<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Díky, to mě fakt pobavilo, 101% a fail u Qualysu :)<br class="">
<br class=""><div><blockquote type="cite" class=""><div class="">On 28 Nov 2016, at 12:58, Vít Novák <<a href="mailto:vit.novak@firepanel.cz" class="">vit.novak@firepanel.cz</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Ten jejich SSL Tester je jen marketingový nesmysl.<div class=""><br class=""></div><div class="">Jejich webu to dá hodnocení krásných "101%": <a href="https://www.ssls.cz/ssltest/www.ssls.cz" class="">https://www.ssls.cz/ssltest/www.ssls.cz</a></div><div class="">Qualys ten web odepíše známkou "F" kvůli bezpečnostní díře: <a href="https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz" class="">https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz</a></div><div class=""><br class=""></div><div class="">Můj web se u nich nedostane přes 70%, protože Let's Encrypt: <a href="https://www.ssls.cz/ssltest/www.fireport.eu" class="">https://www.ssls.cz/ssltest/www.fireport.eu</a></div><div class="">Qualys mi pohodlně dá "A": <a href="https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu" class="">https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu</a></div><div class=""><br class=""></div><div class="">SSL Tester od <a href="http://ssls.cz/" class="">ssls.cz</a> nemá žádnou hodnotu.</div></div><div class="gmail_extra"><br class=""><div class="gmail_quote">Dne 28. listopadu 2016 12:52 Petr Krcmar <span dir="ltr" class=""><<a href="mailto:petr.krcmar@vpsfree.cz" target="_blank" class="">petr.krcmar@vpsfree.cz</a>></span> napsal(a):<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dne 28.11.2016 v 12:45 Jirka Bourek napsal(a):<br class="">
<span class="">> zřejmě tomu chybí kořenový certifikát autority, který ale server (AFAIK)<br class="">
> posílat nemá<br class="">
<br class="">
</span>Určitě ho posílat nemá, protože je v každém případě zbytečný. Buď ho už<br class="">
klient má v prohlížeči a pak mu věří, nebo ho nemá a i on pak bude při<br class="">
poslání viset v nedůvěryhodném vakuu a je to k ničemu. Oni neposílají<br class="">
mezilehlý. Vydavatelem je „thawte SHA256 SSL CA“, ale to není kořenový<br class="">
certifikát. Musí existovat mezilehlá autorita vydaná „thawte Primary<br class="">
Root CA - G3“.<br class="">
<br class="">
Ale to je klasický problém, protože pro admina je to obvykle<br class="">
neviditelné. Když má admin v prohlížeči naučený mezilehlý odjinud (což<br class="">
je obvyklé, protože on třeba navštívil web té samotné autority a ta mu<br class="">
mezilehlý ukázala), pak mu jeho špatně nakonfigurovaný web funguje a on<br class="">
má pocit, že je všechno v pořádku.<br class="">
<span class="HOEnZb"><font color="#888888" class=""><br class="">
--<br class="">
Petr Krčmář<br class="">
vpsFree.cz<br class="">
</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr class="">_________________<br class="">
Community-list mailing list<br class="">
<a href="mailto:Community-list@lists.vpsfree.cz" class="">Community-list@lists.vpsfree.<wbr class="">cz</a><br class="">
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank" class="">http://lists.vpsfree.cz/<wbr class="">listinfo/community-list</a><br class="">
</div></div></blockquote></div><br class=""></div>
_______________________________________________<br class="">Community-list mailing list<br class=""><a href="mailto:Community-list@lists.vpsfree.cz" class="">Community-list@lists.vpsfree.cz</a><br class="">http://lists.vpsfree.cz/listinfo/community-list<br class=""></div></blockquote></div><br class=""></body></html>