Не доступен ЛОР ?

Время

Совершенно не знаю почему, но вспомнилась тема Нужно ли банить за пробел перед знаками препинания? .

Какое время не понял ? Куча нерусских сайтов и опеннет открываются и только ЛОР нет. Мне просто интересно кто ЛОР держит они специально так сделали или они про это хз ?

Да и он открывается то нет … я это не совсем понимаю.

старом андроид телефоне. старом

Там протухли корневые сертификаты. Новые не зашиты. Всё что по цепочке идет подписью от них считается невалидным.

Т.е. кучи в кучи сайтов можно добавить исключение а на крутом ЛОРе нет.

Ну допустим. Тогда почему иногда заходит на ЛОР ?

(нужно мне скрин снять, просто там не совсем про сертификат вроде, про какое то мошеничество вроде …)

Сейчас глянул, написано, ЛОР юзает механизм HSTS.

Какое время не понял ?

наверное, часы/дата в системе не правильные.

У нас сертификат Let’s Encrypt, ничего необычного.

Вроде телефон, и время синкается от сети ЖСМ … и самое главное то, что раз пашет, раз нет. Меня это в тупик вводит. И то что опеннет и на остальных (кучи) сайтов такого нет.

Да я понимаю, и хз что думать.

opennet

1. https://imgur.com/GUfrTx1
2. https://imgur.com/djLDBM3

LOR

3. https://imgur.com/ZypY5Uv
4. https://imgur.com/1GLo1rc

Вся куча сайтов ведет себя как 1-2 (как опеннет), т.е. я нажимаю дополнительно и перехожу на сайт.

На единственном ЛОР после дополнительно, нет ссылки перехода :(

1. This new cross-sign will expire in early 2024.

2. На ЛОРе HSTS, которого нет на той куче сайтов + опеннет, для которых тебе удалось добавить исключение. Если на сайте настроен HSTS - браузер тупо не даёт этого сделать.

А какая версия андроида на этом «старом андроид телефоне»?

Да я все понимаю. Но когда следующий раз с телефона зайду на лор я прям от туда тебе и отвечу.

Это штука у меня уже больше месяца, просто решил сейчас сообщить, так как до конца не понимаю, почему иногда можно зайти.

6

Хром 106

Осталось еще провериться с другими браузерами, как вариант:

Несмотря на то что сертификаты являются встроенным системным компонентом Android, существуют браузеры, у которых есть собственный набор сертификатов. Главное установить подходящий браузер. В нашем случае это Mozilla Firefox…

Если на сайте настроен HSTS - браузер тупо не даёт этого сделать.

Считаю такое поведение свинством.

У себя давно сделал прокси который слушается в этом плане меня а не чьих-то хотелок.

так как до конца не понимаю, почему иногда можно зайти.

Когда удалось зайти - посмотри информацию о цепочке сертификатов. Наверно там и будет разгадка. Может быть тебя митмят чьим-то ещё не истёкшим фейковым сертификатом.

Это HSTS дает такой эффект. Предлагаю просто добавить сертификат LOR в доверенные. Или корень Lets Encrypt.

Какой эффект ? Сегодня зайду а завтра нет ? И от чего это зависит ?

Ну у меня есть такое предположение, но видать митмят только ЛОР … или скорее митят все, а так как на ЛОРе HSTS то это выдает.

Только вот не могу понять, почему то митмят то нет, почему так ?

Пров у меня кстати Билайн.

Вот зашел, вроде тот же сертификат, но пишет что соединение безопасно.

Не понимаю :(

Не, насколько я понял выше сертификат р3 и еще 2. Раньше был только р3, выше уже не было.

Посмотри не только сертификат но и цепочку до доверенного корневого и посмотри у всех сроки действия.

https://imgur.com/a/TYdUfYh

У последнего как то не так с датой. Но когда не работало то казало только 2 сертификата ЛОР и Р3, дальше не было.

Как еще раз обламается я скину скрины тех 2х.

Главный вопрос почему это меняется каждый раз ?

P.S. Я привык что в цифре все работает одинаково а не как в аналоге раз так а раз эдак.

А лор поддерживает нешифрованный http? Просто современные браузеры его автоматом перенаправляют на https и проверить невозможно.

Не доступен ЛОР ? (комментарий)

Пункт 2.

Но вопрос сейчас уже можно сказать не по ЛОР, почему у меня то заходит по HTTPS то нет …

Нет, сайт редиректит на https.

ЛОР присылает только первые два из цепочки, в которой у тебя четыре. Цепочка странная.

Третий по идее должен быть доверенным рутом, но у тебя он вроде как промежуточный (можешь в списке доверенных центров сертификации посмотреть - он там есть?). Третий подписан четвёртым, который просрочен, но почему-то при этом считается за доверенный. Возможно, ты себе установил какой-то хакерский фикс для DST Root CA X3, чтобы он считался доверенным несмотря на дату, потому что проблема с его просрочкой в своё время была массовой и затронула много сайтов (сейчас уже починили).

Если твоё устройство действительно считает доверенным именно просроченный DST и не знает про ISRG, то причина понятна: ISRG может случайно оказаться в кеше и тогда всё работает, а потом его из кеша выкидывают и ничего не работает, пока какой-нить другой сайт его заново не пришлёт.

Правильное решение: добавить ISRG в доверенные центры сертификации, а DST оттуда удалить.

Понятно.

взял ISRG х1 самоподписанный и залепил. Теперь цепочка из 3х. Удалять DST (не стал) и хз как это сделать на 6 дроиде.

Поглядим как дальше будет. СПАСИБО.

P.S. Фиксов не было, но дроид старый и давно уже не обновляется и исправленный сертификат не завезли … Про притаскивание ISRG х1 тоже понятно, залез куда то по http потом полазал а он хлоп на перелез на https и припер его …