Let's encrypt certificate-ek lejártak

Security-all

Helló, kezdenek becsúszni az ügyfelektől mindenféle hibák, hogy pl. win7-tel megborul a LE root certek lejárása miatt minden webes SSL.

"This is because the root certificate used by Let’s Encrypt to sign client certificates will lose its validity on this day (expiry of Intermediate R3 on 2021/09/29 at 19:21:40 GMT – the DST Root CA X3 expires on 2021/09/30 14:01:15 GMT). Clients that only know the old root certificates will not be able to verify Let’s Encrypt server certificates after that."

Tegnap este járt le az egyik, ma fog a másik...

Mit lehet ilyenkor tenni? szerver oldalon minden friss, újra lett generálva ,ott már ISRG Root X1 a root, míg régen DST Root CA X3 \ ISRG volt. Hogy lehet "megtanítani" a régi oprendszereknek az új root certeket?

  • 3579 megtekintés

( gabrielakos v | 2021. 09. 30., cs – 12:03 )

.cer file-t elküldöd, duplaklikk, onnan next-next-finish kb.

Gábriel Ákos

a .cer fájlon next-next-finish az a user personal store-jába rakja be a cert-et. Holott annak a COMPUTER\Trusted root certification authority-ba kellene mennie. Illetve pl. Firefox saját alkalmazás-szintű CA listát kezel, oda is be kéne importálni.

Futtatás --> certmgr.msc

( st3v3 v | 2021. 09. 30., cs – 12:33 )

importalod a tanusítványtárolókba?

( kassaiviktor | 2021. 09. 30., cs – 12:34 )

a központi tanusítványtárolóba és a böngészők sajátjaiba is importálod. (nem tudom, miért használnak különbözőt)

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( NevemTeve | 2021. 09. 30., cs – 12:35 )

Vezérlőpult, Internetbeállítások, Tanúsítványok, Legfelső szintű, Import

+ Firefox, ami nem a Windows beállításait használja.

( Protezis | 2021. 09. 30., cs – 13:50 )

Nem szűnt már meg a Windows 7 support tavaly? Vagy direkt Win7 supportért fizetnek neked/nektek?

Aprócska különbségek azért vannak.

  • A Netscape egy 13,5 éve nem támogatott böngésző.
  • Az ügyfél vélhetően továbbra is támogatott böngészőt használ. Valószínűleg Chrome-ot.
  • Ha nem azt használ, minden lehetősége megvan azt használni, nem csak Windows 7-en (Chrome-ot, Edge-et, Firefox-ot), még Windows XP-n is (New Moont, Mypalt, Centauryt, Serpentet).
  • Senki nem kérte a Google-t, hogy a milliárdjaiból Windows-on a WinSSL-t használja, más rendszereken meg egészen mást. Ők lustálkodták el a munkát. Ellentétben a Firefox-szal, ami NSS-t használ minden platformon és pont ugyanúgy működik is. Ezért lehetséges a modern certek kezelése akár Windows XP-n az említett böngészőkkel, amik Firefox forkok.

Az ügyfél jogosan panaszkodhat, hogy a szolgáltató nem elégíti ki megfelelően a piaci igényeket. Igen, amíg a Windows 7-et százmilliós nagyságrendben mérhető felhasználóbázis használja, addig ez bizony piaci igény, tetszik-nem-tetszik a fejlődésmániás sznoboknak és a gépkidobatásban-újravásároltatásban utazó Microsoftnak.

Azoké pedig minden tiszteletem, akik a felelősség eltologatása és másra mutogatás helyett igyekeznek megoldani a problémát. Példát vehetnél róluk.

Én nem hitvitázni akartam. Mint egy cég/szolgáltató, baromira nem éri meg olyan eszközöket támogatni by default, amiket a gyártójuk már nem támogat. Hacsak nincs erre külön pont a szerződésben, de akkor meg gondolom egy zsíros összeg szerepel ott. Ez esetben nincs kérdés, megoldást kell találni. Ellenkező esetben meg el kell hajtani az ügyfelet.

Mint egy cég/szolgáltató, baromira nem éri meg olyan eszközöket támogatni by default, amiket a gyártójuk már nem támogat.

Amíg van profitod a piaci igények kielégítéséből (a Windows 7-specifikus problémák megoldásának elősegítését beleértve), addig megéri. Az, hogy te önző vagy és inkább az ügyfeledre hárítasz jóval nagyobb pluszköltséget (gépkidobás, új rendszer vásárlása), mint amivel te ezt megoldanád, az a te arrogáns döntésed, de ettől még nem ez kellene, hogy legyen az etalon.

Amíg van profitod a piaci igények kielégítéséből

Attól, hogy valamin profitod van, még nem bíztos, hogy meg is éri időt, energiát és pénzt beleölni. Simán lehet, hogy nekem pl +1 ügyfél vagy plusz 10 forint a hó végén nem éri meg, ellenben a több szabadidővel (esetleg más terültre való fordításával), vagy a kevesebb szopással szemben.

Az, hogy megtaláld a munkád és a szabadidőd közti egyensúlyt, a te saját időmenedzsmented kérdése és nem azon fog múlni, hogy valaki Windows 7-et használ vagy sem. Nevetséges, hogy ezzel próbálsz takarózni. Mi a következő? Hogy aki legacy OS-t támogat, annak nincs élete™?

Változatlanul önzőség arra lőni, hogy 90% ügyfél megvan 1 perc munkával és hátradőléssel és a maradék 10%-ba, aki 10 percből van meg, nem vagy hajlandó beleölni a +9 percet. Ez arrogáns hozzáállás és úgy általában a szakma megcsúfolása, ha mindig csak a legkisebb ellenállás felé tendálsz és a könnyebb feladatokat választod. Pláne, hogy egy ilyen extra nyomozás közben akár olyat is tanulhatsz, amit a polcról levehető, szoftvergyártók által támogatott esetekben nem.

Ha az ipar, a tech-lakájmédia és a magadfajták nem forszíroznák és segítenék elő működő számítógépek OS-váltásonkénti kidobását és újravásárlását, az a szoftveripar és az abban dolgozók szellemi fejlődéséhez vezetne hosszú távon, átgondoltabb, optimálisabb, kompatíbilisebb megoldásokat eredményezve.

Azok az elvek, amiket én képviselek, a valódi fejlődést segítik elő. Míg amit a magadfajták képviselnek, csak az erőltetett növekedést, amit csak a marketingasztalon hívnak fejlődésnek.

Először is, a frissített OS is lyukas, csak nem tudsz róla. A legacy OS-eknél megvan az az előny, hogy az ismert hibák száma véges, az esetek jól dokumentáltak és a felfedezett lyukak száma folyamatosan csökken, mivel új cucc nem kerül már be. Ellentétben a feature ágas csilirendszerekkel, ahol folyamatosan újratermelődnek a biztonsági hibák (is).

Másodszor, ha az ügyfélnek az az igénye, hogy a legacy OS-ről használja a terméked, akkor neked kutyakötelességed ezt az igényt kielégíteni, feltéve ha tisztességes piaci szereplő vagy. Minden olyan húzással, amivel megnehezíted az ügyfél dolgát és nem törekszel arra, hogy segítsd őt a termékednél tapasztalt problémája megoldásában (ami lehet persze OS-specifikus probléma is), azzal a piacot torzítod a saját önző érdekedben.

Ugye sejted, hogy mivel NT kódbázis a Win7, ezért van rá esély, hogy az újabb Win10 hibák szintén érintsék? Az ismert, tehát javított hibák száma lehet hogy véges, de az alapbeállítások is messze lazábbak, mint Win10-en, ezért kell vele foglalkozni. Node ahol még Win7-eznek nem ez a helyzet, hanem "hátmég működik" és úgy van, ahogy 5 éve hagyták valahogy.

Ezt a kutyakötelesség marhaságot felejtsd el légyszives. A szolgáltató megadhatja, sőt általában megadja, hogy mit támogat. Ha ő csak aktuálisan támogatott OS-eket támogat, akkor az van, és minden más működésnek csendben kell örülni. Nagy szerencse, hogy nem a Win 3.1-es valamilyen ősi POP3 klienst kéred számon. Másrészt azért mert a kedves Ügyfél képtelen normális infrát üzemeltetni, az miért egy szolgáltató baja?

Az ismert, tehát javított hibák száma lehet hogy véges, de az alapbeállítások is messze lazábbak, mint Win10-en, ezért kell vele foglalkozni.

Igen, általában telepítéskor egyszer.

Ha ő csak aktuálisan támogatott OS-eket támogat, akkor az van, és minden más működésnek csendben kell örülni.

Értem, tehát az ügyfelek vannak a szolgáltatókért. Ennél jobban meg se fogalmazhattad volna a szélsőségesen korporatokrata maszlagod.

Nagy szerencse, hogy nem a Win 3.1-es valamilyen ősi POP3 klienst kéred számon.

Mivel nem használja mérhetően számottevő felhasználóbázis. Ahogy pl. a Vista supportot se kértem számon, mert azt se használta senki, ahogy megjelent a Win7. Tudod, ott van a kutya elásva, bármennyire is takar a szemellenződ, hogy a Microsoft képtelen a saját termékét minden felhasználó szempontjából überelni. Gyakorlatilag az XP óta. Se nem törekszik arra, hogy régebbi hardverekkel megőrizze a kompatíbilitást, mivel így le kéne mondania az OEM-extraprofitról.

Másrészt azért mert a kedves Ügyfél képtelen normális infrát üzemeltetni, az miért egy szolgáltató baja?

Win7-tel is lehet normális infrát üzemeltetni.

Előre bocsátom, hogy nem fogsz tudni meggyőzni, azért még erre válaszolok.

Nem állítják be a Win7-et még annyira se, amennyire lehetne. Ezt nagyon benézte anno az MS sajnos.

Nem, a szolgáltatónak van egy szolgáltatása, ami adott paraméterek mentén és módon vehető igénybe. Biztos vagyok benne, hogy az óriási piacon mindenki megtalálja a számára megfelelő szolgáltatót. Miért kéne egy szolgáltatónak olyan rendszert támogatnia, amit maga a rendszer fejlesztője is sok éve elengedett? Jellemzően nem szokták ezt a fajta igényt kifizetni, csak az igény oldal van meg, de semmi más, mert neki kényelmes. Miért kéne a szolgáltatónak más kényelmébe úgy pénzt fektetnie, hogy neki senki se fizeti ezt? Ezt alatt a tesztrendszert értem például. Igen, akkor is ha 5 perc, meg ott van, pláne mivel nincsenek 5 percek.

Win7-en már nem lehet normális infrát üzemeltetni. Például azért sem, mert épp úgy néz ki, hogy az Office O365-ös verziójának keresztbe állnak a szemei tőle, illetve nem biztos, hogy a céges hálózaton Win7-et szeretnének látni még bárhol. A fizikai gépeket még elég sokáig lehet Win10-en tartani, és jellemzően minden rendes helyen elég folyamatos a csere, illetve szó szerint kopnak a gépek. A csodálatos szoftver fejlesztők rendre gondoskodnak a fejlesztési igényről, ehhez még Windows sem kell, csak egy jólsikerült weboldal.

Miért kéne a szolgáltatónak más kényelmébe úgy pénzt fektetnie, hogy neki senki se fizeti ezt?

Mondjuk mert a Win7-es ügyfele régóta ügyfele és már bőven termelt neki annyi profitot, hogy ha veszteség nélkül, de egy kicsit több munkával meg tudja oldani a problémáját, akkor megoldja. Tudod, ez olyan, mint amikor a törzsvendégnek megcsinálod azt, ami 10 évig az étlapon volt, de most nincs ott, mert az idealista menedzser leszedte, de a szakács ugyanúgy meg tudja csinálni.

Igen, akkor is ha 5 perc, meg ott van, pláne mivel nincsenek 5 percek.

Az 5 perc egy egyszerűsített példa akart lenni, de berakni egy új root certet valóban nem több ennél.

Win7-en már nem lehet normális infrát üzemeltetni.

De igen, lehet, csak érteni kell hozzá és be kell rendesen konfigurálni.

úgy néz ki, hogy az Office O365-ös verziójának keresztbe állnak a szemei tőle

Microsoft Edge-ben tökéletesen használható, már ha valaki tényleg erre a szutyokra vágyik.

nem biztos, hogy a céges hálózaton Win7-et szeretnének látni még bárhol

Te nem szeretnél, mások meg igen, de az is lehet, hogy nincs más választásuk, vagy csak nem szeretnék tonnaszámra kidobálni a gépparkjukat, a Microsoft arroganciája miatt.

A fizikai gépeket még elég sokáig lehet Win10-en tartani, és jellemzően minden rendes helyen elég folyamatos a csere

Kivéve, amihez nincs megfelelő driver, csak Win7-re. Kivéve, amihez olyan perifériák vannak kötve, amikhez nincs megfelelő driver Win7-re.

Előre bocsátom, hogy nem fogsz tudni meggyőzni, azért még erre válaszolok.

Nem akartalak meggyőzni, csak reagáltam a szélsőségesen korporatokrata, tech-idealizmusokból és reklámvalóságokból kölcsönzött közhelyeidre, hogy meglásd, ezeken kívül is van élet.

A törzsvendégnek nem adsz romlott kaját... :P

Semmi idealizmus, meg reklámvalóság nincs, ami van azt hívják, hogy tervezési és üzemeltetési tapasztalat. Jellemzően a régi technikák életben tartása szervezet szinten valamilyen lábonlövést jelent. Vagy mert felszippant egy malware-t, vagy mert nem tud új szoftvert bevezetni.

Aki Win7-et szeretne a céges hálóján látni, hát azt rábízom, egészségére.

Olyan helyen ahol nincs Win10 driver valamire, az igen jó eséllyel nincs is a céges hálózaton vagy speciálisan szeparált. Nagyon örültem a mindenféle okokból Win 2003 Serveren hagyott dolgoknak, aztán csodálkoztak, hogy le kell állítsuk, mert léptennyomon megtörögetik, meg próbálkoznak. A hálózat leggyengébb eleme sajnos az egészre hatással van.

5 perc: hja, de mire eljutsz odaáig, hogy húha lejárt, akkor ezt mondjuk 100 gépen kéne megcsinálni, akkor már a group policyt vagy a login scriptet hegeszteni... Ami egészen addig nem probléma, amíg bőven van erre idő a napi ügyek mellett. Ekkor viszont a munkáltató égeti a pénzt ilyen bohóságokra, mint egy nem támogatott rendszer életben tartása ilyenolyan módon.

Ahogy írtam, a gépparkot nem az MS arroganciája miatt kell cserélni, hanem simán kihal benne egy táp, egy alaplap, szépsorban, és e mellett a mindenféle használt szoftverek egyszerűen többet fognak követelni. Mostantól még 4 évig nem kell Win11-re váltani, és ha mondjuk 4 év múlva egy 3 éves gépe lesz valakinek, amit mondjuk 7-8 évesen cserélt le 2022-ben, akkor azért az nem észnélküli cserélgetés.

A törzsvendégnek nem adsz romlott kaját... :P

Senki nem beszélt romlott kajáról. A Windows 7 sem romlott kaja, csak a Microsoft szeretné annak láttatni, hogy újravásároltassa, a kidobatandó gépekke együtt. Arról beszéltünk, hogy van valaki, aki törzsvendégként kér egy olyan ételt, amit drágább és több idő megcsinálni, és már nem divatos, de 10 évig azt ette ott. Ha pedig az étterem pincérei, tulajdonosai, szakácsai tisztességesek, akkor megcsinálják neki, mivel neki köszönhetik a leginkább, hogy az elmúlt 10 évben fennmaradtak. Üzleti etika. Semmi egyéb.

Aki Win7-et szeretne a céges hálóján látni, hát azt rábízom, egészségére.

Aki félévente széteső, frissítés után bootolhatatlanná váló rendszert (Windows 10) lát a céges hálóján az minden bizonnyal egészségesebb™. Mennyivel jobb a tudat, hogy nem tudok dolgozni egy operációs rendszernek hazudott bétaverziós szarkupac frissítéskori szétesése miatt, mint egy 10+ évig fejlesztett, stabil rendszert használni, ami nem változik. Kár, hogy fejlődésmániás beállítottság és tech-marketingerőszak általi agymosás nélkül ez nem lehetséges.

Ekkor viszont a munkáltató égeti a pénzt ilyen bohóságokra, mint egy nem támogatott rendszer életben tartása ilyenolyan módon.

Amivel egy piaci igényt elégít ki. Persze tudom, ami a Microsoftnak nem áll profitérdekében, az semmilyen piacon nem™ lehet™ valódi igény. Az értetlenkedéseddel már a bigottság határait súrolod egyébként. Bár tudom, hogy szándékosan.

Ahogy írtam, a gépparkot nem az MS arroganciája miatt kell cserélni, hanem simán kihal benne egy táp, egy alaplap, szépsorban, és e mellett a mindenféle használt szoftverek egyszerűen többet fognak követelni.

A gépparkot az MS arroganciája miatt kell cserélni, ha a magadfajta babzsákszolgáltatók 2025-ben eldöntik, hogy holnaptól csak Win11-et támogatnak, mert nekik az a kényelmes™. Pont ugyanez az analógia most a Win7 esetében. Létezik megoldás, elméletben működik, már csak a gyakorlatba kell átültetni, de a magadfajták ezt elutasítják. Gyakorlatilag önként és dalolva váltok a Microsoft önkéntes konzumidióta birkanyájává.

A helyzet az, hogy szolgáltatózhatsz, csak az a baj, hogy nem csak ott melózom/melóztam. Üzemeltettem hálózatot, gépparkot (nyilván nem egyedül) és azért az alatt a bő 12 év alatt jöttek tapasztalatok.

Ha egy szervezet a Win7-es, vagy bármilyen támogatással nem rendelkező történet életben tartására költi a pénzét, akkor szintén egészségükre. Azt próbáltam munkáltató alatt felvázolni, hogy nem tudja az embereit fejlesztési projektekre tenni, hanem életbentart. Ott nagyon sok zseton megy el, nem piaci igény van, hanem munkaerőhiány és belső adósság épül. Nincs szó fejlődésmániáról, egyszerűen minden rendszernek van egy életciklusa, jönnek az új feature-ök, a bugfixek, az új HTTP vagy TLS verzió, és ezek az új rendszereken támogatottak.

A Linuxok ugyanúgy beletolnak a fejlesztésbe, mint az MS. Pár hónappal a PHP 8 megjelenése után például megkaptam, hogy ilyen kövület PHP 7.4-gyel azért már nemnagyon foglalkoznak. Csak pislogtam, hogy még bugfix release se volt PHP 8-ból, sőt a nagyobb CMS-sek se támogatták, már kövület a PHP 7.4... Most akkor szolgáljam ki és észnélkül valahogy hekkeljek azonnal PHP 8-at, miközben a csomagos verzió majd jól keresztbeveri a konfigot? Eme kiragadott példával analóg dolgok sokszor előjönnek, viszont ember vagy pénz általában nincs ezekre, csak jönnek a kósza igények.

A helyzet az, hogy nem a "babzsákszolgáltatók" döntenek, hanem a szoftverház, aki kiadja az OS-t. Amikor lejár a támogatása, akkor minden felhős és minden nagy szolgáltató jelezni fogja, hogy meddig támogatja az adott rendszert. Valszin addig, amíg látnak érdemi userbázist, vagy lesz valamilyen változás, amit már nem tudnak emberrel követni.

Hasonló a helyzet a böngészőknél. Sorban avulnak el a régi verziók, ha nem is hivatalosan, de pl. HTML5-ös oldalak jönnek, minden jön, aztán már egy Firefox ESR ami még esetleg megy Win7-en, az talán megnyitja.

Azt így tényleg végül szeretném jelezni, hogy a TM-ektől, meg "babzsákozástól" és más magasröptű választól még nem biztos, hogy igazad lesz.

Nincs szó fejlődésmániáról, egyszerűen minden rendszernek van egy életciklusa, jönnek az új feature-ök, a bugfixek, az új HTTP vagy TLS verzió, és ezek az új rendszereken támogatottak.

Egyáltalán nem muszáj ezt az életciklust kényszerűen követni. A kompatíbilitási csomagok hiánya egyszerű zsarolás a gyártó részéről, hogy felerőltessen egy újravásárolt rendszerre, amire egyébként nem lenne szüksgéd, hiszen a régi is jól működött (és tudna működni tovább, ha lenne rá rendszerszintű WinSSL frissítés). Ahogy a New Moon is tud működni Windows XP-n a mai napig, a legújabb TLS szabványok támogatásával.

A helyzet az, hogy nem a "babzsákszolgáltatók" döntenek, hanem a szoftverház, aki kiadja az OS-t.

Bármelyik szolgáltató vagy szoftverház dönthet úgy, hogy támogat egy legacy operációs rendszert, sőt akár úgy is, hogy az egyes operációs rendszerek hosszú távú támogatására rendezkedik be.

aztán már egy Firefox ESR ami még esetleg megy Win7-en

Bár eddig is látszott, de ebből végképp élesen kitűnik, mennyire fogalmatlan vagy a legacy oprendszerekkel kapcsolatban. Windows 7-en a Google Chrome (94.0.4606.71), a Firefox (92.0.1, tehát nem ESR!) és a Microsoft Edge (94.0.992.38) is köszöni szépen, jól elvan, sőt hivatalosan támogatott is.

Azt így tényleg végül szeretném jelezni, hogy a TM-ektől, meg "babzsákozástól" és más magasröptű választól még nem biztos, hogy igazad lesz.

Az önző, mohó, korporatokra narratíva fogalmatlan csúcsra járatásától még nem biztos, hogy igazad lesz.

"hogy felerőltessen egy újravásárolt rendszerre, amire egyébként nem lenne szüksgéd" - Miről beszélsz már megint? Lehet régi vason is futtatni a Windows10-et - igaz, a dzsunkapécéken, a "csak olcsó legyen" módon összelapátolt gépeken nagyobb az esély, hogy valami nem fog működni. Normális "tizenéves" vason meg igen. Mint már írtam, nálam 2013-as a BIOS (ez már frissített verzió), a RAM 2010-es, és nincs az Windows 10-zel gondom. Igen, normális "üzleti" kategóriás "brand" PC.

A kompatibilitás nem csak azt jelenti, hogy TLS1.1 és frissebb támogatott, mert ugye nem csak az SSL az, ami technológiailag, biztonságát tekintve igencsak problémás, hanem a natív windows-os protokollokban is előrébb kellett lépni, amit szintén nem tud megugrani az XP - és nem, nem azért, mert a Microsoft ge$i és nem fejleszti, hanem azért, mert a fejlesztésére, támogatására használt erőforrásokat másra, az újabb környezetek támogatására használja a cég.

"Bármelyik szolgáltató vagy szoftverház dönthet úgy, hogy támogat egy legacy operációs rendszert, sőt akár úgy is, hogy az egyes operációs rendszerek hosszú távú támogatására rendezkedik be." - Részleges támogatásra, maximum, mert az OS komponenseiben fellelt, forráskód nélkül nem javítható hibák/sérülékenységek javítására nem lesz módja. És pont ezek a dolgok azok, amiért gyártói támogatás nélküli szoftver teljes támogatását értelmes cég nem vállal be.

 

Narratíva: sajnos hiába mondod, hogy egy nemtámogatott rendszer az működik, meg lehessen használni, ezzel elég durva veszélynek teszel ki sokakat. Ez lehet nem tetszik, meg "korporatokra", de ettől még ez a valóság. Itt jegyzem meg, hogy a MS anno mintha mondott volna olyat, hogy a Win10 már a végső Win és majd update-ekkel meg chanelekkel operálnak. Ezzel szemben itt a csodálatos Win11... Hogy a kép teljes legyen, nem csak a Windows-okkal, de a régi Ubuntukkal, Mac OS-ekkel és társaikkal is gond van. Például nemrégiben Teamviewerzni kellett egy régebbi MacOS-re, namost +1,5 óra volt, mire egy odavissza működő verzió kombót sikerült találni. Természetesen nem lehetett az illetőre terhelni a költségét, és sajnos nagyon sok ilyen van. Igen, rohadt mohó vagyok, de sajnos a zélelmiszer boltban, nem mondhatom azt, hogy figyeljenek már, nekem egy ilyen 25-30-35% kedvezmény jófejségi unsupported-friendly kártyát adjanak, ahogy a benzinkúton vagy a vasúton se adnak ilyet.

Win7 vs ESR: Őszintén elnézésed kérem, a Win XP -vel kevertem hirtelenjében. A helyzet az, hogy az ilyen jellegű napi kérdésekben nem vagyok benne. A fogalmatlan és hasonló jelzőket azért ne eröltesd, hiszent azt kéred számon, hogy egy 2,5+ éve lejárt támogatású rendszert támogató más cuccot fejből tudjon valaki, aki igazából eleve nem is akar ezekkel foglalkozni. Ugyanakkor napi problémaként látom, hogy mennyiszer szippantják fel a levelező kliensből a juzernév+jelszót és máris ömlik a spam. Sajnos erről már nem jön visszajelzés felém, de gyanítom, hogy az esetek döntő többségében a nemtámogatott OS által benyalt valami áll.

Támogatás: Miért támogatna egy harmadik fél olyan OS-t, vagy annak a használatát, amit maga az OS készítője/összeállítója/szállítója már nem támogat? Előfordulnak spéci esetek, de ott elég vaskos zsebbenyúlások vannak, na azt nem tudom mennyire aposztrofálod mohónak, korpotokra és hasonló jelzőkkel. A kedvencem egy adott cég egy ismert szervergyártó "garancia utáni támogatása" c. szolgáltatása, ami igazából azt is jelenti, hogy a gép már hivatalosan EoL és még akkor is vehetsz rá garit. Namármost per gép és per hónap olyan díjat mondtak hozzávetőlegesen, hogy szerencsétlen értékesítőt kiröhögtem véletlenül. Felvázoltam neki, hogy ennyi erővel vetetek vagy veszek egy teljes hidegtartalékot, meg több kopóalkatrészt és néha vmi óradíj ha felmerül, de még mindíg jóval kedvezőbben jön ki. Nem örült nekem... :)

Még mindíg nagy lendületű válaszokat látok, egy tapasztalati és a sanyarú valóságot felsoroló válasszal szemben.

"ennyi erővel vetetek vagy veszek egy teljes hidegtartalékot, meg több kopóalkatrészt" - szerinted ők mit csinálnak...? :-D  Ez ugyebár "vas", aminél a hibajavítás az eszköz (vagy valamelyik alkatrésze) cseréjét jelenti az esetek 9x%-ában - egy sw esetén viszont egy hibás komponenst csak ugyanolyan hibásra tudsz cserélni, ha nincs belőle az adott hibát nem tartalmazó verzió...

Nálam 14.04-es buguntunak volt kehe a netlock domain-validált certjéről letsencrypt-esre váltott szerverrel való kommunikációban... (Azért a netlock is érdekesen csinálta: adott időponttól kiadott dv-s certeket másik ca-val (azonos lejárattal, mert nehogy már egy nappal is tovább legyen érvényes az "olcsó" cert) újra kiadta, a "régit" meg azt követően 30 nappal később szépen visszavonta...)
A ca-certificates környékén kellet némi mókolást csinálni (a lejártakat kihajítani...) és most már nem prüszköl a curl...

ezzel elég durva veszélynek teszel ki sokakat

Ezt a vitát már párszor lefolytattuk. A lényeg: Se nem durva, se nem veszélyes, ha értelmesen használod. Sokkal veszélyesebb egy támogatott, frissített rendszert egységsugarú, kényelmeskedő, tapicksoló módon használni, mint egy legacy rendszert tudatosan használni.

Ez lehet nem tetszik, meg "korporatokra", de ettől még ez a valóság.

Ez nem a valóság. Ez egy lehetséges kimenetel, ha egységsugarú lúzer módjára használod a legacy rendszered. Az, hogy ezt prbóálod valóságnak beállítani, az a tech-lakájmédiából kényszeresen kölcsönvett FUD narratívád. Nem a valóság.

A helyzet az, hogy az ilyen jellegű napi kérdésekben nem vagyok benne.

Mert fogalmad nincs, hogyan lehet és kell használni értelmesen egy legacy rendszert, csak kidobod, ahogy a reklámok, a divatcikkek és a mestereiddé avanzsálódott szoftvermultiktól tanultad.

Támogatás: Miért támogatna egy harmadik fél olyan OS-t, vagy annak a használatát, amit maga az OS készítője/összeállítója/szállítója már nem támogat?

Mert használatban van és ez által az azzal való kompatíbilitás valós piaci igény.

Előfordulnak spéci esetek, de ott elég vaskos zsebbenyúlások vannak, na azt nem tudom mennyire aposztrofálod mohónak, korpotokra és hasonló jelzőkkel.

Igen, bizonyos ritka esetekben vannak zsebbenyúlások. Minden más esetben kerekítési hibából támogatható egy legacy rendszer, főleg ha a frissek ráépülnek. Windows-nál ez a helyzet pl.

szerencsétlen értékesítőt kiröhögtem véletlenül

Reméljük az unokáid is ilyen jót fognak röhögni, mikor az erőltetett elavulás miatti túlfogyasztás következtében elfogynak az erőforrások és felvet mindent a műanyagszemét és az elektronikai hulladék. Reméljük, elolvassák ezt a szálat és megköszönik neked, hogy ilyen jó humorérzéket örököltek mérnök uraságodtól.

A piaci igény az, amiért fizetnek is, az hogy valaki használja egy dolog, de jellemzően már nem tud vagy nem akar fizetni érte. Erre tudom az örökzölddé váltamat idézni, az igényekhez kell rendelni az erőforrásokat, ellenben csak pislogás vagy anyázás van.

Pontosan tudom, hogy milyen legacy redszer mennyire használható. Most ebbe a WinXP vs Win7 FF félreemlékezesembe kapaszkodsz, de az a helyzet, hogy akármennyire nem akarod megérteni, ha lejár egy OS-ről a támogatás, akkor ki kell esnie a pixisből. A másik probléma, hogy a napi ügymenetből akaratlanul is kiesik, ezért jelentősen elhalványul a mindenféle aktuális technikák mellett. Hiába mondod, hogy jajjdeegyszerű használni meg beállítani, ettől még simán ott lehetnek bennük az újabb kiadásokban felfedezett bugok, amire nem jön javítás (ez lehet egy Ubuntu LTS vagy bármi, nem kell vindózban gondolkodni). Desktop vonalon jellemzően nem egy itsec brigád állítja be ezeket és hamis biztonságérzetet adnak ezek a "óhát még jóaz" dolgok, szerver fronton pedig sok esetben 1-2 dolgot még patchelgetsz, főleg konfig módosítással mondjuk, de az hogy folyamatosan újrafordítgass meg backportolj biztonsági javítást az konkrétan nem megy, vaaaagy csak azaz 1 szervered van és lottómilliomosként aza hobbid.

Azért annyit megjegyeznék, hogy szerverfronton jellemzően addig használunk egy gépet, amíg azt lehet (és van alkatrész, vagy legalábbis elérhető). Több olyan gép van a mindenféle gépparkokban amit karbantartok, amik már bőven 5-6-7+ évesek, és még semmi bajuk, alkatrész van, meg olyan partner, akitől normálisan beszerezhető hozzá dolgok. Ha már nincs, akkor jön egy újabb generáció. Néhány kivételes esetünk van, ahol az adott cég mérete és elvárásai miatt nem jön szóba a támogatás nélküli vas, nevezhetjük akár seggvédésnek is, de roppant kellementlen beszélgetés lehet abból, hogy mit gondoltunk egy gyártói támogatás nélküli cuccról, hiszen most 3 napig áll a cég vagy egy része... (Igen, a klaszter, meg a redundancia, meg a többiek azért nem mindenhatóak.)

Azt viszonylag büszkén mondhatom, hogy részemről az elmúlt sok év alatt, csak ténylegesen meghalt szerver alkatrész ment az elektronikai hulladékba. Ezek jellemzően ventik, diszkek, és tápok voltak, illetve egy finoman megpörkölődött alaplap (magát pörkölte).

A fentihez persze az is hozzájárul, hogy olyan átürő CPU erőbeli (magonként persze) vagy szerver feature beli erősödés nem volt az elmúlt években.

Mert nyilván a még támogatott rendszerek esetén nem kel megerőltetni a fantáziámat és nyilván csak és kizárólag sablon megoldásokat használok azokat is összehalászva. Semmit nem tudsz rólam, a munkámról, az ügyfeleimről, a körülményekről stb. Mi akadályoz meg abban hogy te támogatás őket helyettem? Nem kel mindenkinek mindenkivel szerződnie. Az ügyfelek is válogathatnak a szolgáltatók között, és épp ugyanígy válogathatnak a szolgáltatók is az ügyfelek között. A szerződés az szerződés, az üzlet meg üzlet.

Az nem piaci igény, hogy

  • A Win7-et nem cseréltem Win10-re ingyen amikor lehetett,
  • mert a gépem olyan szar volt már akkor is, hogy a Win7 is éppencsak futott rajta,
  • mert még WinXP-hez vettük az akkor legolcsóbbat,
  • de ennek ellenére csináld meg, hogy minden menjen rajta,
  • viszont ingyen vagy kevés pénzért, mert azért is nem cserélek gépet, OS-t, mert nem szánok rá egy Forintot sem.

Ez fillérbaszással kombinált álomvilág, nem piaci igény. Ne keverjük már össze a piaci igényt azzal, hogy nem szán itthon egy csomó kis cég IT-ra semennyi pénzt úgy, hogy a munkáját 80-100%-ban IT eszközökkel végzi.

Az a piaci igény, amikor valaki szeretne valamit, és hajlandó is kifizetni érte azt a pénzt, amennyiér megvalósítják számára. Nyilván egy garanciális hardveren, támogatott szoftver rendszer üzemeltetése sokkal kevesebbe fog kerülni, mint egy öreg hardveren, EOL szoftver életben tartása. És van az a pont, amikor már olcsóbb cserélni, mint megtartani. Amikor nem akarja valaki kifizetni az elvégzendő munka ellenértékét, az nem piaci igény.

Végigolvasva az egész topikot, most már megírhatnád, hogy Te az ügyfélkörödben mennyi Win10-nél régebbi MS op.rendszerrel futó számítógépet támogatsz napi szinten, szerződéses alapon, pénzért. Én azt gondolom, hogy egyet sem, mert ez a terület annyira időigényes és egyúttal annyira kevés pénzt hoz, hogy ezt üzeti alapon nem lehet tartósan csinálni.

Eléggé elment ebbe az irányba az egész topik ahhoz, hogy ezt a hozzászólást én is megengedjem magamnak, a sokadik, ugyan olyan tartalmú hsz-ra reagálandó.

De az, hogy ezt Hajbazernek meg a többieknek sem Te sem más nem írta be...   ...nem lep meg! Általában engem megtalál mindenki, pedig több havonta kb. egyszer szólok hozzá bármihez, nem én vagyok a napi flame felelős jellemzően. :-DDD

mert a gépem olyan szar volt már akkor is, hogy a Win7 is éppencsak futott rajta,

A "gépem" nem volt szar. A "gépem" jó volt, éppen ezért szeretném tovább használni, kidobás és újravásárlás helyett. Csak azért, mert babzsákszolgáltatóék szeretnék elspúrkodni azt a néhány extra kört, ami kéne ahhoz, hogy Win7-tel is kompatíbilisek legyenek.

mert még WinXP-hez vettük az akkor legolcsóbbat,

Ha a legolcsóbbat vettük, az valószínűleg már gallyra ment. Pont, hogy az üzleti, prémium kategóriás gépek húzzák ki 10+ évig.

Ez fillérbaszással kombinált álomvilág, nem piaci igény.

A fillérbaszás nem piaci igény? Nem látlak nyálat verni a hipermarketek akciótábláinál. Továbbá az, hogy én használok egy eszközt, az teremti meg magát az igényt. Ennyi erővel megmondhatnák azt is, hogy aki nem ültet chipet az agyába, ami reklámokat villant fel 5 percenként, az nem tethet feljelentést, ha kirabolják az utcán, ezért inkább maradjon otthon. Szánalmas fejlődésmániás demagóg maszlag, amit képviselsz.

mennyi Win10-nél régebbi MS op.rendszerrel futó számítógépet támogatsz napi szinten, szerződéses alapon, pénzért

Több százat. Azt pedig személyes sikeremnek tekintem a munkahelyemen, hogy gépkidobatás helyett ezeket is támogatjuk.

Pontosan milyen OS -eket használtok

Nagyjából ez az arány.

  • Windows XP 5%
  • Windows 7 35%
  • Windows 8.1, 30%
  • Windows 10 20%
  • Linux 10%

hogyan tudjátok követni például az ilyen Let's Encryptes problémákat?

Installáljuk a megfelelő root certeket DC-ről. Ez egyedül XP-n jelent nehézséget, ahol az ECC certek nem támogatottak. Ott kézzel kell importálni a böngészőbe, de ezt meg lehet oldani startup scripttekkel.

Mennyire tudjátok elkerülni az állandó malware és phising problémát?

Teljes mértékben.

Azt rakom fel, amit az alkalmazottak, illetve a főnökeik kérnek. Tudod, én tiszteletben tartom, ha valaki egy adott rendszert preferál és nem fogom ráerőltetni sem az én szájízem szerintit, sem fejlődésmániásék előreasemmibe kedvenceit.

Ha valaki a munkája elvégzéséhez Windows 3.11-et és DOS 6.22-t szeretne használni és ezzel el is tudja végezni, akkor szívesen felrakom neki azt is, már amennyiben valahogy meg tudjuk oldani a megfelelő régi hardver beszerzését. Nem volt még ilyen igény.

És nem, a felhasználó sem kérhet olyan OS-t, ami már EOL-os.

De igen, kérhet. Jobb helyeken, ahol nem szoftvermulti-kartellek üzleti érdekei alapján erőltetik rá az alkalmazottakra az eszközöket, ott kérhet. Én pedig pont egy ilyen jobb helyen vezetem az IT részleget.

Más a véleményünk a "jobb hely"-ről. Már ott kezdődik a dolog, hogy olyan csőlátású, múltban ragadás-párti barom vezetői beosztást kaphat, mint te. Ilyen helyről az értelmes emberek menekülnek, maximum a langyos vízben tapicskolni szerető lustilovicsok maradnak, de ők is csak azért, mert szakmai fejlődés témakörben semmit sem tudnak felmutatni.

Mondjuk ha a "kérhet" nem jár együtt automatikusan azzal, hogy kap is, akkor egy hangyafasznyival talán jobb a helyzet.

Más a véleményünk a "jobb hely"-ről.

Eddig egyetértünk, mert nekem is más a véleményem a jobb helyről.

A többi csak szánalmas, fejlődésmániás, szűklátókörű fröcsögés a részedről, mert az egységsugarú, előre a semmibe, legkisebb ellenállás felé tendáló, polcról levehető megoldásokat meglátó tudatoddal képtelen vagy elképzelni is, hogy lehet egy kicsit másként annál, amit hardver- és szoftvermultiék a marketinganyagaikban, ajánlásaikban bemutatott modellvalóságok szerint leírtak.

A tartományvezérlők milyen Windows-ok, illetve milyen Domain Level van épp? Az XP miatt szerintem 2000-es vagy 2003-asnál sokkal nagyobb nem lehet talán.

A malware és tsai gondot hogyan kerülitek el? Azért így elég vad mennyiségű bug tátong a rendszeren, az SMB1-től kezdve a nyomtatós bugig.

Az SMB1-re a Microsoft adott ki soronkívüli javítást XP-re, tehát a kérdés felesleges.

Ettől függetlenül, kliensenként tűzfalszabályokkal szűrjük, az egyes portokon milyen cél és forrás IP-k forgalmazhatnak. Például, XP-s laptop SMB-n csak a mi saját SMB serverünkkel veheti fel a kapcsolatot.

Tehát ugye a protokol tulajdonságait nem javították, csak 1 kiemelkedően nagy hibát, mert annyira gáz volt. Gondolod, hogy nincsenek azóta újabb, de kevéssé gázos, ámbár kihasználható hibák?

Ez a fenenagy harcod ez érdekes. A helyzet az, hogy jellemzően üzemeltetési szintén nincs lehetőség fejleszteni, hanem az adott támogatott dolgok közül lehet úgymond levenni a polcról. Igen, ha úgy tetszik, ez előre csomagolt dolgok használata, viszont se nem fizetik ki sehol, hogy szupernagyon megújulj, se igény sincs rá. A másik oldal pedig, hogy ha valami gubanc van, pláne a támogatás hiányában, akkor igen erős pingvinezés jön. Különös tekintettel a felszippantott malware-ekre, hogy a finom kis kódolós történetekről ne is beszéljünk. (Attól még ott lehetnek Malwarez kapitány kalandjai, hogy nem veszed észre, vagy nem látszanak.)

A kedves felhasználók jellemzően mindent azonnal akarnak, meg jajjdejólegyen, akkor nekik is a támogatott rendszerek világa felé kéne fordulni. Példááául pár napja beküldtek egy Outlook hibát, miszerint a "tároló megtelt". Ez egy igen régi Outlook lehet, ahol emlékeim szerint a PST file-ok 20GB körül megteltek, lehetnek ott bajok...

"Ha mínuszos lenne, pedig már lehúzták volna a rolót." - vagy kivezették a gyártói support nélküli szoftverek támogatását. Nem, az nem "support", hogy mancikának újratelepítik, meg beállítják a nyomtatót, meg hasonlók - az a support, hogyha sw-es hiba van, akkor arra is adnak megoldást, legyen az működési hiba, működési hiányosság, vagy biztonsági rés.

"Ahogy a Microsoft se lenne mínuszos, ha továbbra is támogatná az XP-t." - Ki fizetne érte? Ugyanis a termék árában x ideig tartó support-eröforrás költsége volt benne - azaz az XP forgalmazási időszakában az abból származó bevétel egy részét el kellett rakni a forgalmazás utáni időszakban fenntartott támogatói erőforrások költségére. Ez a keret viszont kifejezetten véges, ergo a támogatás sem lehet végtelen.

( -Mr- | 2021. 09. 30., cs – 17:26 )

FortiGate tűzfalakon is problémás a tanúsítvány ellenőrzés.

Hiába van benne az új root cert is a trusted root-ok között, megáll az első hibás találatnál, ami a régi root certre vezet vissza.

(Workaround: át kell engedni a hibás certeket is.)

( cvk v | 2021. 09. 30., cs – 23:50 )

Hátha valakinek gyors segítség, Sophos UTM alatt SSL bontott Proxyhoz;

 

Web Protection - Filtering Options - HTTPS CAs tab, itt inaktívvá kell tenni a "Digital Signature Trust Co. DST Root CA X3 CA" -t.

Ezután a Web Protection - Web Filtering - Global tabon a Web Filtering status-t ki-be kell kapcsolni a proxy szerviz újraindításhoz, onnantól már az új "Internet Security Research Group ISRG Root X1" -es lánccal elfogadja a Let's Encrypt által kiállított oldalakat.

( nooke4000 | 2021. 10. 01., p – 07:21 )

Mi ugy oldottuk meg gyorsban, hogy at proxizunk bizonyos dolgokat Cloudflaren. A legrosszabb ami ebbol fakadhat, hogy a multi-level domainekre kell egy Advanced Edge Certifiacte ami lefedi nem csak a *.example.com, de a *.xyz.example.com domaineket is. Ez kerul sulyos US$10/ho ^_^

--
https://www.opensuse.org/
https://en.opensuse.org/User:Adathor
Favorite DesktopOS's: openSUSE MicroOS, openSUSE Tumbleweed
Favorite ServerOS's: openSUSE MicroOS, openSUSE Kubic

( NevemTeve | 2021. 10. 01., p – 09:13 )

Egy ilyen Let's Encryptes cert mindig hivatkozik mindkét RootCA-ra (a lejártra meg a nem lejártra)?

Ez ennél jóval bonyolultabb. Egy certificate hivatkozik egy issuer-re, de nem az alapján dől el az érvényessége, hanem az aláíró kulcsa alapján. Ha van két különböző intermediate certificate, aminek ugyanaz a kulcspárja, akkor úgymond mindkettő egy valid intermediate CA-ja a webszervered cert-jének. És a két intermediate közül bármelyik elvezethet egy Root CA-ig, és valid lesz a kiinduló certificate.

Részletek: https://scotthelme.co.uk/cross-signing-alternate-trust-paths-how-they-w…

Ha közben lejárt valami, az az útvonal biztos nem jó. Tipikusan az van, hogy az eredeti aláírási láncban (cross sign nélkül) mindig a root CA jár le legkésőbb, ennél csak korábban járhat le az intermediate, és ennél még korábban a webszerver CA.

Itt tippre nagyjából az van, hogy már az új intermediate és az új Root CA van használva aláírásra, de a cross sign miatt még jó amúgy a régi root CA is. De pont most lejárt a régi root CA, ezért azokon a gépeken, amiken nincs ott az új root CA, azokon már nem lesz érvényes útvonal.

Hogy ne menjünk messzire, a hup.hu -ról ilyeneket mond az openssl s_client -trace -showcerts

1 s: CN=hup.hu
  i: C=US, O=Let's Encrypt, CN=R3
  nb: Aug 27 06:41:29 2021 GMT
  na: Nov 25 06:41:28 2021 GMT
  fp: FD:74:12:69:8A:1E:66:8A:3E:1E:D7:2F:91:BC:B1:DD:ED:12:4B:B3
---------------------------------------------------------------
2 s: C=US, O=Let's Encrypt, CN=R3
  i: C=US, O=Internet Security Research Group, CN=ISRG Root X1
  nb: Sep  4 00:00:00 2020 GMT
  na: Sep 15 16:00:00 2025 GMT
  fp: A0:53:37:5B:FE:84:E8:B7:48:78:2C:7C:EE:15:82:7A:6A:F5:A4:05
---------------------------------------------------------------
3 s: C=US, O=Internet Security Research Group, CN=ISRG Root X1
  i: O=Digital Signature Trust Co., CN=DST Root CA X3
  nb: Jan 20 19:14:03 2021 GMT
  na: Sep 30 18:14:03 2024 GMT
  fp: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF

Ebből hiányzik a DST Root CA X3, ami ilyen:

  s: O=Digital Signature Trust Co., CN=DST Root CA X3
  i: O=Digital Signature Trust Co., CN=DST Root CA X3
  nb: Sep 30 21:12:19 2000 GMT
  na: Sep 30 14:01:15 2021 GMT
  fp: DA:C9:02:4F:54:D8:F6:DF:94:93:5F:B1:73:26:38:CA:6A:D7:7C:13

Alapállapotban ezt látom:

$ wget https://hup.hu/
--2021-10-01 15:26:48--  https://hup.hu/
Resolving hup.hu (hup.hu)... 92.119.122.43, 2a01:6ee0:1:201::bad:c0de
Connecting to hup.hu (hup.hu)|92.119.122.43|:443... connected.
ERROR: cannot verify hup.hu's certificate, issued by 'CN=R3,O=Let\'s Encrypt,C=US':
  Issued certificate has expired.
To connect to hup.hu insecurely, use `--no-check-certificate'.

Ha telepítem az előbbiek közül hármast a /usr/local/ssl/certs-be (+ c_rehash), akkor ez lesz:

$ wget https://hup.hu/
--2021-10-01 15:32:04--  https://hup.hu/
Resolving hup.hu (hup.hu)... 92.119.122.43, 2a01:6ee0:1:201::bad:c0de
Connecting to hup.hu (hup.hu)|92.119.122.43|:443... connected.
HTTP request sent, awaiting response... 200 OK

Kicsit szétnéztem, most úgy vélem érteni, hogy a szerver-üzemeltetőn múlik, hogy melyik láncot óhajtja:


CN=hup.hu
C=US, O=Let's Encrypt, CN=R3
C=US, O=Internet Security Research Group, CN=ISRG Root X1 [önaláírt]

vagy


CN=hup.hu
C=US, O=Let's Encrypt, CN=R3
C=US, O=Internet Security Research Group, CN=ISRG Root X1
O=Digital Signature Trust Co., CN=DST Root CA X3 [önaláírt]

( uid_4672 | 2021. 10. 01., p – 11:23 )

Szerkesztve: 2021. 10. 01., p – 11:24

az is segített, hogy egyszerűen letöröltem a DST_Root_CA_X3.crt file-ot... kliens oldalon, of course (Debian 8-as volt)... s akkor már tudta használni a ISRG Root X1-et a validáláshoz

vagy egyszerűen kitörölni az X3-at a fullchain.crt-ből... a szerveren

( ibenny v | 2021. 10. 02., szo – 13:33 )

Szerkesztve: 2021. 10. 02., szo – 13:33

Ahol kellett (valójában csak egy helyen, egy Electron-os alkalmazás miatt) egyszerűen kértem egy új tanúsítványt certonly-val preferred chain-ként az “ISRG Root X1”-et megadva, aztán probléma megoldva. :)

( KGer | 2021. 10. 02., szo – 18:09 )

fúú hogy én hogy belefutottam ebbe a hibába win7 chrome-al

csak annyit láttam hogy 2 napja bizonyos oldalakra indoklás nélkül TIMEOUT-ol a chrome

még jó hogy ki tudtam elemezni mi van és megtaláltam a megoldást, nekem nem volt egyszerű, átlag user sztem teljesen esélytelen
 

( SCOPE | 2021. 10. 02., szo – 19:30 )

Megsúgom, ezt egy teljesen frissen tartott windows10 is csinálja...

Kitöröltem a lejáró gyökércertet a windows tárolójából, ezután az edge-nek nem volt baja az adott oldallal

de érdekes, a Nextcloud kliens még mindig csinálja, pedig az is a Windows tárolójából veszi a gyökér certeket.

(Természetesen a Nextcloud kliens frissítésével kezdtem, de nem javult meg.)

( plt | 2021. 10. 06., sze – 09:46 )

Azért álljon itt a linuxos megoldása is a problémának, hátha valaki szintén beleütközik:

rm /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
update-ca-certificates

Nálam PHP curl lekéréseket is megakasztott, de ez megoldotta.

( NevemTeve | 2021. 10. 06., sze – 21:51 )

Off: Most éppen azzal örvendeztetett meg a Firefox (93.0-ra frissülve), hogy "elfelejtkezett" a házi RootCA-certemről... Végül is annyi mindenre kell emlékeznie, ez pont kiesett.

Mondjuk intő jel lehetett volna, hogy egy ideje azt mondogatja az ilyen kézileg telepített certificate-ekre, hogy "A kapcsolatot egy olyan tanúsítványkibocsátó igazolta, amelyet a Mozilla nem ismeri fel".

Persze ezt úgy érti, hogy "Egyelőre még te is beleszólhatsz abba, hogy kiben bízol, de vigyázz, lehet, hogy nem lesz mindig így!"

( kbalint v | 2021. 10. 11., h – 13:34 )

Engem csak az basz fel, hogy nagy arccal nyomta az összes Let's Encryptes, hogy a certificate lejárás egy non-issue, hát persze, egész jól sikerült, azért kellett post mortemet írni róla: https://scotthelme.co.uk/lets-encrypt-root-expiration-post-mortem/ Az a baj, hogy mostmár az infrastruktúra is pár önjelölt hülyegyerek játszótere lett a weben.

~ubuntu, raspbian, os x~

Nem kell nagy certificate expertnek lenni ahhoz, hogy megértsük az egész koncepcióját.
Nyilván ha "kimegy" a chain alól a root cert és "nem jön be" helyette másik akkor el fog törni.
"Magától" nem tud megjavulni, vagy az oprendszernek kell felraknia az új certet, vagy ha nincs frissítés akkor a usernek két kattintás.
Nincs itt semmi újdonság, semmi érdekesség.

Technikailag non-issue, de se nem kommunikálták se nem oktatták eleget ahhoz, hogy ne legyen felháborodás.
Persze akármennyit is lehet kommunikálni, mindig lesznek akinek semmi se elég, csak nem mindegy hogy mekkora ez a csoport.

_nekem_ például non-issue volt minden szempontból.

Gábriel Ákos

Nem értem a folyamatot. A lecserélt root CA nem szept.30-n indult. Miért nem lehetett menet közben átvezetni az új root CA-ra? Nagy előny, hogy 3 havonta megújul a cert. 3 hónap alatt ki lett volna pörgetve a régi és senki nem érezte volna meg. Nem értem ilyen felkészületlenül lett ez az egész kezelve.

A kliens oldal egyik másik történet, én most a szerver oldalról írtam, ahol még a szeptemberi certek is régi root CA-val lettek hitelesítve.

Wow akkor tényleg központilag cseszték el a certificate kiadást de nem kicsit...
Ezt nem tudtam, nekem nem volt semmi issue sehol.

Volt nemrég hogy az acme v1 teljesen leállt (de azt vagy 5 éve hirdetik) és akkor a certificate megújítás nem sikerült, az másik káposzta.

Gábriel Ákos

Visszaneztem a historykat, tobb gep '/etc/letsencrypt/archive/' folderei alapjan, a marciusban generalt certekben meg "R3"-as cert volt, a majusban generaltakban mar "ISRG Root X1". A majusban generaltak is lejartak mar augusztusban, az augusztusiakban szinten mar a jo "ISRG Root X1" volt. 

"Technikailag non-issue, de se nem kommunikálták se nem oktatták eleget ahhoz, hogy ne legyen felháborodás."

kb havonta kapom a regnél megadott e-mail címre az információkat, mindent megfelelően kommunikáltak. 05 -kor az új certpath miatt a monitorozó rendszerünk felvisított, de csak azért, mert biztonságtechnikai okok miatt nézzük és vizsgáljuk a path-ot is.

// Happy debugging, suckers
#define true (rand() > 10)

( NevemTeve | 2022. 08. 03., sze – 10:14 )

Az egyik ketyerén most találtam egy ilyen file-t (/usr/local/ssl/certs):

s: O=Digital Signature Trust Co., CN=DST Root CA X3
i: O=Digital Signature Trust Co., CN=DST Root CA X3
nb: Sep 30 21:12:19 2000 GMT
na: Sep 30 14:01:15 2021 GMT
fp: DA:C9:02:4F:54:D8:F6:DF:94:93:5F:B1:73:26:38:CA:6A:D7:7C:13

Ezt kellett onnan kiszedni, és helyette valami ilyet telepíteni:

s: C=US, O=Internet Security Research Group, CN=ISRG Root X1
i: C=US, O=Internet Security Research Group, CN=ISRG Root X1
nb: Jun  4 11:04:38 2015 GMT
na: Jun  4 11:04:38 2035 GMT
fp: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8