• Система автоматизации с открытым исходным кодом на базе esp8266/esp32 микроконтроллеров и приложения IoT Manager. Наша группа в Telegram

htpps client

Pilnikov

Active member
Народ, просветите нуба. Почему htpps клиент в Ардуине умеет подключаться к серваку без наличия локальной копии сертификата, а клиент из ESP-IDF работает только при её наличии.
или ткните носом - какой режим выбрать.
Спасибо.
 

pvvx

Активный участник сообщества
Клиент в Ардуине не проверяет базовый сертификат путем запроса у других сайтов. Т.е. ему совсем пофиг - клон это или подставной сайт. Хотя можно подставить и сайты с базовыми сертификатами (подписями).
Это всё исходит от озабоченных, больных, желающих наличия постоянной работы по перетеканию бабла ради постоянного обновления подписей-сертификатов и выдумывания новых усложнений, чтобы старое ПО не работало. Спайс должен течь....
 
  • Like
Реакции: F86

Pilnikov

Active member
как тогда отключить такую проверку в идф? на самом деле я тоже не совсем понимаю повальную моду на htpps если это не касается допустим денег. (меня не заботит в моем случае безопасность, мне нужна возможность :)
 

Pilnikov

Active member
/* Root cert for howsmyssl.com, taken from howsmyssl_com_root_cert.pem

The PEM file was extracted from the output of this command:
openssl s_client -showcerts -connect www.howsmyssl.com:443 </dev/null

The CA root cert is the last cert given in the chain of certs.

To embed it in the app binary, the PEM file is named
in the component.mk COMPONENT_EMBED_TXTFILES variable.
*/
Это коммент из примера в идф. Выполнил openssl s_client -showcerts -connect -> получил сертификат положил его в папку с сишником -> скомпилил -> залил -> работает. А автоматом то же самое делать нельзя? На лету?
 

pvvx

Активный участник сообщества
Это коммент из примера в идф. Выполнил openssl s_client -showcerts -connect -> получил сертификат положил его в папку с сишником -> скомпилил -> залил -> работает. А автоматом то же самое делать нельзя?
Незя - сертификаты меняются со временем. У них есть срок... Читайте первый ответ :)
А браузер как тогда проверяет подлинность?
А он лазает во все дыры и имеет внутренние сертификаты для сверки с теми, к которым лазает...
Спайс должен течь... в карманы бюрократов и всё должно меняться ради этого.
повальную моду на htpps если это не касается допустим денег.
Текущий уровень защиты ssl в инет закрывает только от "хакеров-Ардуинщиков".
Говорят есть такие :)
Вот если я вам всё расскажу - вы и хакните всех. По этому инфы вы про это найдете мало на кухонном языке. Это и есть защита. :)
Остальная часть отводится техническому оснащению. Он уже на уровне бытового компа....
 

Pilnikov

Active member
Про механизмы ssl и его наследника tls я почитал слегка. Вопрос то остался открытым. Я не хочу никого хакать - не моё это. Ссылка выше полезна серверной стороне. У меня же клиент, причем embed. Может все таки поговорим посерьезнее про механизм проверки? А Виктор? Если все работает при наличии локальной копии сертификата, то как я понимаю она (локальная копия) всего скорее сравнивается с полученной от сайта на этапе handshake? Хотя в сертификате уже содержится доменное имя (которое можно проверить) и инфа о СА, выдавшей его. Этого клиенту видимо недостаточно?
 

pvvx

Активный участник сообщества
Про механизмы ssl и его наследника tls я почитал слегка. Вопрос то остался открытым. Я не хочу никого хакать - не моё это. Ссылка выше полезна серверной стороне. У меня же клиент, причем embed. Может все таки поговорим посерьезнее про механизм проверки? А Виктор? Если все работает при наличии локальной копии сертификата, то как я понимаю она (локальная копия) всего скорее сравнивается с полученной от сайта на этапе handshake? Хотя в сертификате уже содержится доменное имя (которое можно проверить) и инфа о СА, выдавшей его. Этого клиенту видимо недостаточно?
Недостаточно - надо лезть в "и инфа о СА, выдавшей его". И там, от него, тоже сверять с главным... корневым...
 

pvvx

Активный участник сообщества
И, предположим, что вы всё это впихнете в ESP-Arduino, но тогда уже точно завтра сменят систему на ключ в 4 раза больше + всякие новшества... И в помойку ваше устройство.
"Горячие пирожки" :)
 

Pilnikov

Active member
Незя - сертификаты меняются со временем. У них есть срок... Читайте первый ответ :)

А он лазает во все дыры и имеет внутренние сертификаты для сверки с теми, к которым лазает...
это не совсем так. у браузера не может быть локальных копий сертификатов всех сайтов по которым он лазает. Там база специальная. Либо система "тихой" проверки и обхода не совсем безопасных серверов
 

Pilnikov

Active member
И, предположим, что вы всё это впихнете в ESP-Arduino, но тогда уже точно завтра сменят систему на ключ в 4 раза больше + всякие новшества... И в помойку ваше устройство.
дело не в длине ключа. и у меня не дурино-девайс. и уже сейчас существуют уязвимости tls. а корневой сертификат нужен только если *.имя домена
 

Pilnikov

Active member
в дурине как раз и работает - сами ж говорите там не проверяется. надо просто тут тоже вырубить проверку (подскажите как), а не разводить холивары
 

pvvx

Активный участник сообщества
это не совсем так. у браузера не может быть локальных копий сертификатов всех сайтов по которым он лазает. Там база специальная. Либо система "тихой" проверки и обхода не совсем безопасных серверов
А зачем ему всех? В системе есть подтверждающий и есть время его действия. В броузере ткните значек замочка...
в дурине как раз и работает - сами ж говорите там не проверяется. надо просто тут тоже вырубить проверку (подскажите как), а не разводить холивары
Переписывать по исходникам в дурине мышкой - копипаста. Не мне же вам это делать...
 

Pilnikov

Active member
А зачем ему всех? В системе есть подтверждающий и есть время его действия. В броузере ткните значек замочка...
это сведения о сертификатах сервера. на локальном компе в браузере они сравниваются с базой локальной.
ковырять клиента видимо придется самому. :( помощи не дождаться
 

pvvx

Активный участник сообщества
это сведения о сертификатах сервера. на локальном компе в браузере они сравниваются с базой локальной.
ковырять клиента видимо придется самому. :( помощи не дождаться
Я уже давно не ковыряю ESP - они давненько устарели, а нового в них уже ничего не будет, кроме запросов - "дайте готовую либу!" Или - "какая версия годится и где скачать?"
 

nikolz

Well-known member
Я уже давно не ковыряю ESP - они давненько устарели, а нового в них уже ничего не будет, кроме запросов - "дайте готовую либу!" Или - "какая версия годится и где скачать?"
песня о главном. Надо было с нее начать и на ней закончить, а не разводить пацана на треп.
 

pvvx

Активный участник сообщества
песня о главном. Надо было с нее начать и на ней закончить, а не разводить пацана на треп.
О великий "nikolz" - вы бы сначала читать научились, а потом уже писали что. А то опять веселите до упаду. :)

В заголовке темы "пацан", который уже или близок к пенсии по возрасту, вопрошает о просвещении в чем разница двух реализаций. На что ему дан четкий ответ. А далее уже автор запроса решает устроить балаганчик... :p
PS: nikolz - Не суйтесь в разговоры больших дядек - вы ещё не доросли.
 

Pilnikov

Active member
я всего на десятку помоложе ;)
балаганчик был ожидаем, так же как и срач между заядлыми оппонентами.
ответ на самом деле получен и отрабатывается.
сенкс
 

Pilnikov

Active member
Виктор. вам бы с психологом пообщаться на предмет старческого брюзжания. На самом деле весь смысл Вашего сидения здесь свелся к заси,,анию всего и вся. Можно наверное дифференцированно подходить к ответам? Вместо того чтобы поливать всех желчью - просто помогать людям, пускай даже тривиальными ссылками на готовые решения. Либо промолчать. Станьте добрее, Виктор. Люди вам "спасибо" будут чаще говорить.
 
Сверху Снизу