2. Fórumok
  3. OS, alkalmazások
  4. Opera böngésző

Új hozzászólás Aktív témák

  • #18179 dqdb nagyúr Dictator^ #18178
    Új Válasz #18179
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    dqdb

    nagyúr

    válasz Dictator^ #18178 üzenetére

    Némileg javult a helyzet, bár még mindig csúnyán szivárog el a memória, de ezt a 11.0 óta hordozott profilomra fogom. Készíts biztonsági mentést a profilodról, upgrade, aztán ha nagyon nem jön be, akkor downgrade és profil visszamásolása.

    hunfatal: Ezekszerint mégsem az Opera volt a ludas?
    Jelen esetben a Netlock sértett szabványt a CRL-ek létrehozása során, de az Opera sem ártatlan az esetek egy részében. A Netlocknál jelenleg két CA infrastruktúra fut:
    1. A régi SHA1 alapú, ahol minden területnek saját root CA-ja van, ezeknél csak CRL DP van a tanúsítványokban, OCSP responder nincsen (ékezet nélküli tanúsítványnevek).
    2. Az új SHA256 alapú, ahol egyetlen root CA alá szervezték be a területek saját intermediate CA-ját, itt CRL DP és OCSP responder is van a tanúsítványokban (ékezetes tanúsítványnevek).

    Az Opera ezen hiba miatt az 1. pontban szereplő CA-k által kiadott tanúsítványokat jogosan utasította el. Azonban a második esetben ott volt az OCSP (lásd az ÁNTSZ-es példámat), mégis elutasította a tanúsítványokat. Ez utóbbi annak fényében mókás, hogy az esetet taglaló leírást készítő Yngve Nysæter Pettersen kommentjében pont ezt javasolja egyik lehetséges megoldásként:

    or they can reissue the certificates so that they also use the OCSP method

    Csakhogy ez nem működött az Operában, mert a T-Home Webshop, az ÁNTSZ és még pár a topikban említett problémás oldal már az SHA256-ös infrastruktúrában kiadott tanúsítványt használ, benne az OCSP responder címével ... Az ezt követő zárójeles részt (there have been issues with Netlock's OCSP responder that have now been fixed) nem tudom hová tenni: a Netlock OCSP respondere tökéletesen működött a korábbi tesztem során :F Arra tudok gondolni esetleg, hogy az Opera egy nagyon amatőr hibát elkövetve nem a saját hálózati rétegét használta az OCSP lekérdezésre (és az OpenSSL-t csak a kriptográfiai feladatokra), hanem kényelemből az OpenSSL BIO rétegére bízta teljesen. Ekkor tényleg volt mit javítani (az Operának), mert a BIO réteg csak HTTP 1.0-t támogat, míg a Netlock ezen oldala virtual host-on fut, azaz HTTP 1.1 kell neki. Most nincsen rá több időm erre, de vizsgálódok még később egy kört ez ügyben hálózati monitorozással ;]

Új hozzászólás Aktív témák

Hirdetés