-
Система автоматизации с открытым исходным кодом на базе esp8266/esp32 микроконтроллеров и приложения IoT Manager. Наша группа в Telegram
htpps client
- Автор темы Pilnikov
- Дата начала
pvvx
Активный участник сообщества
Клиент в Ардуине не проверяет базовый сертификат путем запроса у других сайтов. Т.е. ему совсем пофиг - клон это или подставной сайт. Хотя можно подставить и сайты с базовыми сертификатами (подписями).
Это всё исходит от озабоченных, больных, желающих наличия постоянной работы по перетеканию бабла ради постоянного обновления подписей-сертификатов и выдумывания новых усложнений, чтобы старое ПО не работало. Спайс должен течь....
Это всё исходит от озабоченных, больных, желающих наличия постоянной работы по перетеканию бабла ради постоянного обновления подписей-сертификатов и выдумывания новых усложнений, чтобы старое ПО не работало. Спайс должен течь....
Pilnikov
Active member
/* Root cert for howsmyssl.com, taken from howsmyssl_com_root_cert.pem
The PEM file was extracted from the output of this command:
openssl s_client -showcerts -connect www.howsmyssl.com:443 </dev/null
The CA root cert is the last cert given in the chain of certs.
To embed it in the app binary, the PEM file is named
in the component.mk COMPONENT_EMBED_TXTFILES variable.
*/
Это коммент из примера в идф. Выполнил openssl s_client -showcerts -connect -> получил сертификат положил его в папку с сишником -> скомпилил -> залил -> работает. А автоматом то же самое делать нельзя? На лету?
The PEM file was extracted from the output of this command:
openssl s_client -showcerts -connect www.howsmyssl.com:443 </dev/null
The CA root cert is the last cert given in the chain of certs.
To embed it in the app binary, the PEM file is named
in the component.mk COMPONENT_EMBED_TXTFILES variable.
*/
Это коммент из примера в идф. Выполнил openssl s_client -showcerts -connect -> получил сертификат положил его в папку с сишником -> скомпилил -> залил -> работает. А автоматом то же самое делать нельзя? На лету?
pvvx
Активный участник сообщества
Незя - сертификаты меняются со временем. У них есть срок... Читайте первый ответ
А он лазает во все дыры и имеет внутренние сертификаты для сверки с теми, к которым лазает...
Спайс должен течь... в карманы бюрократов и всё должно меняться ради этого.
Текущий уровень защиты ssl в инет закрывает только от "хакеров-Ардуинщиков".
Говорят есть такие
Вот если я вам всё расскажу - вы и хакните всех. По этому инфы вы про это найдете мало на кухонном языке. Это и есть защита.
Остальная часть отводится техническому оснащению. Он уже на уровне бытового компа....
pvvx
Активный участник сообщества
В общем вам туда Google:"сертификат ssl для сайта"
Чтобы понять зачем это нужно $$.
Чтобы понять зачем это нужно $$.
Pilnikov
Active member
Про механизмы ssl и его наследника tls я почитал слегка. Вопрос то остался открытым. Я не хочу никого хакать - не моё это. Ссылка выше полезна серверной стороне. У меня же клиент, причем embed. Может все таки поговорим посерьезнее про механизм проверки? А Виктор? Если все работает при наличии локальной копии сертификата, то как я понимаю она (локальная копия) всего скорее сравнивается с полученной от сайта на этапе handshake? Хотя в сертификате уже содержится доменное имя (которое можно проверить) и инфа о СА, выдавшей его. Этого клиенту видимо недостаточно?
pvvx
Активный участник сообщества
Недостаточно - надо лезть в "и инфа о СА, выдавшей его". И там, от него, тоже сверять с главным... корневым...
Pilnikov
Active member
это не совсем так. у браузера не может быть локальных копий сертификатов всех сайтов по которым он лазает. Там база специальная. Либо система "тихой" проверки и обхода не совсем безопасных серверовНезя - сертификаты меняются со временем. У них есть срок... Читайте первый ответ
А он лазает во все дыры и имеет внутренние сертификаты для сверки с теми, к которым лазает...
Pilnikov
Active member
дело не в длине ключа. и у меня не дурино-девайс. и уже сейчас существуют уязвимости tls. а корневой сертификат нужен только если *.имя домена
pvvx
Активный участник сообщества
А зачем ему всех? В системе есть подтверждающий и есть время его действия. В броузере ткните значек замочка...
Переписывать по исходникам в дурине мышкой - копипаста. Не мне же вам это делать...
Pilnikov
Active member
это сведения о сертификатах сервера. на локальном компе в браузере они сравниваются с базой локальной.
ковырять клиента видимо придется самому.
помощи не дождаться
pvvx
Активный участник сообщества
Я уже давно не ковыряю ESP - они давненько устарели, а нового в них уже ничего не будет, кроме запросов - "дайте готовую либу!" Или - "какая версия годится и где скачать?"это сведения о сертификатах сервера. на локальном компе в браузере они сравниваются с базой локальной.
ковырять клиента видимо придется самому.
песня о главном. Надо было с нее начать и на ней закончить, а не разводить пацана на треп.
pvvx
Активный участник сообщества
О великий "nikolz" - вы бы сначала читать научились, а потом уже писали что. А то опять веселите до упаду.
В заголовке темы "пацан", который уже или близок к пенсии по возрасту, вопрошает о просвещении в чем разница двух реализаций. На что ему дан четкий ответ. А далее уже автор запроса решает устроить балаганчик...
PS: nikolz - Не суйтесь в разговоры больших дядек - вы ещё не доросли.
Pilnikov
Active member
Виктор. вам бы с психологом пообщаться на предмет старческого брюзжания. На самом деле весь смысл Вашего сидения здесь свелся к заси,,анию всего и вся. Можно наверное дифференцированно подходить к ответам? Вместо того чтобы поливать всех желчью - просто помогать людям, пускай даже тривиальными ссылками на готовые решения. Либо промолчать. Станьте добрее, Виктор. Люди вам "спасибо" будут чаще говорить.