = Тестовый департамент

CN = *.mydomain.ru

и изменить команду перед выполнением:

"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out test2.csr -new -addext"keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName =DNS:mydomain.ru, DNS:www.mydomain.ru, DNS:*.mydomain.ru" -addext"extendedKeyUsage = serverAuth" -utf8 -config "C:\ProgramFiles\OpenSSL-Win64\bin\cnf\mydomain.cnf" -key /path/to/existsKey.key

где:

• keyUsage – расширение, определяющее назначение ключа; в запросе обязательно должны присутствовать digitalSignature и keyEncipherment, иные –при необходимости

• subjectAltName – расширение, определяющее альтернативное имя субъекта(DNS-имя). Обязательно должно быть указано хотя бы одно значение. Пример записи: subjectAltName = DNS:mydomain.ru

• extendedKeyUsage – расширение, определяющее расширенное назначение ключа; в запросе обязательно должно присутствовать serverAuth, иные – при необходимости

• newKey.key – наименование нового ключа, например, mydomain.key


Проверить созданный запрос можно с помощью следующей команды:

"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "\path\to\test2.csr" -noout-text»

«"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "\path\to\test2.csr" -noout-text -nameopt utf8» - при заполнении параметров ST/L/O/OU кириллицей

где:

• test2.csr – наименование созданного запроса


Linux

В командной строке введите:

openssl req -out test3.csr -new \-subj "/C=RU/ST=Moscow/L=Moscow/O=My super company/CN=*.mydomain.ru" \-addext "keyUsage = digitalSignature, keyEncipherment" \-addext "subjectAltName = DNS:mydomain.ru, DNS:www.mydomain.ru,DNS:*.mydomain.ru" \-addext "extendedKeyUsage = serverAuth" \-key /path/to/existsKey.key

где:

• test2.csr – наименование запроса, например, mydomain.csr

• C – двухбуквенный код страны, для России – RU

• ST – район, область, например, Moscow

• L – полное название города, например, Moscow

• O - официальное название организации. Например, My super company

• CN – имя домена, на который оформляется TLS-сертификат. Например, mydomain.ru.


Для доменных имён на русском языке следует указывать конвертированное с помощью метода punycode значение, например,кто.рф

При заполнении параметров ST/L/O/OU кириллицей необходимо в запросе указывать ключ «-utf8».

Например:

openssl req -out test3.csr -new -subj "/C=RU/ST=Москва/L=Москва/O=Тестовая Организация/OU=Тестовый департамент/CN=*.mydomain.ru" -addext "keyUsage = digitalSignature,keyEncipherment" -addext "subjectAltName = DNS:mydomain.ru, DNS:www.mydomain.ru,DNS:*.mydomain.ru" -addext "extendedKeyUsage = serverAuth" -utf8 -key/path/to/existsKey.key

где:

• keyUsage – расширение, определяющее назначение ключа. В запросе обязательно должны присутствовать digitalSignature и keyEncipherment, иные –при необходимости

• subjectAltName – расширение, определяющее альтернативное имя субъекта(DNS-имя). Обязательно должно быть указано хотя бы одно значение. Пример записи: subjectAltName = DNS:mydomain.ru

• extendedKeyUsage – расширение, определяющее расширенное назначение ключа; в запросе обязательно должно присутствовать serverAuth, иные – принеобходимости

• existsKey.key – наименование существующего ключа, например, mydomain.key


Проверить созданный запрос можно с помощью следующей команды:

openssl req -in test3.csr -noout -text

openssl req -in test3.csr -noout -text -nameopt utf8 - при заполнении параметров ST/L/O/OU кириллицей

где:

• test3.csr – наименование созданного запроса


Ну а дальше как говорится "Добро пожаловать" сюда: https://www.gosuslugi.ru/tls

Получение национального сертификата для своего домена (ЮЛ) через ГосУслуги Полезное, Госуслуги, TLS, Сертификат безопасности, Инструкция, Длиннопост

Первая ссылка ведет нас в мир невероятных приключений): "Проверь насколько глубока кроличья нора, Алиса"

Вторая покажет нам домены которые уже получили Национальный сертификат от Минцифры

Третья даст нам сертификат для добавления в корневые.


И самое главное не забудьте положить сгенерированный вами .csr файл в каталог /tls/ в корне вашего сайта. Пример: https://google.com/tls/test.csr

Именно такой путь необходимо указывать при заполнении заявления.

Показать полностью 2
Полезное Госуслуги TLS Сертификат безопасности Инструкция Длиннопост
6
13
mrsurok
mrsurok
3 года назад

Минцифры рекомендует пользователям Госуслуг перейти на российские браузеры⁠⁠

Хех, браузер Амиго теперь рекомендует сама Минцыфры. Правда, теперь он называется Атом. А чуть где то между ними был еще браузер gobro (Знакомьтесь, новый браузер от холдинга с креативным именем GoBro). Но это все так же браузер от Мэйлру, который никак нельзя было вычистить из системы и который лез из любого дистрибутива/сайта.

Минцифры рекомендует пользователям Госуслуг перейти на российские браузеры Мемы, Каламбур, Политика, Mail ru, Грустный юмор, Безопасность, TLS

Пользователям Госуслуг рекомендуется установить браузеры, которые поддерживают российский сертификат безопасности связи, например, "Яндекс.Браузер" и "Атом", для лучшего доступа к порталу и другим сайтам, говорится в сообщении Минцифры.

"Некоторые сайты сейчас могут не открываться. Это связано с проблемами в работе центров сертификации, которые проверяют безопасность и надёжность интернет-ресурсов. Чтобы иметь доступ ко всем сайтам и нужным онлайн-сервисам, в том числе к Госуслугам, рекомендуем установить браузеры, которые поддерживают российский сертификат", - говорится в сообщении Минцифры, разосланном пользователям Госуслуг.

В нём уточняется, что "сейчас такая функциональность есть, например, у "Яндекс.Браузера" или Атома".

Браузер Atom разработан компанией Mail.ru Group (сейчас VK), это браузер с синхронизацией VK Connect.

4 марта Минцифры сообщило, что в ближайшее время будут приняты нормативно-правовые акты, регулирующие работу национального удостоверяющего центра по бесплатной выдаче TLS-сертификатов российским юридическим лицам, что поможет пользователям сохранить безопасный доступ к сайтам, у которых был отозван TLS. TLS (Transport Layer Security) - криптографический протокол для организации безопасной связи в интернете.

В ведомстве уточнили, что получить TLS-сертификат можно будет на портале Госуслуг в полностью дистанционном режиме. Все браузеры и операционные системы должны будут поддержать работу TLS-сертификатов на сайтах, которые их получат, а полный перечень доменов, на которые выданы сертификаты, можно будет увидеть на портале Госуслуг.

https://www.interfax.ru/russia/827230

Показать полностью
Мемы Каламбур Политика Mail ru Грустный юмор Безопасность TLS
15
EgorKuzevanov
3 года назад
Бестолковые вопросы

Вопрос по поводу HTTPS, TLS 1.2 и старых браузеров⁠⁠

Кто-нибудь может мне объяснить, зачем компании Google и Mozilla обязывают абсолютно все современные сайты переходить на HTTPS и новые шифры для TLS 1.2 (AES_128_GCM, AES_256_GCM, ChaCha20_Poly1305) и отключать поддержку старых шифров для TLS 1.2 (DHE_RSA_SHA256, DHE_DSS_SHA256, DH_RSA_SHA256, DH_DSS_SHA256)? Ведь новые шифры для TLS 1.2 (AES_128_GCM, AES_256_GCM, ChaCha20_Poly1305) не поддерживаются старыми браузерами, работающими под Windows 98 и Windows 2000 (Opera 9.64, Opera 10.63, Opera 12.02, Mozilla Firefox 2.0.0.20, Mozilla Firefox 12.0). В результате старые браузеры для Windows 98/2000 выдают ошибки типа "ssl_error_no_cypher_overlap" и "Не удалось квитировать соединение, так как сервер не принимает доступные версии протокола SSL/TLS".

Интернет Браузер Https TLS Windows 98 Google Mozilla Windows Ретро Ретро компьютер Старый ПК Старый Даунгрейд Сайт Шифр Шифрование Текст
26
4
alagopus
alagopus
3 года назад
IT-юмор

Сертификаты... или лыжи не едут⁠⁠

последние три года судьба наказывает меня работать с людьми, которые (мягко говоря) не полностью знают как работают сертификаты, TLS, IPsec и прочие сложные штучки. свежий пример, над которым никто не собирается работать последние шесть месяцев.



уровень 1: Root CA signed by Root CA (нормально), но отсуствуют поля CRL и OCSP

уровень 2: Level 2 Server CA signed by Root CA (нормально), поля CRL и OCSP присуствуют (уже хорошо), но... содержат URI:http://localhost:8080/

уровень 3: без разницы


по мелочам: URI OCSP второго сертификата содержит параметр "issuer=CN=Root%20CA"


вопрос для очистки кармы: как проверить отозван ли какой либо сертификат в цепи, или серверу можно доверять?

Сертификаты... или лыжи не едут IT юмор, TLS, Сертификат, Не смешно
Показать полностью 1
[моё] IT юмор TLS Сертификат Не смешно
22
EgorKuzevanov
4 года назад
Программы и Браузеры

Проблема TLS + Windows XP/Vista + Google Chrome 49 + autoit-script.ru⁠⁠

При попытке зайти на русскоязычный форум по скриптовому языку AutoIt https://autoit-script.ru через браузер Google Chrome 49.0.2623.112 на Windows XP SP3 и Windows Vista SP2 выскакивает следующая ошибка, при этом доступ к форуму блокируется:

Этот сайт не может обеспечить безопасное соединение
На сайте autoit-script.ru используется неподдерживаемый протокол.
ERR SSL_VERSION_OR_CIPHER_MISMATCH
В большинстве случаев проблема в устаревшей версии Windows. В Windows ниже 7-ки в Google Chrome этот форум не работает и вряд ли уже когда-нибудь заработает. Единственное решение - обновление до Windows 7 и выше.
Проблема TLS + Windows XP/Vista + Google Chrome 49 + autoit-script.ru Безопасность, Https, TLS, Шифр, Google Chrome, Windows, Windows XP, Vista, Autoit, Браузер, Форум

Убедитесь сами: https://www.ssllabs.com/ssltest/analyze.html?d=autoit-script...

Причина в том, что поддерживаемые данным форумом 2 несчастных набора шифров TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 и TLS_CHACHA20_POLY1305_SHA256 появились только в современных версиях Google Chrome для Windows 7 и выше. Браузер Mozilla Firefox 52.9 ESR и браузеры на его движке (Pale Moon, Mypal, Centaury, Serpent, New Moon, K-Meleon), в отличие от Internet Explorer и Google Chrome, не пользуются встроенными в Windows XP/Vista наборами шифров, а используют свои собственные и всегда свежие наборы шифров, поэтому в них этот форум открывается.

Показать полностью 1
Безопасность Https TLS Шифр Google Chrome Windows Windows XP Vista Autoit Браузер Форум
12
136
meteozond
4 года назад
Лига Сисадминов

Решение проблемы TLS + Internet Explorer + roskazna.ru⁠⁠

Решение проблемы TLS + Internet Explorer + roskazna.ru Безопасность, Https, TLS, Шифр, Internet Explorer, Ie11, Windows, Длиннопост

Не удается оботразить эту страницу

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://roskazna.ru . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.

Так как в сети ни решения ни описания проблемы просто физически нет, а с профильного форума мой пост без объяснения причин снесли модераторы, дублирую здесь, что бы помочь всем бедолагам получающим данное сообщение.

В большинстве случаев проблема в старой версии Windows. В Windows ниже 10-ки в IE этот сайт  не работает и вряд ли уже когда-нибудь заработает. Единственное решение - обновление на 10ку и выше. 

Решение проблемы TLS + Internet Explorer + roskazna.ru Безопасность, Https, TLS, Шифр, Internet Explorer, Ie11, Windows, Длиннопост

Убедитесь сами https://www.ssllabs.com/ssltest/analyze.html?d=moufk.roskazn...

Причина в том, что поддерживаемые данным сайтом 2 несчастных набора шифров TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 появились только в 10-ке. Firefox и Chrome в отличии от Internet Explorer не пользуются встроенными в Windows наборами шифров, а используют свои всегда свежие - поэтому в них этот сайт открывается.

И это при том, что для нормальной работы всего софта официально рекомендуется версия не ниже 7-ки.

Благодаря высочайшей информативности страниц с ошибками Internet Explorer 11, простому смертному, незнакомому с секретными наречиями Парселтанга и прочей черной магией, самостоятельно узнать об этом не суждено никогда. Лично мне удалось докопаться до этого только сравнивая перехваченные WireShark сетевые пакеты IE и Chrome, сканируя сервер через nmap. А потом гугля причину отсутствия потеряшек. И это после того, как я несколько дней безуспешно бился с реестром и оснасткой групповых политик, которую еще надо было исхитриться установить на ту кастрированную винду с которой ко мне пришел бедолага.

Вот тут список поддерживаемых Windows 8.1 шифров и эти шифры там отсутствуют

https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-...

А вот тут, в Windows 10, они есть:

https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-...

Собственно наглядно, результат работы nmap - набор шифров курильщика:

Решение проблемы TLS + Internet Explorer + roskazna.ru Безопасность, Https, TLS, Шифр, Internet Explorer, Ie11, Windows, Длиннопост

И для сравнения - набор шифров почти здорового человека:

Решение проблемы TLS + Internet Explorer + roskazna.ru Безопасность, Https, TLS, Шифр, Internet Explorer, Ie11, Windows, Длиннопост

Как-то так. Берегите себя - сканируйте порты, перехватывайте пакеты и оставьте в покое реестр,  групповые политики и свойства обозревателя

Показать полностью 3
Безопасность Https TLS Шифр Internet Explorer Ie11 Windows Длиннопост
89
28
noiled
noiled
6 лет назад
Информационная безопасность IT

ADCs how-to или Шифрование в Direct Connect⁠⁠

Direct Connect. Дисишка. Локалка и люди. Стронг и все-все-все.


Олдфаги, ещё помните такое? Представьте, на просторах Интернета оно ещё живое и всеми конечностями держится за своё существование. Как именно — вопрос отдельный.


Я тут на досуге решил научить работать DC через TLS. А что? Инфы на хабах полно, а протокол текстовый, читается Яровой, при необходимости, влёт.

В-общем, модно и злободневно.


Итак, что нужно, чтобы задействовать шифрование в Direct Connect?


Для этого требуется, во-первых, ADCs хаб (NMDCs хабов не существует).

Строго говоря, можно использовать и обычный ADC хаб, но с непредсказуемым результатом.

Во-вторых, нужен современный правильно настроенный DC клиент. Стронг не подойдёт, ага.


Как настроить DC клиент для работы на ADCs хабе?


В настройках клиента нужно заглянуть в раздел Encryption, он же Security & certificates или Безопасность.

Излишне упоминать, что при использовании активного режима TCP порт для TLS также должен быть проброшен.


DC++

ADCs how-to или Шифрование в Direct Connect TLS, Шифрование, DC++, Информационная безопасность, Длиннопост, Пакет Яровой

Обратите внимание, личные сообщения также можно отправлять по зашифрованному каналу, "мимо" хаба.


AirDC++

ADCs how-to или Шифрование в Direct Connect TLS, Шифрование, DC++, Информационная безопасность, Длиннопост, Пакет Яровой

Самый наглядный. Он покажет, если клиент, с которым Вы устанавливаете защищённое соединение, не настроен должным образом. Тоже умеет шифровать личные сообщения.


ApexDC++

ADCs how-to или Шифрование в Direct Connect TLS, Шифрование, DC++, Информационная безопасность, Длиннопост, Пакет Яровой

Самый невнятный. По состоянию на сегодняшний день добиться с его помощью соединений только по зашифрованному каналу не представляется возможным.

Так или иначе, это лучший вариант для использования вместо напрочь устаревшего StrongDC++.


FlylinkDC++

ADCs how-to или Шифрование в Direct Connect TLS, Шифрование, DC++, Информационная безопасность, Длиннопост, Пакет Яровой

Самый строгий и самый неадекватный. Перевод опций безопасности (как и в AirDC++) ошибочен, а по умолчанию клиент игнорирует безопасные соединения и разрешает обычные, что...неразумно.


В случае успешной установки соединения с помощью TLS (например, при скачивании файллиста) колонка Cipher или Шифр в окошке передач будет заполнена.

ADCs how-to или Шифрование в Direct Connect TLS, Шифрование, DC++, Информационная безопасность, Длиннопост, Пакет Яровой
Показать полностью 5
[моё] TLS Шифрование DC++ Информационная безопасность Длиннопост Пакет Яровой
9
Посты не найдены
О Нас
О Пикабу
Контакты
Реклама
Сообщить об ошибке
Сообщить о нарушении законодательства
Отзывы и предложения
Новости Пикабу
RSS
Информация
Помощь
Кодекс Пикабу
Награды
Команда Пикабу
Бан-лист
Конфиденциальность
Правила соцсети
О рекомендациях
Наши проекты
Блоги
Работа
Промокоды
Игры
Скидки
Курсы
Зал славы
Mobile
Мобильное приложение
Партнёры
Промокоды Biggeek
Промокоды Маркет Деливери
Промокоды Яндекс Путешествия
Промокоды М.Видео
Промокоды в Ленте Онлайн
Промокоды Тефаль
Промокоды Сбермаркет
Промокоды Спортмастер
Постила
Футбол сегодня
На информационном ресурсе Pikabu.ru применяются рекомендательные технологии