Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #15 kdy: 08. 02. 2022, 09:36:05 »
už před 3 roky jsme všude přešli na proxy server pro přístup k iLO, iDRAC a podobným admin interfacům, kde je běžné, že TLS certifikát je stejně navalidní, tj. vydaný na jinou doménu, dlouhá platnost či neznámá CA. Buď se používá klasická http MitM proxy s terminací TLS nebo častěji webová (citrix, cyberark nebo i novnc a podobné). VLAN není zabezpečení, protože může být napadnutý počítač administrátora (tohle není vyjímkou).

Osobně pak mám lokálně reverzní proxy, používám caddy, dříve jsem měl nginx, ale caddy má méně písmenek v konfiguraci. Výhoda je, že mohu pinovat TLS certifikát proti backendu a nastavit proxy pro každé jedno spojení.


Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #16 kdy: 09. 02. 2022, 10:10:53 »
Na jedne sluzbe u nas, bezici pry na Centos5, externi dodavatel udelal zasah, ktery zprovoznil tls1.2. Jakym zpusobem toho mohl dosahnout? Jedine, co mne napada, je pouziti jinych *ssl baliku pro system/sluzbu, nebo instalace/kompilace extra baliku s vlastnimi *ssl knihovnami.

Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby? Staci  mi to pro debian.

_Jenda

  • *****
  • 1 095
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #17 kdy: 09. 02. 2022, 10:38:20 »
Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby?
Kdybych to dělal já, tak asi první věc co zkusím je stáhnout si OpenWRT x86 toolchain a zkompilovat statický socat. OpenWRT protože používá musl-libc, se kterou se staticky linkuje veseleji než s glibc.

Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
Je to validní požadavek pro software určený na administraci takových věcí. Není to validní požadavek pro software určený pro přístup k bance a na videohovory.

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #18 kdy: 09. 02. 2022, 11:58:55 »
Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby? Staci  mi to pro debian.
Nginx, Caddy, Apache… Caddy má tu výhodu, že se dá konfigurovat přes REST API – takže pokud těch zařízení máte hodně a máte je někde evidovaná, můžete rovnou z té evidence zavolat API, které vám vytvoří příslušnou proxy. Caddy pak umí automaticky vystavovat certifikáty přes ACME (i přes DNS, takže server nemusí být dostupný z internetu), takže se to dá vše zautomatizovat a po přidání zařízení do interní evidence může automaticky vzniknout proxy i s důvěryhodným certifikátem.