• Зачем нужны корневые сертификаты?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Вся система PKI - она иерархична и построена на доверии. Больше ни на чем. Только на доверии, которое достаточно один раз обмануть, чтобы перестать доверять системе в целом.

    Есть некое множество контор, которые выпускают SSL-сертификаты. Они не самые лучшие и не самые правильные, просто однажды они собрались и решили замутить бизнес. Почему все доверяют им? Да просто потому что до недавнего времени не было поводов их обвинить в мошенничестве - там все в порядке (было) с "внутренней полицией", которая нарушителей выкидывала нафиг с пляжа.
    Ну и - самое главное - все доверяют им, потому что их корневые сертификаты размещены в хранилищах корневых сертификатов у Windows и Mozilla (Google использует хранилище Windows).

    И все

    Никакой исключительности - просто тупой договорняк размером с мир. Но, поскольку всегда есть возможность поместить в хранилище корневых (кроме как в андроиде, который сразу же начинает визжать "аааа, меня контролирует Большой Брат!") свои собственные сертификаты - эта схема всех устраивала.

    Пока ребята не решили выстрелить себе в ногу, прекратив выпуск сертификатов в зонах .ru/.su/.by/.рф просто по политическим мотивам. Их право - частный бизнес - он такой частный бизнес. Но тут все резко как-то вспомнили, что все "мировые удостоверяющие центры" вовсе нифига не мировые, а просто кучка самозванцев.

    И будут у нас скоро госСA, госсертификаты, госбраузеры и все прочее в порядке импортозамещения.

    Теперь о том, как проверяется валидность сертификата. А проверяется она очень просто - если сертификат выпущен CA, который находится в списке доверенных - он валидный.

    ВСЕ!

    Ты можешь развернуть свой CA, поместить его сертификат в хранилище корневых у себя на компе - и все сертификаты, выпущенные им - для тебя - станут валидными. Выпускай хоть для vk.com, хоть для whitehouse.gov.

    И вот именно поэтому все так боятся поместить в хранилище корневых сертификат от какого-нибудь госСA - потому что все сертификаты, выпущенные им система будет считать валидными! Она не делает разницы между сертификатом от Thawte и от "Товарищ Майор Inc." - она примет сертификат и от того, и от того. А товарищ майор, получив возможность выпускать сертификаты, валидные в Вашей системе, будет выпускать их на ходу и подсовывать их вместо "настоящих", получая доступ к сессионным ключам и таким образом расшифровывая https-трафик (что собственно Fiddler и делает)
    Ответ написан
    8 комментариев
  • Как зарезервировать много доменных имён на один сервак на будущее?

    @ALonUa
    После покупки доменов и покупки самого простого тарифного плана хостинга, вы можете добавлять неограниченное количество доменных имен на свой серверный адрес. Вам просто нужно будет изменить nameserver в панели управления доменным именем. В reg.ru можно и домены купить и хостинг арендовать. Для простецкой страницы самого простого тарифа будет достаточно.
    Ответ написан
    4 комментария
  • Какое устройство предоставляет публичные IPv4 в мобильной сети?

    hint000
    @hint000
    у админа три руки
    Получается, что существует некий "большой" маршрутизатор, принадлежащий провайдеру, который поддерживает NAT
    Для этого даже отдельный термин придумали:
    https://www.google.com/search?q=carrier+grade+nat
    (в вольном переводе на русский: NAT, здоровенный, как авианосец)
    Ответ написан
    4 комментария
  • Какое устройство предоставляет публичные IPv4 в мобильной сети?

    fzfx
    @fzfx
    18,5 дм
    Получается так.
    Ответ написан
    Комментировать
  • Почему не работают службы, слушащие порт 1024 и выше?

    @Drno
    мне кажется хостер...
    Ответ написан
    Комментировать
  • Можно ли открыть общий доступ ко всему системному диску?

    Griboks
    @Griboks
    Это скажется отрицательно на вашей безопасности. А если вас это не волнует, то можете смело включать общий доступ и даже удалить пароль с Wi-Fi.
    Ответ написан
    Комментировать
  • Безопасен ли общий IP для VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Очередное супер-пупер VPN-приложение, которое неизвестно кто админит? Чувак, есть немалая вероятность того, что этот VPN админится спецслужбами той или иной страны - может быть не напрямую, а "на кривую", но инфа все равно сливается вся.
    Единственный надежный VPN - свой
    Ответ написан
    Комментировать
  • Последствия для владельцев VPN признания Meta экстремистской?

    yakovlev_13
    @yakovlev_13
    Шаманство, экзорцизм и некромантия.
    Как то так сейчас. из СМИ

    «Использование продуктов компании Meta физическими и юридическими лицами не должно рассматриваться как участие в экстремистской деятельности. Лица не будут привлекаться к ответственности только за то, что они пользуются услугами Meta», — заявили в прокуратуре.

    При этом пока что остаётся открытым вопрос о покупке рекламы российскими пользователями и компаниями на платформах Meta — по мнению юристов, это теперь может приравниваться к финансированию экстремистской деятельности.
    Ответ написан
    Комментировать
  • Возможно ли сделать в среде виртуализации коммутотор и маршрутизатор?

    anthtml
    @anthtml
    Системный администратор программист радиолюбитель
    Большинство "взрослых" эмуляторов сети, типо ensp, gns3 и подобные работают поверх систем виртуализации. PacketTracer работает на своей эмуляции, поэтому немного скудноват.
    Если в голом плане, то в большинстве систем виртуализации есть виртуальные коммутаторы к которым можно подключать адаптеры виртуальных и хост машин, некоторые из них умеют в назначение VLAN транков.
    Имеются дистрибутивы виртуальных маршрутизаторов под x64-x86 платформы, у того же Mikrotik. Fortigate и других.
    Виртуальный L2, аля 2960, можно сделать из виртуального маршрутизатора просто набросав нужное кол-во портов
    Ответ написан
    Комментировать
  • Как лучше объединить 2 hdd в 1?

    Rsa97
    @Rsa97
    Для правильного вопроса надо знать половину ответа
    Для получения 5TB надо делать RAID0 или JBOD. Какими средствами - непринципиально. Всё равно при выходе одного HDD из строя с большой вероятностью потеряете всю информацию.
    Ответ написан
    3 комментария
  • На что обратить внимание на сервере после взлома?

    ky0
    @ky0
    Миллиардер, филантроп, патологический лгун
    В подобных случаях лучше переустановить ОС к чертям, имхо.
    Ответ написан
    Комментировать
  • Как заблокировать определенную страницу сайта?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Кому хотите закрыть? Своим детям, или коллегам, или клиентам? Способы будут разные.
    Обычно проще всего - банально попросить не заходить. В качестве причины объясните ту, по которой вы хотите заблокировать. Если вы правы, то люди и так к вам прислушаются, и не будут заходить.
    Ответ написан
    Комментировать
  • Локальная сеть в офисе 10 Гигабит по меди возможно ли?

    @Newbie2
    Учитываем что от розетки идет патч-корд 6А категории, но обжат rj-45 cat 5e.

    Сомневаюсь, что у вас получилось качественно обжать. В 6А жила толще и он в коннектор 5е гарантированно не лезет.

    Все кабеля не экранированные.


    Как так? У 6А категории пары обязаны быть экранированные, экран надо заземлять.

    1. Как правильно написали выше - уменьшайте количество контактов. Розетку - исключить.

    2. Проверить связь коммутатора с землей.

    3. Разъемы должны быть экранированные, экран разъема должен соединяться с экраном кабеля. Не будет экрана --> не будет защиты от перекрестных помех --> не будет заявленной скорости. Т.е. необходимо обеспечить контакт экрана пар кабеля с PE (PEN) проводником электросети. Пример правильного разъема тут

    4. Калибр жилы должен быть не менее 20 AWG. Если у вас 23-24 AWG - это так называемый "псевдокабель категории 6А", который производитель позиционирует "для патчкордов". На помойку. Пример нормального кабеля тут Это самый доступный по цене кабель категории 6А.

    5. Если все-таки пары кабеля неэкранированные - смело на помойку. Это не 6А.

    p.s. И напишите, пожалуйста, марку используемого кабеля. Мне для статистики.
    Ответ написан
    2 комментария
  • С какого дистрибутива Linux начать?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Быстро и на уровень "линукс-чайника" - бубунта, минт
    Не очень быстро и на уровень корпоративного админа средней руки - центос, дебиан
    Оооочень не быстро и на уровень гуру - арч, генту, слака, LFS
    Ответ написан
    2 комментария
  • Регистратор просит имена серверов DNS. но не просит IP. Откуда он узнает про IP?

    @granty
    Бруто, там всё просто.

    1. когда вы регистрируете домен, никакие NS-сервера сообщать не надо. Статус домена будет: REGISTERED, NOT DELEGATED.

    2. NS-сервер нужен если вы поднимаете на домене какой-нибудь сервис (сайт, почту и тп), то вам нужно ДЕЛЕГИРОВАТЬ его на хостинг(на IP-адрес).
    - если вы используете сторонний DNS-сервер, просто указываете его имя в панели регистратора. Никакой IP-адрес этого DNS-сервера не нужен, он просто определяется по nslookup или dig.
    - если вы используете свой DNS-сервер в том же домене, который делегируете, то нужно указать и имя DNS-сервера и его IP-адрес. Потому, что одновременно делегируется и домен, и DNS-сервер, поэтому IP-адрес DNS-сервера узнать неоткуда.

    То есть, при делегировании домена bbb.com и DNS-сервере ns.bbb.com (он находится в самом делегируемом домене) надо указать и имя и IP.

    А при делегировании домена bbb.com и DNS-сервере Cloudflare amanda.cloudflare.com достаточно указать только имя DNS-сервера. IP-адрес, где будет хоститься домен, прописывается уже на этом сервере amanda.cloudflare.com.

    PS: Количество DNS серверов при делегации домена (и должны ли они находиться в разных подсетях класса C) определяется регламентом на зону. Он разный для ru/com/org и тп.
    Ответ написан
    1 комментарий
  • Как сделать wifi стабильным как через кабель?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    Никак. Другой OSI 1 уровень. Другие принципы передачи. Даже в собственной квартире - за стенкой новый сосед, который купил новую точку и поставил ее прямо возле смежной стены, например. Что уж говорить об производстве, например.
    Ответ написан
    1 комментарий
  • Как сделать wifi стабильным как через кабель?

    Никак. Ну или изобрести свой стандарт.
    Ответ написан
    Комментировать
  • Какую операционную систему выбрать для ноутбука?

    POS_troi
    @POS_troi
    СадоМазо Админ, флудер, троль.
    Та которая нравится ту и выбирайте, мы то чем помочь тут можем?
    Как говорится "на вкус все фломастеры разные", но если уж сильно интересует мнение то CentOS :)
    Ответ написан
    Комментировать