+  HandyCache форум
|-+  Главная категория» Общие вопросы» НС и протокол HTTPS
Имя пользователя:
Пароль:
Страниц: 1 ... 6 7 [8] 9 10 ... 13   Вниз
  Отправить эту тему    Печать  
Автор Тема: НС и протокол HTTPS  (Прочитано 110105 раз)
0 Пользователей и 1 Гость смотрят эту тему.
zed
Постоялец
***

Репутация: +4/-0
Offline Offline

Сообщений: 141


« Ответ #140 : 22 февраля 2017, 22:14:14 »

Цитировать
поэтому с версии 1.0.0.647 работа с SSL была реализована через ОС Windows
Библиотека OpenSSL, в которой реализованы протоколы SSL/TLS по прежнему используется (вы можете убедиться в этом, удалив соответствующие dll из папки с HC). А вот алгоритмы шифрования, которые так же присутствуют в OpenSSL и использовались по умолчанию, были заменены алгоритмами из крипто-API Windows. И, соответственно, если Windows достаточно старая и в ней нету нужных алгоритмов для TLS 1.0, на которые согласился бы сервер, ничего не получится.
Сообщить модератору   Записан
Линда Кайе
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 28



WWW
« Ответ #141 : 22 февраля 2017, 23:37:35 »

Я в печали. А от включения фикса POSReady активация не слетит?
Сообщить модератору   Записан
Stealth
Постоялец
***

Репутация: +8/-0
Offline Offline

Сообщений: 117


« Ответ #142 : 23 февраля 2017, 00:57:54 »

Линда Кайе, нет, активация не слетит. У меня не слетела Улыбка

zed, спасибо за уточнение. Вышеуказанное обновление как раз и добавляет парочку алгоритмов в Schannel.dll.

This update adds support for the following Advanced Encryption Standard (AES) cipher suites in the Schannel.dll module for Windows Embedded POSReady 2009:

    TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA
    TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA
Сообщить модератору   Записан
nick7inc
Постоялец
***

Репутация: +3/-0
Offline Offline

Сообщений: 108


« Ответ #143 : 23 февраля 2017, 11:22:17 »

На днях при обновлении столкнулся с обсуждаемой проблемой с https. Но возникли проблемы при установке обновления KB3081320:
Цитировать
Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.
Решение взял отсюда.
Цитировать
Второй действенный способ, если первый не помог. Заходите в редактор реестра (Пуск-Выполнить-regedit) по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer
и удалите ключ AuthenticodeFlags - dword:00000001.
Сразу после удаления (без перезагрузки) ставлю обновление. После перезагрузки удалённый ключик сам появился.

Думаю, что надо добавить это дополнение в инструкции на сайт HC и в пост в этой теме. Возможно, что кто-то ещё на эту проблему наступит.
Сообщить модератору   Записан
zed
Постоялец
***

Репутация: +4/-0
Offline Offline

Сообщений: 141


« Ответ #144 : 23 февраля 2017, 11:39:53 »

Цитировать
Библиотека OpenSSL, в которой реализованы протоколы SSL/TLS по прежнему используется
Оказывается, всё немного не так:
- для связи между браузером и HC используется OpenSSL и там максимальная версия TLS 1.0 и фиксированный набор алгоритмов шифрования (актуальные по состоянию на 2009 г.);
- для связи между HC и сервером используется Windows Secure Channel (Schannel). Это встроенное winapi и в каждой версии windows оно имеет свой набор доступных алгоритмов шифрования и поддерживаемых SSL/TLS протоколов. Информация о возможностях Schannel в разных версиях windows есть вот тут и конкретно для WinXP тут.

mai62, для OpenSSL используется Indy9, а что за компонент используется для работы через Schannel, если не секрет? И может имеет смысл использовать его же и для коммуникаций между HC и браузером?
« Последнее редактирование: 23 февраля 2017, 11:49:14 от zed » Сообщить модератору   Записан
Stealth
Постоялец
***

Репутация: +8/-0
Offline Offline

Сообщений: 117


« Ответ #145 : 23 февраля 2017, 16:10:17 »

для связи между браузером и HC используется OpenSSL и там максимальная версия TLS 1.0 и фиксированный набор алгоритмов шифрования (актуальные по состоянию на 2009 г.)
При заходе на сайт типа tumblr.com FireFox-ом через HandyCache, если щелкнуть правой мышкой "Информация о странице / Защита", то видно, что общение между браузером и HC идёт с шифрованием TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA, которое добавляется обновлением. Выходит, что используется таки Schannel, а не "фиксированный набор алгоритмов 2009 г.".
Сообщить модератору   Записан
zed
Постоялец
***

Репутация: +4/-0
Offline Offline

Сообщений: 141


« Ответ #146 : 23 февраля 2017, 16:21:07 »

Нет, этот алгоритм просто есть и в OpenSSL (даже в той старой версии). Сайты же с AES шифрованием открывались в HC 645 через OpenSSL. Но там была проблема в версии TLS: кто-то соглашался работать на 1.0, а кто-то нет.

Другими словами, для старых систем, типа WinXP, переход HC на Schannel сказался однозначно негативно, из-за возникших проблем с шифрованием. Протокол TLS там в любом случае, как был, так и остался 1.0, но вот алгоритмов поубавилось. Зато для новых - очевидный плюс, т.к. теперь используются актуальные версии TLS (1.1/1.2) и алгоритмы шифрования.
Сообщить модератору   Записан
Stealth
Постоялец
***

Репутация: +8/-0
Offline Offline

Сообщений: 117


« Ответ #147 : 23 февраля 2017, 17:03:24 »

zed, тогда понятно, почему у Линды при откате на 645 версию сайты заработали Улыбка
Т.е. обновлением WinXP мы просто компенсируем в какой-то мере потерю алгоритмов шифрования, возникшую из-за перехода HandyCache с OpenSSL на Schannel на Windows XP.
« Последнее редактирование: 23 февраля 2017, 17:26:21 от Stealth » Сообщить модератору   Записан
zed
Постоялец
***

Репутация: +4/-0
Offline Offline

Сообщений: 141


« Ответ #148 : 23 февраля 2017, 18:46:59 »

Да, так и есть. В WinXP SP3 без патча, HC 645 предлагал 20 алгоритмов:


А версия 671 предлагает всего 11:


К слову, в HC используется OpenSSL версии 0.9.8l вот отсюда.

По хорошему, конечно, mai62 нужно было озаботиться переходом на новую версию Indy и OpenSSL. Это бы потребовало несколько больше усилий, чем переход на Schannel, зато у всех пользователей обработка SSL происходила бы одинаково (с одним и тем же фиксированным набором алгоритмов и протоколов). И пользователи WinXP проблем бы не заметили.
« Последнее редактирование: 23 февраля 2017, 18:55:11 от zed » Сообщить модератору   Записан
Stealth
Постоялец
***

Репутация: +8/-0
Offline Offline

Сообщений: 117


« Ответ #149 : 23 февраля 2017, 23:00:57 »

Да, но он не захотел, к сожалению...
А это вы сниффером так хорошо алгоритмы смотрели?
Сообщить модератору   Записан
zed
Постоялец
***

Репутация: +4/-0
Offline Offline

Сообщений: 141


« Ответ #150 : 23 февраля 2017, 23:12:18 »

Да, использовал Wireshark.
Сообщить модератору   Записан
Stealth
Постоялец
***

Репутация: +8/-0
Offline Offline

Сообщений: 117


« Ответ #151 : 24 февраля 2017, 03:16:30 »

А вот тут какие-то товарищи предлагают добавить поддержку TLS 1.2 в приложение Windows XP:

https://www.eldos.com/security/articles/8851.php

Это для разработчиков правда, но mai62 мог бы воспользоваться...
Сообщить модератору   Записан
nameis
Пользователь
**

Репутация: +3/-0
Offline Offline

Сообщений: 77


« Ответ #152 : 02 марта 2017, 23:22:13 »

Почта rambler не отправляются письма. Висит-висит - потом появляется сообщение, что сервер временно не доступен.
Замечено не однократно. Чтобы отправить письмо, приходится отключать обработку SSL.
Кто пользуется почтой рамблер, прошу проверить, это баг HC или моя "фича" Улыбка

HC 1.0.0.671 работает через внешний прокси
« Последнее редактирование: 02 марта 2017, 23:26:16 от nameis » Сообщить модератору   Записан
Михаил
Gold beta tester
*****

Репутация: +337/-14
Offline Offline

Сообщений: 5513



« Ответ #153 : 02 марта 2017, 23:36:19 »

Это, скорей всего, тот баг HC, который проявляется на многих сайтах с https. Я писал об нем mai62. Он сказал, что у него это не воспроизводится, и поэтому он не знает, что с этим делать.
Баг сильно отравляет жизнь при использовании режима SSL в HC.
Сообщить модератору   Записан
nameis
Пользователь
**

Репутация: +3/-0
Offline Offline

Сообщений: 77


« Ответ #154 : 02 марта 2017, 23:57:07 »

Если мой описанный случай действительно баг, и это тот баг, о котором, Вы, Михаил, говорите, надеюсь в этот раз mai62 будет легко поймать его за "хвост" и прихлопнуть тапком.
Сообщить модератору   Записан
Михаил
Gold beta tester
*****

Репутация: +337/-14
Offline Offline

Сообщений: 5513



« Ответ #155 : 03 марта 2017, 00:12:16 »

Если мой описанный случай действительно баг, и это тот баг, о котором, Вы, Михаил, говорите, надеюсь в этот раз mai62 будет легко поймать его за "хвост" и прихлопнуть тапком.
Чуть позже, в январе нашелся еще один баг, возможно связанный с этим, а может и нет. Он проявляется в виде невозможности с включенным режимом SSL зайти на сайт https://www.gosuslugi-rostov.ru/
Проверьте, можно ли у Вас зайти на этот сайт.
Но в этом случае проблема уже воспроиводится у mai62, однако ее решения не найдено.
Другим проявлением бага являются проблемы с Google Captcha, работающей с включенным режимом SSL через раз.

Т.е. баги, связанные с SSL, к сожалению, уже давно живут в НС, и "легко поймать за хвост и прихлопнуть тапком" их до сих пор не удалось.
И они (или это все проявления одного и того же единственного бага) относятся к критическим, не позволяющим полноценно работать в сети при включенном режиме SSL в НС.
« Последнее редактирование: 03 марта 2017, 00:22:33 от Михаил » Сообщить модератору   Записан
nameis
Пользователь
**

Репутация: +3/-0
Offline Offline

Сообщений: 77


« Ответ #156 : 03 марта 2017, 00:32:30 »

Михаил, нет, гос услуги в ростове не хотят меня видеть.

Вот еще вспомнился ресурс, куда с режимом SSL "не пускают" - это https://www.dephormation.org.uk/

С Google Captcha у меня следующее - периодически появляется сообщение, что нет интернет-соодинения, проверьте связь. Так как у меня 3G - то всё списываю на провайдера (на плохой сигнал, загруженность БС и т.д.). Но на том ресурсе можно выбрать капчу от solvemedia.com, что и спасает.

Сообщить модератору   Записан
Михаил
Gold beta tester
*****

Репутация: +337/-14
Offline Offline

Сообщений: 5513



« Ответ #157 : 03 марта 2017, 00:35:20 »

Так как у меня 3g - то всё списываю на провайдера (на плохой сигнал, загруженность БС и т.д.).
Не бейте провайдера, т.к. это проблема НС. Отключите режим SSL, и перебоев в работе Google Captcha не будет.
Сообщить модератору   Записан
nameis
Пользователь
**

Репутация: +3/-0
Offline Offline

Сообщений: 77


« Ответ #158 : 04 марта 2017, 21:15:04 »

Еще один "отказник" - https://adaway.org/hosts.txt
Сообщить модератору   Записан
Линда Кайе
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 28



WWW
« Ответ #159 : 05 марта 2017, 00:08:22 »

Еще один "отказник" - https://adaway.org/hosts.txt

В качестве временной меры добавляйте хосты в исключения. Получится что-то вроде такого:

Код:
adaway\.org|point\.im|purl\.org
Сообщить модератору   Записан
Страниц: 1 ... 6 7 [8] 9 10 ... 13   Вверх
  Отправить эту тему    Печать  

 
Перейти в: