Témata

1

Server / Důvod výpadku Webglobe

« kdy: 23. 01. 2024, 18:38:10 »

Tušíte někdo, proč mají masivní výpadek?

Je tu nějaký insider, který by anonymně pustil do světa alespoň náznak, co se jim podělalo, že to vedlo k odstavení webů a poštovních serverů na několik hodin (tj. dnes cca od 14. hodiny a stále jsou mimo provoz)? A hlavně jak dlouho to potrvá, abych mohl uklidnit firmy, co jsou na jejich službách závislé? Případně promptně zahájit migraci nejdůležitějších věcí jinam

Tak zpět... zdá se, že už to zprovoznili.

2

Server / OpenSSL a databáze vystavených certifikátů index.txt

« kdy: 20. 12. 2022, 11:52:25 »

Zápasím s OpenSSL v roli malé CA.

Problém je, že se mi nezapisují certifikáty do databáze vystavených, do index.txt se zapsal pouze certifikát CA a pak každý revokovaný.
Tuším, že je to modulem openssl x509 který používám místo openssl ca a to takto:

Kód: [Vybrat]

# generuj
openssl genrsa -out "$CADIR/certs/$CERTNAME-priv.pem" 4096

# zadost
openssl req -new -sha512 -subj "/CN=$CNAME" -key "$CADIR/certs/$CERTNAME-priv.pem" -out "$CADIR/certs/$CERTNAME.csr"

# podepsat
openssl x509 -req -sha512 -days 3650 -in "$CADIR/certs/$CERTNAME.csr" -CAkey "$CADIR/private/cakey.pem" -CA "$CADIR/cacert.pem" -out "$CADIR/certs/$CERTNAME.pem" -extfile "$CADIR/$CERTNAME.cnf

# konverze
openssl x509 -inform PEM -outform DER -in "$CADIR/certs/$CERTNAME.pem" -out "$CADIR/certs/$CERTNAME.crt"
V extfile jsou AltNames, nezbytnost pro Chrome, Edge atd...

Otázka tedy je - má, nebo nemá tento způsob podepisování certifikátu přidávat záznam do index.txt? V manuálu o tom zmínka není, pouze v manuálu k openssl ca, takže hádám, že nemá.

Pokud se x509 aktualizovat index.txt nemá, jak správně podepíšu certifikát s použitím openssl ca abych zároveň mohl podstrčit AltNames v násl. formě?

Kód: [Vybrat]

subjectAltName=DNS:tricetpet.local,DNS:tricetpet,IP:192.168.0.35
Příp. mohu nějak zařadit existující známý existující certifikát vystavený mou CA do index.txt dodatečně? Resp. přidat jinak, než že ho tam vepíšu ručně podle údajů vytažených z certifikátu v DER formě...

3

Sítě / VDSL2+ WiFi router/AP s možností blokace všech webů, kromě vybraných?

« kdy: 07. 05. 2021, 12:01:38 »

Nemám šanci zkoumat vše, co se prodává, tak se zkouším zeptat.

Existuje na českém trhu dostupný router u kterého by bylo možné uživatelsky nakonfigurovat např. proxy tak, aby povoloval uživatelům ve vnitřní síti přístup pouze na vybrané weby? Něco od TP-Linku, Netgearu atd... v cenové relaci 2 - 3000Kč, možná ne o moc dražší?

Vím, že by to mělo být možné pomocí OpenWRT a Proxy Squid, jenomže to nejspíš nelze instalovat na cokoli... resp. vím, že TP-Link to někdy kolem roku 2016 kvůli FCC začal blokovat. Mám router s doby předtím, ale ethernet ne ADSL a tam se mi už Squid nevejde, abych to otestoval. Na normálním Linuxu jsem už Squid používal k blokaci Facebooku a spol., takže vím, že to jde (ale blacklist, ne whitelist, nyní potřebuji whitelist).

Proxy je asi jediná možnost, nechci blokovat pomocí IPv4/IPv6 to není udržitelné. Nechci blokovat pomocí DNS, protože se to dá obejít. Potřebuju opravdu jen přístup pro několik vybraných webů zadaných pomocí doménového jména.

Existuje VDSL2+ router s Proxy a možností nastavit whitelist webů?

Existuje VDSL2+ router, který má dost velkou Flash i RAM a funguje na něm poslední verze OpenWRT, kde bych si mohl nainstalovat co se mi zlíbí?

Turris Omnia kvůli ceně spíš není volba, krom toho jsem se dočetl, že nemá VDSL port, jen ethernet.