tiun
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zzz528
Цитата:| Где именно прописано, я говорю это один и тот же сретификат кодла |
А при чём здесь его сертификат? Когда я захожу на сайт, спрятанный за CloudFlare, браузер получает сертификат сайта, а не CloudFlare.
Цитата:| Кто пользуется антивирусами может тоже проверить что на всех сайтах у него будет один и тот же сретификат. |
Только в этом случае браузеру нужно вручную выдавать разрешение принимать такие сертификаты, иначе он на сайты заходить откажется.
987resu
Цитата:| В общем случае никому никакой сертификат отдавать не нужно: прокси же пропускает весь https трафик без всяких сертификатов, и даже чёта кэширует (если попросить). |
Не совсем так. Пропустить через себя - никаких проблем, потому что для этого не требуется лезть внутрь потока и что-то там менять. А вот чтобы кешировать, нужно расшифровывать, а потом при отдаче опять зашифровывать, и вот тут уже нужно подменять сертификат своим и, соответственно, убеждать браузер принимать этот сертификат.
(У меня до недавнего времени собственный прокси был, сам его настраивал, так что знаю, о чём говорю.)
Цитата:| У колоды туева хуча вариантов настроек: можно отдавать сертификат, можно не отдавать (использовать как прокси), можно отдать ей свою DNS запись и переложить на неё заботу о сертификатах. |
Насколько я понял из описаний в Интернете, отдавать свою DNS-запись нужно всегда, иначе вся эта защита работать не сможет. Но к сертификатам DNS никакого отношения не имеет.
А вот про то, что приватный ключ шифрования отдавать нужно, я нигде не читал. Потому вопрос и возник.
Цитата:| Редирект ещё до хэндшейка, не? |
Во-первых, это невозможно. Сначала браузер с сайтом договариваются о шифровании, и только потом - уже по шифрованному каналу - идёт запрос на получение страницы.
Во-вторых, когда я вижу CloudFlare-овскую страничку с галочкой "Докажите, что вы не верблюд", то у этой странички URL нужного мне сайта и сертификат нужного мне сайта.
Если всё делается честно, то в таком случае и эта страничка, и скрипты должны лежать на этом сайте, но, опять-таки, в описаниях использования CloudFlare я нигде такого не встречал.
Enobarbous
Цитата:| В общем случае, клауд это банальный реверс-прокси |
Да, я знаю.
Цитата:| А то, что там фавикон/заголовок от оригинального сайта, это просто косметика |
Там ещё и сертификат сайта. А сама страничка и скрипты переданы с использованием ключа шифрования, которого, кроме браузера и целевого сайта, ни у кого быть не должно. Это не косметика. Это ключ от квартиры, где деньги лежат. |
Всего записей: 516 | Зарегистр. 02-11-2007 | Отправлено: 11:05 14-02-2025 | Исправлено: tiun, 12:07 14-02-2025 |
|
