Přihlášení | Registrace

napište » Zprávičky

včera 23:33 | Nová verze

Společnost comma.ai po třech letech od vydání verze 0.9 vydala novou verzi 0.10 open source pokročilého asistenčního systému pro řidiče openpilot (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0

Ubuntu 25.10 (Questing Quokka) Snapshot 4

včera 21:55 | Nová verze

Ubuntu nově pro testování nových verzí vydává měsíční snapshoty. Dnes vyšel 4. snapshot Ubuntu 25.10 (Questing Quokka).

Ladislav Hagara | Komentářů: 0

NVIDIA Jetson Thor

včera 14:11 | IT novinky

Řada vestavěných počítačových desek a vývojových platforem NVIDIA Jetson se rozrostla o NVIDIA Jetson Thor. Ve srovnání se svým předchůdcem NVIDIA Jetson Orin nabízí 7,5krát vyšší výpočetní výkon umělé inteligence a 3,5krát vyšší energetickou účinnost. Softwarový stack NVIDIA JetPack 7 je založen na Ubuntu 24.04 LTS.

Ladislav Hagara | Komentářů: 2

NÚKIB spolu s NSA a dalšími americkými úřady upozorňuje na čínského aktéra Salt Typhoon, který kompromituje sítě po celém světě

včera 00:44 | Bezpečnostní upozornění

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spolu s NSA a dalšími americkými úřady upozorňuje (en) na čínského aktéra Salt Typhoon, který kompromituje sítě po celém světě.

Ladislav Hagara | Komentářů: 21

Nový výkonnější Framework Laptop 16

27.8. 16:33 | IT novinky

Společnost Framework Computer představila (YouTube) nový výkonnější Framework Laptop 16. Rozhodnou se lze například pro procesor Ryzen AI 9 HX 370 a grafickou kartu NVIDIA GeForce RTX 5070.

Ladislav Hagara | Komentářů: 1

Google bude vyžadovat ověření identity vývojářů aplikací pro Android

27.8. 14:22 | IT novinky

Google oznamuje, že na „certifikovaných“ zařízeních s Androidem omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Tato politika bude implementována během roku 2026 ve vybraných zemích (jihovýchodní Asie, Brazílie) a od roku 2027 celosvětově.

Fluttershy, yay! | Komentářů: 7

LLVM 21.1.0

27.8. 13:11 | Nová verze

Byla vydána nová verze 21.1.0, tj. první stabilní verze z nové řady 21.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.

Ladislav Hagara | Komentářů: 0

Alyssa Anne Rosenzweig opustila Asahi Linux a nastoupila do Intelu

27.8. 05:11 | Komunita

Alyssa Anne Rosenzweig v příspěvku na svém blogu oznámila, že opustila Asahi Linux a nastoupila do Intelu. Místo Apple M1 a M2 se bude věnovat architektuře Intel Xe-HPG.

Ladislav Hagara | Komentářů: 18

EU chce (pořád) skenovat soukromé zprávy a fotografie

26.8. 12:55 | IT novinky

EU chce (pořád) skenovat soukromé zprávy a fotografie. Návrh "Chat Control" by nařídil skenování všech soukromých digitálních komunikací, včetně šifrovaných zpráv a fotografií.

Ladislav Hagara | Komentářů: 67

Videozáznamy z konference PyCon US 2025

26.8. 12:11 | Nová verze

Byly publikovány fotografie a všechny videozáznamy z Python konference PyCon US 2025 proběhlé v květnu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (79%)

Panely (9%)

Záložky (3%)

Listy (4%)

Něco jiného (5%)

Nic (1%)

Celkem 104 hlasů

Komentářů: 9, poslední včera 11:53

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / https Intranet only

Štítky: certifikat, doména, http, Internet, problém, řešení, Self, signed, web

Dotaz: https Intranet only

6.3.2021 20:24 otasomil | skóre: 39 | blog: puppylinux
https Intranet only

Přečteno: 940×

Odpovědět | Admin

Zdravim ve spolek
Resim takovy drobny problem ktery jaksezda je trivialni jen visi na lidech a jejich opatrnosti na miste kde to teda neni treba a aktivite modernich browseru neustale usera upozornovat ze prihlasovani na tomto webu neni bezpecne... Jedna se totiz o web na lokalni siti kde je vcelku zbytecne mit https, jenze obycejne http je zdrojem podobnych hlasek. Tudiz zda jde nejak jednoduse nasadit https na web intranet s Apache2. Nemam tim na mysli self signed certifikat ktery treba Chrome/mium opakovane ignoruje a prudi usera. Cili je nejake reseni s timto vydupat, mit https na lokalni adrese 192.168... aniz bych neustale resil dotazy ze to nejde, nejede , pise ze je nebezpecne... Pridavam info ze domena neni, jen IP, dostupnost zvenci neni.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

Nástroje: Začni sledovat (0) ?

Odpovědi

6.3.2021 22:21 panika
Rozbalit Rozbalit vše Re: https Intranet only

tak si domenu kup a mas to vyreseny. ja si je hostuju u wedosu a i kdyz si umim predstavit lepsi api, tak to s certbotem funguje. adresu si do dns das jakou chces, ja to s lokalnima provozuju. mozna mi neco unika tak me nakopni :)

6.3.2021 23:36 billgates | skóre: 27
Rozbalit Rozbalit vše Re: https Intranet only

Ja si skor jeho otazku interpretujem tak, ze proste do prehliadaca zada http://192.168.14.88/ a prehliadac mu picuje, ze je to nebezpecna symbolika. Pyta sa teda, ci sa da nejako prejst na https://192.168.14.88/ bez toho, aby mu do toho prehliadac picoval.

Ale moj nazor je tiez ten, ze normalne na tieto ucely kupit domenu, idealne nejaku, co stoji euro na rok a pouzivat ju na taketo ucely, pricom certy si vystavovat cez dns autentizaciu.

7.3.2021 06:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Pozor, že některé resolvery (nejslavněji dnsmasq defaultně v openwrt) dělají „rebinding protection“ a RFC1918 adresu ti nepřeloží. Jak to řešit nevím, buď máš síť kde máš kontrolu nad resolverem, nebo máš IPv6, nebo to uživatelům rozmluvíš, nebo máš smůlu.

7.3.2021 11:55 billgates | skóre: 27
Rozbalit Rozbalit vše Re: https Intranet only

rebind-domain-ok=domena.abc

8.3.2021 16:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Ano, to je tady v pohodě, protože má asi síť, kde to adminuje. Jakmile to má chodit uživatelům na zařízeních kde si to musí nastavit a ta zařízení nespravuje nikdo/je po cestě BFU/je to BOFH/je to opruz, tak je s tím problém.

6.3.2021 22:27 X
Rozbalit Rozbalit vše Re: https Intranet only

Vytvor si vlastni CA + cert pro lokalni IP a pridej si CA do prohlizece jako trusted..

6.3.2021 23:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

1) na IP nezáleží, musíš přistupovat přes dns jméno
2) certifikát získáš dvěma způsoby, buď si uděláš vlastní CA a budeš s ní podepisovat certifikáty pro jednotlivé služby a CA certifikát budeš distribuovat klientům. Druhá možnost je koupit si certifikát u nějaké CA a každý rok prodlužovat a na serveru měnit. Já mám kombinací obojího. Na centrální reverzní proxy mám koupený wildcard "*.corp.devaine.cz" a všechny služby pak propaguji jako "intranet.corp.devaine.cz / helpdesk.corp.devaine.cz apod." a všechny jsou tím pádem ok. A něco mám pod vlastní CA, co nejde přes tu reverzní proxy apod.
3) intranet by zabezpečený měl být, pokud je to nějaký, který slouží lidem a jsou tam různé dokumenty
Zdar Max

Měl jsem sen ... :(

8.3.2021 06:12 rpajik | skóre: 18 | blog: rpajikuv_blog
Rozbalit Rozbalit vše Re: https Intranet only

Internet by zabezpečený být měl, ale to tlačení https všude strašně komplikuje život.

Některé browsery ignorují lokální hosts soubor. Vnucují https na místo kam se připojuji přes http ale provoz běží v šifrované von, o které browser neví.

Z browserů se začínají stávat operační systémy a žít si vlastním životem ... a to mi správné nepřijde. Minimálně pokročilý uživatel by měl možnost to mít pod kontrolou ... a tato možnost se postupně vytrácí :-(

7.3.2021 02:19 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Pořiď si doménu libovolného řádu a rozběhej Let's Encrypt s wildcard záznamem. Vnější DNS může ukazovat na nějakou minimální statickou prezentaci, která jen řekne, adresu intranetu máš správně, ale musíš být na intranetu.

Pak nějak pořeš automatickou distribuci certifikátů, třeba po SSH, a používej jako běžné certifikáty.

Hello world ! Segmentation fault (core dumped)

7.3.2021 14:22 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

To není dobrý nápad, je to spíše hodně špatný nápad, viz: Split DNS - používáte to někdo?.
Tj. pro určité druhy nasazení to je schůdné, ale pro dost to moc schůdné není, protože nelze zajistit vyprazdňování dns cache u klientů. Obecně to tedy není dobrý nápad.
Zdar Max

Měl jsem sen ... :(

8.3.2021 00:48 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Se Split DNS jsem nikdy neměl problém. Při připojení se ty cache na klientovi vypláchnou a je to v pohodě. Nicméně ty subdomény nemusí zvenčí vůbec existovat.

Hello world ! Segmentation fault (core dumped)

8.3.2021 01:39 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Není to pravda, popisuji to v článku. Největší problémy jsou s mobilními zařízeními a web prohlížeči. Je možné, že u některých nasazení to nevadí a flushuje se to dobře, ale při větších nasazení končíš. Pro vlastní potřeby bych to ještě zkousnul, ale do firmy to nasadí jen blázen. I jeden blbý telefonát od uživatele je vopruz.
Zdar Max

Měl jsem sen ... :(

10.3.2021 16:15 j
Rozbalit Rozbalit vše Re: https Intranet only

Jinak receno, neco uneumis, nerozumis tomu ale tvrdis, ze to nefunguje. Jak typicky (pro tebe specielne).

Neznam ani jedninou firmu (a to jich znam stovky) kde by splitdns minimalne pro par sluzeb nepouzivali. Zadnej problem s tim nikdy nebyl a ani neni.

---

Dete s tim guuglem dopice!

10.3.2021 20:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Popsal jsem tam služby, které s tím mají problém a vysvětlil proč (jaké technologie za tím stojí). Z mé zkušenosti to bylo třeba 5 nahlášených incidentů týdně z cca 350 uživatelů. A kdyby jsi to četl, tak nejsem jediný, kdo s tím měl problémy. V době, kdy má každý mobil a vše se cpe do webu, s tím prostě problém je. Jasně jsem i napsal, že existuje asi nasazení, kde to problém není, ale v případě mobilních zařízení a web prohlížečů to problém je docela velký.
Jde tedy o to, jakým vývojem se web prohlížeče a bezpečnostní opatření ubírají. A ty se rozhodně ubírají směrem, který se split dns není kompatibilní.
Pokud k tomu máš nějaké relevantní věci, tak to napiš, ale ty jako vždy děláš strašně chytrýho, ale přitom netušíš, o čem je řeč a vždy se jen uchyluješ k osobním útokům.
Zdar Max

Měl jsem sen ... :(

11.3.2021 08:46 j
Rozbalit Rozbalit vše Re: https Intranet only

Jasne, je to tak velkej problem, ze to pouziva i ten podelanej guugl, a miliony dalsich sluzeb i ve verejnym netu ... a to prave na web. Prave guugl ti klidne naserviruje 5 ruznych IPcek na 100m vzdalenosti a to klidne i v ramci stejnyho ISP. A samo podle toho v kterym baraku zrovna stojis, ho mas bud nemecky, francouzky, spanelsky nebo italsky ... rozhodne ne anglicky, protoze na lang co posila browser oni zvysoka serou.

A existuje cela rada sluzeb, kde te server aktivne vyfuckuje, pokud na nej lezes z rosahu, kterej neobsluhuje, takze kdyby to nefungovalo, a klienti nedostali spravny IPcka, nefungoval by internet vubec. Oni totiz provozovatele nadsene servirujou data pres 1/2 planety, a proto provozujou vsemoznych cache/clustery/... aby to pak vlastne podle nejakyho Maxe vubec nefugovalo protoze klienti neumej pouzivat dns.

Takze jak vidno, vubec netusis o cem zvanis.

---

Dete s tim guuglem dopice!

11.3.2021 08:56 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Tak to jsi silně nepochopil, o čem je řeč. Četl jsi vůbec, na co reaguješ?
Celou dobu tu je řeč o split dns v rámci firmy.

Ty tu hážeš příklady s DNS balancerama alá round robin (= více záznamů k jednomu dns) či geo balancerama (např. v každém státě ti to přeloží na jinou IP, která je k tobě, resp. ten cloud housing, nejblíž, aby jsi to měl co nejrychlejší) a další, což je úplně něco jinýho a tohle fakt problém není.
Zdar Max

Měl jsem sen ... :(

7.3.2021 14:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

A ještě k tomu wildcard certifikátu. Pokud vím, tak ještě nedávno bylo vyžadováno ověření jen přes dns záznam. Tj. musel jsi používat nějaké dns severy, které uměly API a mohl jsi renew automatizovat.
Zdar Max

Měl jsem sen ... :(

8.3.2021 00:38 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Na běžně používaném DNS serveru se nastaví ověřovací záznam jako CNAME na self-hosted server, kde je obyčejný Bind a Let's Encrypt klient a ten už si to pořeší (tento server se na nic jiného nepoužije). Je to zcela bezproblémové nastavení, které funguje s jakýmkoliv registrátorem a jakýmikoliv DNS servery.

Hello world ! Segmentation fault (core dumped)

8.3.2021 16:39 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Jestli dobre rozumim tak Letsencrypt certifikat mohu ziskat i bez zpristupneni webu na Internet? Jak se jmenuje tato metoda, jak postupovat? Na VPS kde bezi verejne pristupna sluzba to je vcelku jasny ale takhle na lokalni siti? Ideal by bylo se o to nestarat a Cronem aby se delal renew do onech 3 mesicu.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

8.3.2021 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

DNS-01. Blbé je že to asi nejde použít pokud hostuješ DNS u někoho, kdo nemá pro provádění změn příčetné API, nebo každá změna trvá půl hodiny (zdravíme Forpsi).

8.3.2021 22:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

To není pravda. Jde to obejít, jak píšu, pomocí vlastního name serveru se subdoménou jen pro ověření. U providera si nastavíš NS záznam pro tvou _acme-challenge.* a na odkazovaném serveru si už můžeš dělat co chceš. Zbytek domény je pořád hostován na slušných serverech a pro Let's Encrypt máš svůj server, který umí vše, co je potřeba.

Hello world ! Segmentation fault (core dumped)

8.3.2021 16:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Jinak ještě je možnost (asi hlavně pokud můžeš provozovat split horizon DNS) si zařídit certifikát pomocí "venkovního webu", který bude servírovat jen prázdnou stránku a ten soubor s challengí (a poběží klidně na úplně jiném počítači), a pak ho zkopírovat na ten počítač v intranetu…

9.3.2021 20:50 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Tak jsem nakonec zvolil nasledujici postup a to domenu s A, AAAA zaznamem + Letsencrypt. Pro ziskani certifikatu navic vubec neni treba zadny webserver. Certbot jej totiz ma vlastni. Jen jsem zastavil Apache2 aby se uvolnil port 80, prepsal cesty k souborum s certifikaty docasne povolil pres IPv6 pristup zvenci... no viz nasledujici prikazy. Uz nakonfigurovany Apache2 jsem nechtel pouzivat protoze bych musel prepisovat Require ip a tak mi cesta certbot --standalone prisla schudnejsi.

systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot certonly --standalone --preferred-challenges http -d domena.tld
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2

Pro renew zatim nevim zda bude stacit jen spustit:

certbot renew

A nebo bude treba zase povolit pristup zvenci viz:

systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot renew
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2

Zatim vse je OK, uvidim za cca tri mesice. Kazdopadne diky vsem za info.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

9.3.2021 21:09 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Stačit to nebude, neboť vyžádání si certifikátu a renew zahrnuje stejné ověření. Pokud nechceš trápit Apache, nahoď tam Bind a ověř přes DNS. Nebo můžeš nastavit Apache, aby tu .well-known cestu hostoval do vyhrazeného adresáře, kam ti Certbot uloží ověřovací soubory.

Hello world ! Segmentation fault (core dumped)

9.3.2021 21:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

No ale to znamená, že v DNS musíš mít venkovní a ne intranetovou IP, ne? Jak ti pak funguje ten intranet?

10.3.2021 18:05 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Domena ma A zaznam 192.168... a AAAA IPv6 je pristupna zvenci (po otevreni portu 80 ve FW) tak lze ziskat certifikat i jen pres IPv6 a ten pak funguje lokalne jak na v6 tak na v4. Vse tak funguje, i wget, curl akceptuji certifikat a bezi s vynucenou ipv4 i ipv6

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

10.3.2021 00:04 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: https Intranet only

certbot certonly --standalone --preferred-challenges http -d domena.tld

Ale toto nie je wildcard certifikat, ale certifikat pre konkretny "host" domena.tld. Cize pre domeny 3. radu (nieco.domena.tld) ho nemozes pouzit (hej mozes, ale klienti budu pindat).

10.3.2021 18:06 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Jo pouzil jsem nevyuzitou domenu druheho radu jen pro intranet.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje