* [devel] Анонс https на packages.altlinux.org и просьба потестировать
@ 2016-02-18 21:39 Igor Zubkov
2016-02-19 5:56 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 9+ messages in thread
From: Igor Zubkov @ 2016-02-18 21:39 UTC (permalink / raw)
To: ALT Linux Team development discussions
Привет,
packages.altlinux.org теперь доступен по https.
Просьба потестировать в доступных браузерах и отписать.
Я проверил в следующих доступных браузерах:
1. Safari на Mac OS X 10.7. Работает.
2. iOS 9.2.1. Работает.
3. Последний Google Chrome на OSX. Работает.
4. Последний Firefox на OSX. Работает.
5. Какая-то Opera на OSX. Работает.
Если у кого есть MS Windows и их ущербный браузера, отпишите как оно.
У меня просто негде.
SSL сертификат предоставлен компание GoDaddy в рамках их программы по
поддержке open source проектов. Сертификат выдан на год.
Ну и вопрос. Нам еще нужен p.a.o доступный по http? Или сделать
редирект на https?
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
2016-02-18 21:39 [devel] Анонс https на packages.altlinux.org и просьба потестировать Igor Zubkov
@ 2016-02-19 5:56 ` Anton Farygin
2016-02-19 10:21 ` Sergey Afonin
2016-03-10 19:00 ` Sergey Y. Afonin
2 siblings, 1 reply; 9+ messages in thread
From: Anton Farygin @ 2016-02-19 5:56 UTC (permalink / raw)
To: devel
On 19.02.2016 00:39, Igor Zubkov wrote:
> Привет,
>
> packages.altlinux.org теперь доступен по https.
>
> Просьба потестировать в доступных браузерах и отписать.
>
> Я проверил в следующих доступных браузерах:
> 1. Safari на Mac OS X 10.7. Работает.
> 2. iOS 9.2.1. Работает.
> 3. Последний Google Chrome на OSX. Работает.
> 4. Последний Firefox на OSX. Работает.
> 5. Какая-то Opera на OSX. Работает.
>
> Если у кого есть MS Windows и их ущербный браузера, отпишите как оно.
> У меня просто негде.
>
> SSL сертификат предоставлен компание GoDaddy в рамках их программы по
> поддержке open source проектов. Сертификат выдан на год.
>
> Ну и вопрос. Нам еще нужен p.a.o доступный по http? Или сделать
> редирект на https?
>
А зачем нам на packages https по умолчанию ? кто-то там логинится ?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
@ 2016-02-19 9:07 ` Igor Zubkov
0 siblings, 1 reply; 9+ messages in thread
From: Igor Zubkov @ 2016-02-19 9:07 UTC (permalink / raw)
To: ALT Linux Team development discussions
2016-02-19 5:33 GMT+02:00 Vladimir Didenko:
> 19 февраля 2016 г., 0:39 пользователь Igor Zubkov написал:
>>
>> Привет,
>>
>> packages.altlinux.org теперь доступен по https.
>>
>> Просьба потестировать в доступных браузерах и отписать.
>
>
> А поддержку SSL 3.0, может, лучше отключить? И еще sslabs жалуется на
> поддержку слабого Диффи-Хеллмана
>
> https://www.ssllabs.com/ssltest/analyze.html?d=packages.altlinux.org
Вот это и требовалось. SSL 3.0 я думал что выключен. Это же настройки
по умолчанию в nginx. Как оказалось, он не так безопасен с настройками
из коробки. Настрою как будет время.
А вот с DH я боюсь что наверно никак. Только покупать новый сертификат.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
2016-02-19 5:56 ` Anton Farygin
@ 2016-02-19 10:21 ` Sergey Afonin
0 siblings, 0 replies; 9+ messages in thread
From: Sergey Afonin @ 2016-02-19 10:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday 19 February 2016, Anton Farygin wrote:
> > Ну и вопрос. Нам еще нужен p.a.o доступный по http ?
> > Или сделать редирект на https ?
> А зачем нам на packages https по умолчанию ?
Мне тоже кажется, что https там только для борьбы с
непонятными желаниями FireFox нужен. http стоит оставить.
--
С уважением, Сергей Афонин.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
@ 2016-02-23 14:10 ` Igor Zubkov
0 siblings, 1 reply; 9+ messages in thread
From: Igor Zubkov @ 2016-02-23 14:10 UTC (permalink / raw)
To: ALT Linux Team development discussions
2016-02-19 12:45 GMT+02:00 Vladimir Didenko <vladimir.didenko@gmail.com>:
> 19 февраля 2016 г., 12:07 пользователь Igor Zubkov написал:
>>
>>
>> А вот с DH я боюсь что наверно никак. Только покупать новый сертификат.
>
>
> Причем здесь сертификат. Нужно лишь nginx сказать другие параметры
> использовать
>
> https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html#Forward_Secrecy_&_Diffie_Hellman_Ephemeral_Parameters
https://www.ssllabs.com/ssltest/analyze.html?d=packages.altlinux.org так лучше?
Конфиг nginx (актуальный) --
https://github.com/biow0lf/prometheus2.0/blob/master/nginx.conf#L99-L113
Осталось настроить OCSP Stapling и HTTP Public Key Pinning Extension.
Я пока не знаю что это, но там это тоже вроде рекомендуют настроить.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
@ 2016-02-24 9:20 ` Igor Zubkov
0 siblings, 0 replies; 9+ messages in thread
From: Igor Zubkov @ 2016-02-24 9:20 UTC (permalink / raw)
To: ALT Linux Team development discussions
2016-02-23 16:37 GMT+02:00 Vladimir Didenko:
> 23 февраля 2016 г., 17:10 пользователь Igor Zubkov написал:
>> https://www.ssllabs.com/ssltest/analyze.html?d=packages.altlinux.org так
>> лучше?
>
> Ага, хотя часть пользователей с древним ПО и не достучится.
Это на сколько старое железо и всё остальное надо иметь что бы не
заработало? Такому железу место в музее.
>> Осталось настроить OCSP Stapling и HTTP Public Key Pinning Extension.
>> Я пока не знаю что это, но там это тоже вроде рекомендуют настроить.
>
> Это вещи хорошие, но опциональные. Особенно осторожно нужно быть с HPKP - не
> делать большой период пининга, иначе в случае переезда на новый сертификат
> от другого CA будут проблемы с доступом.
Приму к сведению.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
2016-02-18 21:39 [devel] Анонс https на packages.altlinux.org и просьба потестировать Igor Zubkov
2016-02-19 5:56 ` Anton Farygin
@ 2016-03-10 19:00 ` Sergey Y. Afonin
2016-03-12 14:12 ` Igor Zubkov
2 siblings, 1 reply; 9+ messages in thread
From: Sergey Y. Afonin @ 2016-03-10 19:00 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday 19 February 2016, Igor Zubkov wrote:
> packages.altlinux.org теперь доступен по https.
>
> Просьба потестировать в доступных браузерах и отписать.
В Pale Moon по http долго висит на попытке прказать баннер Godaddy.
Как было раньше не знаю, не пробовал.
--
С уважением, Сергей Афонин
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
2016-03-10 19:00 ` Sergey Y. Afonin
@ 2016-03-12 14:12 ` Igor Zubkov
2016-03-14 8:54 ` Sergey Afonin
0 siblings, 1 reply; 9+ messages in thread
From: Igor Zubkov @ 2016-03-12 14:12 UTC (permalink / raw)
To: ALT Linux Team development discussions
2016-03-10 21:00 GMT+02:00 Sergey Y. Afonin:
> On Friday 19 February 2016, Igor Zubkov wrote:
>> packages.altlinux.org теперь доступен по https.
>>
>> Просьба потестировать в доступных браузерах и отписать.
>
> В Pale Moon по http долго висит на попытке прказать баннер Godaddy.
> Как было раньше не знаю, не пробовал.
Оказывается что такое же поведение и в других браузерах. У меня в
Safari на странице отображается только заголовок и долго висит на этом
баннере. И через какое-то время всё таки отрисовывает всю страницу.
Надо убрать этот банер.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] Анонс https на packages.altlinux.org и просьба потестировать
2016-03-12 14:12 ` Igor Zubkov
@ 2016-03-14 8:54 ` Sergey Afonin
0 siblings, 0 replies; 9+ messages in thread
From: Sergey Afonin @ 2016-03-14 8:54 UTC (permalink / raw)
To: devel
On Saturday 12 March 2016, Igor Zubkov wrote:
> > В Pale Moon по http долго висит на попытке прказать баннер
> > Godaddy. Как было раньше не знаю, не пробовал.
>
> Оказывается что такое же поведение и в других браузерах.
Видимо, это какой-то кэш в FF положительно на скорость влиял.
То ли его собственный, то ли Squid.
> Надо убрать этот банер.
А нет метода показывать в самом конце ? Чтобы всё уже отрисовалось,
и можно было бы пользоваться интерфейсом поиска/просмотра ?
--
С уважением, Сергей Афонин.
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2016-03-14 8:54 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2016-02-18 21:39 [devel] Анонс https на packages.altlinux.org и просьба потестировать Igor Zubkov
2016-02-19 5:56 ` Anton Farygin
2016-02-19 10:21 ` Sergey Afonin
2016-02-19 9:07 ` Igor Zubkov
2016-02-23 14:10 ` Igor Zubkov
2016-02-24 9:20 ` Igor Zubkov
2016-03-10 19:00 ` Sergey Y. Afonin
2016-03-12 14:12 ` Igor Zubkov
2016-03-14 8:54 ` Sergey Afonin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git