SSL и безопасность запросов?

Question

[IDONTSUDO]

У меня есть домен А с SSL сертификатом.
И есть домен B с совершенно другим SSL сертификатом.
Будут ли запросы являться безопасными с домена А на домен B?

Answer 1

[xmoonlight]

Нужно настроить в SSL: обязательное требование forward secrecy при соединении на своём сервере.
Тогда публичный ключ не может быть получен при переходе с одного домена на другой домен.
И весь обмен трафиком будет идти в рамках ЕДИНОЙ SSL-сессии.

Answer 2

[Владимир Коротенко]

Что вы подразумеваете под безопасностью?
Если вы про транспортный уровень то да, поток будет зашифрован публичным ключом.
Если про запрос из js, то CORS не позволит, пока не настроите.

EVIL

------------------- | _________________________ |
Site A Запрос -> Transport SSL -> Site B
--------------------|__________________________|

Comments

[IDONTSUDO]

Я про то будет ли ругаться браузер на не защищенное соединение?

[Владимир Коротенко]

То есть вы хотите встроить iframe (допустим) на страницу?

Браузер не будет ругаться, если конечно на этой странице нет ссылок на http.

Насколько я помню ошибка выглядит так: This page contains mixed content. Continue navigation?

[IDONTSUDO]

CORS настроена. Я просто купил VDS ubuntu развернул там свой node.js сервер а SPA выложил на хостинг firebasehost.И firebase ругался на не защищенное соеденение. Хотя все шло в рамках HTTPS. Ладно по не ведомым причинам он перестал ругаться. И это хорошо.

[xmoonlight]

Владимир Коротенко, (без обид)
Почитайте про ssl на досуге.

[IDONTSUDO]

xmoonlight, если посоветуйте хорошую статью не на уровне данных с викпедии, RFC подойдет, но не подойдет:D

[xmoonlight]

IDONTSUDO, как раз вики в моём ответе.

[Владимир Коротенко]

xmoonlight, насколько углубляться? (без обид)

Для прикладного уровня я достаточно сказал, а если дальше разбираться то всегда есть RFC

[xmoonlight]

Владимир Коротенко, для прикладного - Вы сказали совсем не то!
Вопрос автора был:

Будут ли запросы являться безопасными с домена А на домен B?

1.

Если вы про транспортный уровень то да, поток будет зашифрован публичным ключом.

Не будет, если нет передачи ключа между доменами!

2. SSL и CORS - какая свзяь?!

[Владимир Коротенко]

xmoonlight,
1. https://ssl.com.ua/blog/what-is-ssl-tls-handshake/ смотрим медитируем

2. Непосредственная. Вывод ошибок в браузере: "обычно пишется this request blocked by security reason"
Так что фиг его знает что имеет в виду человек и как он перевел фразу.
Причем эта фигня встречается при

* CORS
* устаревшая библиотека SSL
* дятлы из роскомнадзора с кривым DPI
* fetch и прочие запросы
* Неверном протоколе
* доступе к чужому фрейму
* WEBRTC
* чужих куках
* возможно что то еще что я не вспомнил

[xmoonlight]

Владимир Коротенко, 1 - для одного сервера!
PS: всё, что ниже - это просто домыслы, а не детекция проблемы.

[Владимир Коротенко]

xmoonlight, да хоть для тысячи.

Браузер есть клиент, даже другой сервер есть клиент, все что обращается к кому то есть клиент.

Или расширяйте свою мысль, я вас не понял.

[xmoonlight]

Владимир Коротенко, спрошу прямо:
Что такое и для чего применяется forward-secrecy в SSL/TLS?

[Владимир Коротенко]

Надстройка над согласованием ключей. Только какое это имеет дело к нашему разговору?

[xmoonlight]

Владимир Коротенко, Вот как Вы поймёте, так и ответите на свой вопрос.

[Владимир Коротенко]

Пока я понял что у вас высокое самомнение, отсутствие знаний, и неумение объяснять.