On 28 Nov 2016, at 12:58, Vít Novák
<vit.novak(a)firepanel.cz> wrote:
Ten jejich SSL Tester je jen marketingový nesmysl.
Jejich webu to dá hodnocení krásných "101%":
https://www.ssls.cz/ssltest/www.ssls.cz <https://www.ssls.cz/ssltest/www.ssls.cz>
Qualys ten web odepíše známkou "F" kvůli bezpečnostní díře:
https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz
<https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz>
Můj web se u nich nedostane přes 70%, protože Let's Encrypt:
https://www.ssls.cz/ssltest/www.fireport.eu
<https://www.ssls.cz/ssltest/www.fireport.eu>
Qualys mi pohodlně dá "A":
https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu
<https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu>
SSL Tester od ssls.cz <http://ssls.cz/> nemá žádnou hodnotu.
Dne 28. listopadu 2016 12:52 Petr Krcmar <petr.krcmar(a)vpsfree.cz
<mailto:petr.krcmar@vpsfree.cz>> napsal(a):
Dne 28.11.2016 v 12:45 Jirka Bourek napsal(a):
zřejmě tomu chybí kořenový certifikát autority,
který ale server (AFAIK)
posílat nemá
Určitě ho posílat nemá, protože je v každém případě zbytečný. Buď ho už
klient má v prohlížeči a pak mu věří, nebo ho nemá a i on pak bude při
poslání viset v nedůvěryhodném vakuu a je to k ničemu. Oni neposílají
mezilehlý. Vydavatelem je „thawte SHA256 SSL CA“, ale to není kořenový
certifikát. Musí existovat mezilehlá autorita vydaná „thawte Primary
Root CA - G3“.
Ale to je klasický problém, protože pro admina je to obvykle
neviditelné. Když má admin v prohlížeči naučený mezilehlý odjinud (což
je obvyklé, protože on třeba navštívil web té samotné autority a ta mu
mezilehlý ukázala), pak mu jeho špatně nakonfigurovaný web funguje a on
má pocit, že je všechno v pořádku.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list