Přihlášení | Registrace

napište » Zprávičky

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory

dnes 00:33 | IT novinky

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory. Stavebnice Brian byla navržená speciálně pro potřeby populární Robosoutěže. Jde ale také o samostatný produkt, který si může koupit každý fanoušek robotiky a programování od 10 let, ideální je i pro střední školy jako výuková pomůcka. Jádro stavebnice tvoří programovatelná řídicí jednotka, kterou vyvinul tým z FEL ČVUT ve spolupráci s průmyslovými partnery. Stavebnici

… více »

Ladislav Hagara | Komentářů: 3

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty

včera 20:33 | Komunita

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 25.10 (Questing Quokka).

Ladislav Hagara | Komentářů: 0

pfSense Community Edition (CE) 2.8.0

včera 14:55 | Nová verze

Společnost Netgate oznámila vydání nové verze 2.8.0 open source firewallové, routovací a VPN platformy pfSense (Wikipedie) postavené na FreeBSD. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Tails 6.16

včera 14:00 | Nová verze

Byla vydána nová verze 6.16 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 14.5.3. Linux na verzi 6.1.140. Další změny v příslušném seznamu.

Ladislav Hagara | Komentářů: 0

Deník N: Odsouzený muž daroval ministerstvu bitcoiny, řeší to policie

včera 12:33 | Zajímavý článek

Člověk odsouzený za obchod s drogami daroval letos ministerstvu spravedlnosti 468 kusů kryptoměny bitcoin, které pak resort v aukcích prodal za skoro miliardu korun. Darováním se zabývá policejní Národní centrála proti organizovanému zločinu (NCOZ). Deníku N to potvrdil přímo ministr spravedlnosti Pavel Blažek (ODS). Podle resortu bylo nicméně vše v souladu s právem.

Ladislav Hagara | Komentářů: 13

Sigil a PageEdit 2.5.0

28.5. 20:44 | Nová verze

Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

Ladislav Hagara | Komentářů: 0

Prohlášení vlády České republiky ke kybernetickému útoku z Čínské lidové republiky

28.5. 12:22 | IT novinky

Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

Ladislav Hagara | Komentářů: 31

Google Chrome 137

28.5. 00:11 | Nová verze

Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

AlmaLinux OS 10

27.5. 19:22 | Nová verze

Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

Ladislav Hagara | Komentářů: 0

Firefox 139.0

27.5. 15:11 | Nová verze

Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 10

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (55%)

python (32%)

perl (7%)

powershell (2%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (3%)

Celkem 161 hlasů

Komentářů: 12, poslední 28.5. 18:42

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Problém s ceertifikáty

Štítky: ahoj, bezpečnost, crt, EDGE, Firefox, chyba, Internet, následující, OpenSSL, problém, prohlížeče, server, spojení, SSL, šifrování, Windows

Dotaz: Problém s ceertifikáty

24.3.2021 12:14 semtex | skóre: 24 | blog: semtex
Problém s ceertifikáty

Přečteno: 2300×

Odpovědět | Admin

Ahoj, prosím o radu. Dodnes jsem na jeden server (webové rozhraní) používal přihlašování pomocí osobních certifikátů. Tyto certifikáty vytvářim následujícím skriptem:

openssl genrsa -des3 -out osobni_klice/$NAME/$NAME.key 2048
openssl req -new -key osobni_klice/$NAME/$NAME.key -out osobni_klice/$NAME/$NAME.csr
openssl x509 -req -in osobni_klice/$NAME/$NAME.csr -out osobni_klice/$NAME/$NAME.crt -sha1 -CA /opt/ssl/CA/cacert.pem -CAkey /opt/ssl/CA/private/cakey.pem -CAcreateserial -days 730
openssl pkcs12 -export -in osobni_klice/$NAME/$NAME.crt -inkey osobni_klice/$NAME/$NAME.key -name "Client certificate" -out osobni_klice/$NAME/$NAME.p12

Dodnes vše fungovalo, ale po aktualizaci Windows 10 20H2 se na stránky vůbec nedostanu. Firefox, Edge, Explorer, všechny prohlížeče hlásí následující chybu:

Při spojení s muj.server.cz nastala chyba. Partner protokolu SSL měl s obdrženým certifikátem neznámé problémy.

Kód chyby: SSL_ERROR_CERTIFICATE_UNKNOWN_ALERT

Nějak nemůžu dohledat, jeslti jáhodou nepoužívám nějaké již nepodporované šifrování nebo jestli je problém někde jinde.

Předem děkuji za radu.

Řešení dotazu:

Komentář #7 (semtex, 1 hlasů)

Nástroje: Začni sledovat (2) ?

Odpovědi

24.3.2021 12:35 semtex | skóre: 24 | blog: semtex
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Jinak omlouvám se, aktualizace, po které to přestalo fungovat je kumulativní aktualizace pro windows 20H2 KB5000802

24.3.2021 12:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Zkus si otestovat jak server tak klienta přes ssllabs.
Nebo přes openssl vypiš podporované protokoly šifry. Viděl bys to i ve wiresharku, co kdo nabízí.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

24.3.2021 12:58 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

souhlas, tipoval bych pouziti TLSv1 nebo TLSv1.1 ale bohuzel UNKNOWN_ALERT je velmi nápomocná hláška

24.3.2021 13:02 semtex | skóre: 24 | blog: semtex
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Myslím, že ne, mám tam TLSv1.2

Otestoval jsem tedy ssllabs, tohle jsou červené hlášky

This server's certificate is not trusted, see below for details.
Certificate uses an insecure signature. Upgrade to SHA2 to avoid browser warnings.  MORE INFO »
This server's certificate is not trusted by major browsers. MORE INFO »

Tohle asi bude ten problém, že?

Signature algorithm SHA1withRSA INSECURE

24.3.2021 13:47 semtex | skóre: 24 | blog: semtex
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

v /etc/ssl/openssl.cnf mám

default_md = sha1

předpokládám, že změním na sha256 a budu muset všechny certifikáty včetně CA vygenerovat znovu, že. To by mělo pomoct?

24.3.2021 14:22 semtex | skóre: 24 | blog: semtex
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

tedy sha2

Řešení 1× (Filip Jirsák)

24.3.2021 16:17 semtex | skóre: 24 | blog: semtex
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Tak pomohla změna na sha256 a vygenerování komplet všech certifikátů.

Díky všem za nakopnutí

25.3.2021 14:56 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Obecně je dobré se při každém generování klíčů + certifikátů podívat, jaké nové parametry (hashovací funkce, symetrické šifry, typy asymetrických klíčů) existují a které z nich jsou podporované a doporučované.

Ano, je to malinko čtení dokumentace navíc, každý rok nebo tak, ale aspoň se pak člověku nestane takový průser, aby někde zkoušel používat (neřkuli opravdu používal) SHA1.

25.3.2021 17:26 j
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Coz je ti uplne knicemu, protoze ve finale ti podporovany sifry/klice/cokoli zmeni v prubehu jejich platnosti trebas provozovatel sluzby. A to pomijim prosty fakt, ze hromada sluzeb neumi a nikdy umet nebude nic jinyho nez prave sha1. A kdyz chces k cemukoli jinymu dokopat widle, tak jim to musis natlacit nasilim, a na 150ti ruznych mistech, abys pak zjistil, ze si vynechal to 151.

Kuprikladu takovej soudruh powershell bez nasili tls 1.2 proste nepouzije (o 1.3 si muzes nechat zdat). Dtto .Net.

---

Dete s tim guuglem dopice!

29.3.2021 03:58 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

…ve finale ti podporovany sifry/klice/cokoli zmeni v prubehu jejich platnosti trebas provozovatel sluzby…

Který? Kdy? Proč? Kdy přesně se něco takového stalo, aby nějaký „provozovatel služby“ něco podstatného změnil tak, aby platné vydané certifikáty přestaly fungovat? Prosil bych konkrétní příklady a odkazy, jinak se bavíme v rovině blábolů a fantazií. Nemluvě o tom, že tady jde o případ, kdy někdo vydává certifikáty, což znamená, že je provozovatel služby a může (téměř) o všem rozhodnout. Měl by tedy rozhodovat informovaně a zodpovědně.

A to pomijim prosty fakt, ze hromada sluzeb neumi a nikdy umet nebude nic jinyho nez prave sha1.

Jako že když najdu zdroják nějaké dávno nepoužívané služby z roku 2005, bude umět jenom SHA1? Jo, dobře. No a? Nebo jak jinak mám tomuhle nesmyslu rozumět?

A kdyz chces k cemukoli jinymu dokopat widle, tak jim to musis natlacit nasilim, a na 150ti ruznych mistech, abys pak zjistil, ze si vynechal to 151.

Kde přesně je/bylo kdy napsáno, že Shitdows trvají na SHA1, což bylo už před cca 10+ lety přinejlepším deprecated? Ne, ani Shitdows na ničem takovém netrvají.

Kuprikladu takovej soudruh powershell bez nasili tls 1.2 proste nepouzije (o 1.3 si muzes nechat zdat). Dtto .Net.

Což by mohla být položka číslo 1000001 na seznamu důvodů, proč nepoužívat béčkové uzavřené technologie. Nicméně verze TLS je jakási podivná odbočka od tématu (SHA1). Není mi jasné jasné, jak by něco takového mohl být argument proti zrušení SHA1 v X509 datech. Posledních 10+ let jsem žádný takový nebezpečný odpad jako SHA1 nepoužil a žádným Shitdows to (pokud vím) nevadilo.

29.3.2021 08:55 j
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Tak vzhledem ke svymu vymazanymu mozku nemuzes samo tusit, ze ve widlich je certifikat a sifrovani spojena nadoba, a pokud hodlas nektery sluzby sifrovat vubec nejak, tak MUSIS mit SHA1 cert, protoze s JINYM to NEUMI.

A naopak, pokud hodlas pouzivat jiny, nez uplne nejzakladnejsi sifrovani trebas nad ipsec, tak prozmenu musis widle donutit (by default to v zadnym pripade neudelaji) pouzivat jak to jiny sifrovani, tak jinej certifikat, protoze to prozmenu s tim co si samy vydaji taky nefunguje.

Tvuj megablabol je vypovida o tom, ze vo tom vis lautr hovno!

A pokud se budem bavit o tvy retadovanosti dal, tak trebas ssh klient od nejaky verze se odmita pripojit k ssh serveru kvuli tomu, ze ma kratkej certifikat, ovsem delsi ten server neumi a nikdy umet nebude. Je to totiz jen zcela funkcni UPSka.

Proc? Protoze nejakej veleimbecil tvy kategorie to zadratoval do kodu.

---

Dete s tim guuglem dopice!

29.3.2021 09:26
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Nepsal jsi tuhle v tom smyslu, že všichni, kteří používají hardware starší, než 4 roky, jsou úplní blbci, kteří si koledují o průser, protože takový hardware je morálně zastaralý a patří na smetiště???

14.5.2021 02:46 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Problém s ceertifikáty

Další vymaštěný anonym nechápe, která bije.

Nechápeš, co je to certifikát, šifrování, atd. atp. Jenom papouškuješ ta slova, ale netušíš, co znamenají. Proč se potom vůbec snažíš něco psát?

Jestli si opravdu myslíš, že v nějakém systému (byť by to byly Shitdows) je potřeba SHA1 fingerprint, nejspíš sis zapomněl vzít léky. Ba co hůř, posledních asi tak 10 let jsi ty léky nebral, jak jsi měl.

Ach jo, tihle anonymní dementi s hovnem v hlavě by už měli být konečně nějak zakázaní.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje