Category: шифрование

Как получить альтернативные имена доменов сертификата

Опция -ext позволяет получить секцию X509v3 Subject Alternative Name

openssl x509 -noout -ext subjectAltName

Пример сертификата википедии

echo | openssl s_client -connect wikipedia.org:443 2>/dev/null | openssl x509 -noout -ext subjectAltName
X509v3 Subject Alternative Name: 
    DNS:*.wikipedia.org, DNS:wikimedia.org, DNS:mediawiki.org, DNS:wikibooks.org, DNS:wikidata.org, DNS:wikinews.org, DNS:wikiquote.org, DNS:wikisource.org, DNS:wikiversity.org, DNS:wikivoyage.org, DNS:wiktionary.org, DNS:wikimediafoundation.org, DNS:w.wiki, DNS:wmfusercontent.org, DNS:*.m.wikipedia.org, DNS:*.wikimedia.org, DNS:*.m.wikimedia.org, DNS:*.planet.wikimedia.org, DNS:*.mediawiki.org, DNS:*.m.mediawiki.org, DNS:*.wikibooks.org, DNS:*.m.wikibooks.org, DNS:*.wikidata.org, DNS:*.m.wikidata.org, DNS:*.wikinews.org, DNS:*.m.wikinews.org, DNS:*.wikiquote.org, DNS:*.m.wikiquote.org, DNS:*.wikisource.org, DNS:*.m.wikisource.org, DNS:*.wikiversity.org, DNS:*.m.wikiversity.org, DNS:*.wikivoyage.org, DNS:*.m.wikivoyage.org, DNS:*.wiktionary.org, DNS:*.m.wiktionary.org, DNS:*.wikimediafoundation.org, DNS:*.wmfusercontent.org, DNS:wikipedia.org

И более чистый вариант

echo | openssl s_client -connect wikipedia.org:443 2>/dev/null | openssl x509 -noout -ext subjectAltName | grep -o 'DNS:[^,]\+' | cut -d':' -f2
*.wikipedia.org
wikimedia.org
mediawiki.org
wikibooks.org
wikidata.org
wikinews.org
wikiquote.org
wikisource.org
wikiversity.org
wikivoyage.org
wiktionary.org
wikimediafoundation.org
w.wiki
wmfusercontent.org
*.m.wikipedia.org
*.wikimedia.org
*.m.wikimedia.org
*.planet.wikimedia.org
*.mediawiki.org
*.m.mediawiki.org
*.wikibooks.org
*.m.wikibooks.org
*.wikidata.org
*.m.wikidata.org
*.wikinews.org
*.m.wikinews.org
*.wikiquote.org
*.m.wikiquote.org
*.wikisource.org
*.m.wikisource.org
*.wikiversity.org
*.m.wikiversity.org
*.wikivoyage.org
*.m.wikivoyage.org
*.wiktionary.org
*.m.wiktionary.org
*.wikimediafoundation.org
*.wmfusercontent.org
wikipedia.org

OpenVPN как не принять предложение сервера о настройке интерфейсов

В повседневной работе я пользуюсь десятками включённых VPN клиентов. Эти клиенты соединяются с разными серверами, а серверы имеют разные настройки. Так например у меня возникала ситуация когда нужный мне роут пробрасывался через TUN интерфейс который PUSH-ился с сервера. Если бы сервер использовал только я стоило бы перенастроить только сервер чтобы это исправить. Однако сервером пользуются и другие люди и там этот PUSH необходим. Сначала я руками переписывал роут и забывал до следующего переподключения. Но последнее время часто приходилось переподключаться и вечное переписывание роута стало раздражать. В документации к OpenVPN написано что в настройках с недавнего времени появился ключ который поможет клиенту отвергнуть то что ему предлагает сервер.
Continue reading OpenVPN как не принять предложение сервера о настройке интерфейсов

Расширение знаний о крипторграфии

Когда разбираюсь с гуглоаналитикой я давно наблюдаю поисковые запросы касающиеся протокола SSLv3. Со временем частота этих запросов и их разнообразие увеличивается. Выходит, что обыватели которые не смогли попасть на свои уютные жежешечки или вконтактики не по своей воле но всё чаще спрашивают у всезнающего гуглина о том что же такое SSLv3.

Вот топ вопросов:

как включить поддержку протокола sslv3
как в амиго включить протокол ssl3
как включить протокол sslv3
как подключить протокол sslv3 на facebook
sslv3 как включить видео
sslv3 как включить chrome

Иногда вопросы тянут на сочинение

как исправить ошибку в вконтакте клиент и сервер поддерживают разные версии протокола ssl или шифров. скорее всего, серверу требуется поддержка протокола sslv3, однако она была отключена.

Но мне особенно понравился вопрос

скачать протокол sslv3
sslv3 скачать

Теперь я понимаю почему мы все до сих пор получаем “Нигери́йские пи́сьма“, почему до сих пор работает “развод” пользователя на то чтобы заставить его скачать и поставить утилиту какую нибуть г.в.утилиту.

Хочется всем таким искателям приключений сказать: SSLv3 умер. Не нужно его “откапывать” скачивать и включать!

Windows 10 BestCrypt BSOD и перезагрузка при размонтировании криптодиска

При размонтировании шифрованного диска выдавалось сообщение о том, что с диска открыты какие-то файлы и его размонтирование может привести к потере несохранённых данных открытых файлов. После согласия пользователя с размонтированием система входила в долгое ожидание и через минуту уходила в BSOD (синий экран смерти) и перезагружалась в соответствии с настройками. Ситуация повторялась в 9-ти случаях из 10-ти. Windows 10 работала в виртуальной машине KVM. Другие аналогичные инсталяции работали под VMWare и проблем не создавали.
Continue reading Windows 10 BestCrypt BSOD и перезагрузка при размонтировании криптодиска

Обновление ssh и очередное отключение устаревших алгоритмов

Время идёт и постепенно старые алгоритмы шифрования становятся небезопасными. Разрабочики софта конечно же постепенно их отключают. Но для админа-то обычно это просиходит внезапно и ой как не вовремя и становится чертовски неприятным сюрпризом, особенно если обновления накатываются атоматически. Так обновление на Fedora 23 подарило мне пару незабываемых часов когда я не мог достучаться на большую часть серверов которыми управляю. Казалось бы что обновление openssl, openssh в любом виде должно стать красной тряпкой, но пока что стереотип поведения не сложился. И последнее обновление openssh.i686 7.2p1-2.fc23, openssh-server.i686 7.2p1-2.fc23, openssh-clients.i686 7.2p1-2.fc23 снова подарило неожиданный сюрприз в виде невозможности залогиниться на клиентский mikrotik.

[user001@localhost ~]$ ssh root@192.168.88.1
ssh_dispatch_run_fatal: Connection to 192.168.88.1 port 22: DH GEX group out of range

И как обычно бывает в свежих случаях гугл и яндекс не показали ничего интересного.
— Упс, сказал я и полез в мануал.
Continue reading Обновление ssh и очередное отключение устаревших алгоритмов

Подключение OpenWRT роутера по sshfs

Когда речь идёт о том чтобы поковыряться в роутере с OpenWRT бывает удобно подключить его файловую систему напрямую к станции с которой происходит настройка. Для этого идеально подходит sshfs. Но чтобы это сработало на OpenWRT роутере необходимо установить пакет openssh-sftp-server. На клиенте должен быть в наличии fuse-sshfs.

opkg update && opkg install openssh-sftp-server

После установки, при условии что установлен sshd (dropbear) сервер, ничего не нужно настраивать и sftp готов к работе:

На компьютере где будет монтироваться OpenWRT примонтировать sshfs каталог можно из под обычного пользователя (не root):

$ sshfs root@openwrtrouter:/etc/ /home/user/mount/openwrt

Если пакет sshfs требуется один раз (до перезагрузки), то можно установить его прямо в RAM роутера командой:

opkg update && opkg -d /tmp/usr/libexec install openssh-sftp-server

то использовать его можно при помощи команды

$ sshfs root@openwrtrouter:/etc/ /home/user/mount/openwrt -o sftp_server=/tmp/usr/libexec/sftp-server

Firefox включение SSLv3

После обнаружения уязвимости Poodle Attack Mozilla выпускает Firefox с заблокированным по умолчанию SSLv3. Это логично так как протокол уязвим и передаваемые внутри него данные могут быть легко перехвачены. Однако SSLv3 используется и в оборудовании, например на устаревших свитчах и роутерах Cisco или на которые не оплачивается техподдержка. Обновления не приходят, а значит и SSLv3 остаётся там основным протоколом. Безусловно глупо входить в такие устройства через публичную сеть. Но если свитч находится за VPN то можно. Так вот чтобы вернуть SSLv3 в новых браузерах Firefox нужно зайти на магическую страничку about:config и там найти параметр security.tls.version.min после чего установить его значение в 0

  • 0 = SSL 3.0
  • 1 = минимально TLS 1.0
  • 2 = минимально TLS 1.1

После этого можно входить на свитч, роутер или что там у вас. После манипуляций лучше параметр снова поднять до версии TLS 1.0.
Для информации: браузер имеет ещё один ключ security.tls.version.max который, как понятно из названия, ограничивает протокол сверху.

Thunderbird – Sending of message failed

thunderbird-error-01После очередного обновления Fedora некоторые пользователи Thunderbird наткнулись на сообщение:

Send Message Error
Sending of message failed.
The message could not be sent using SMTP server smtp.***.com for an unknown reason. Please verify that your SMTP server settings are correct and try again, or contact your network administrator.
Continue reading Thunderbird – Sending of message failed

HTTPS в каждый web! Быстро и бесплатно.

letsencrypt-01

В ноябре 2014 года Mozilla, Akamai, Cisco, EFF (Electronic Frontier Foundation), Identrust и исследователи из Мичиганского университета начали совместную работу над созданием центра сертификации (Certificate Authority) который призван снять оставшиеся ограничения на пути полного перехода сайтов на протокол HTTPS.

С запуском запланированого на лето 2015 года, Let’s Encrypt CA будет автоматически выдавать и управлять бесплатными сертификатами для любого веб-сайта, который в них нуждается. Переключение вебсервера с HTTP на HTTPS с этим CA будет таким же простым, как запуск одной команды или нажатие одной кнопки.

Continue reading HTTPS в каждый web! Быстро и бесплатно.

Изменение размера шифрованного LUKS раздела на LVM

Предупреждение!Перед проведением такой операции всегда необходимо сделать резервную копию данных.
Для проверки работоспособности механизма я создал зашифрованный раздел на машине скопировал туда два больших файла, которые заняли всесь свободный объём раздела, вычислил их контрольную сумму растянул раздел и сверил контрольную сумму.

Схема такова:

  • отмонтировать зашифрованный раздел;
  • закрыть шифрующее LUKS устройство;
  • растянуть раздел;
  • открыть шифрующее LUKS устройство;
  • растянуть шифрующее LUKS устройство;
  • проверить файловую систему
  • примонтировать зашифрованный раздел обратно

Я провожу увеличение раздела. При уменьшении раздела меняется порядок, что уменьшать в первую и во вторую очередь. Так при увеличении сначала нужно растянуть слой логического тома, затем слой устройства шифрования и только потом слой файловой системы. А при уменьшении, прежде всего необходимо уменьшить размер слоя файловой системы, затем слой шифрования, и только в конце слой логического тома.

Continue reading Изменение размера шифрованного LUKS раздела на LVM