Helló, kezdenek becsúszni az ügyfelektől mindenféle hibák, hogy pl. win7-tel megborul a LE root certek lejárása miatt minden webes SSL.
"This is because the root certificate used by Let’s Encrypt to sign client certificates will lose its validity on this day (expiry of Intermediate R3 on 2021/09/29 at 19:21:40 GMT – the DST Root CA X3 expires on 2021/09/30 14:01:15 GMT). Clients that only know the old root certificates will not be able to verify Let’s Encrypt server certificates after that."
Tegnap este járt le az egyik, ma fog a másik...
Mit lehet ilyenkor tenni? szerver oldalon minden friss, újra lett generálva ,ott már ISRG Root X1 a root, míg régen DST Root CA X3 \ ISRG volt. Hogy lehet "megtanítani" a régi oprendszereknek az új root certeket?
Hozzászólások
.cer file-t elküldöd, duplaklikk, onnan next-next-finish kb.
Gábriel Ákos
a .cer fájlon next-next-finish az a user personal store-jába rakja be a cert-et. Holott annak a COMPUTER\Trusted root certification authority-ba kellene mennie. Illetve pl. Firefox saját alkalmazás-szintű CA listát kezel, oda is be kéne importálni.
Futtatás --> certmgr.msc
nalam a varazslo megkerdezte hova tegye a certet. nyilvan a next-next-finish ugy ertendo hogy a feltett kerdesekre helyesen valaszolunk, nem csak kattintgatunk
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
importalod a tanusítványtárolókba?
a központi tanusítványtárolóba és a böngészők sajátjaiba is importálod. (nem tudom, miért használnak különbözőt)
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Vezérlőpult, Internetbeállítások, Tanúsítványok, Legfelső szintű, Import
+ Firefox, ami nem a Windows beállításait használja.
Firefox:
security.enterprise_roots.enabled
Nem szűnt már meg a Windows 7 support tavaly? Vagy direkt Win7 supportért fizetnek neked/nektek?
mégis mihez kezdenének a ransomwarek ha mindenki patchelne és upgradelne?
mi az upgrade path egy 8GB-os cf kártyán lévő windows 7 embedded standard esetén?
foglalmam sincs.
vegyél új hw-t, dobj ki minden kapcsolódó eszközt: vegyél azok helyett is újat. profit.
Mindenki patchelt™ és upgradelt™ rendszerét támadnák be, a csili-feature-frissítésekkel bekerülő 0-day exploitokon keresztül.
Nem, ő csak ki akarja szolgálni az ügyfelet.
Gábriel Ákos
Az ügyfél akkor jogosan panaszkodhat, hogy Netscape Navigatorban szétesik az oldal? Nem.
Átfogalmazom: segíteni próbál. Meg akarja oldani a problémát. Akkor is, ha amúgy teljes joggal el is hajthatná az ügyfelet.
Gábriel Ákos
Aprócska különbségek azért vannak.
Az ügyfél jogosan panaszkodhat, hogy a szolgáltató nem elégíti ki megfelelően a piaci igényeket. Igen, amíg a Windows 7-et százmilliós nagyságrendben mérhető felhasználóbázis használja, addig ez bizony piaci igény, tetszik-nem-tetszik a fejlődésmániás sznoboknak és a gépkidobatásban-újravásároltatásban utazó Microsoftnak.
Azoké pedig minden tiszteletem, akik a felelősség eltologatása és másra mutogatás helyett igyekeznek megoldani a problémát. Példát vehetnél róluk.
Én nem hitvitázni akartam. Mint egy cég/szolgáltató, baromira nem éri meg olyan eszközöket támogatni by default, amiket a gyártójuk már nem támogat. Hacsak nincs erre külön pont a szerződésben, de akkor meg gondolom egy zsíros összeg szerepel ott. Ez esetben nincs kérdés, megoldást kell találni. Ellenkező esetben meg el kell hajtani az ügyfelet.
Amíg van profitod a piaci igények kielégítéséből (a Windows 7-specifikus problémák megoldásának elősegítését beleértve), addig megéri. Az, hogy te önző vagy és inkább az ügyfeledre hárítasz jóval nagyobb pluszköltséget (gépkidobás, új rendszer vásárlása), mint amivel te ezt megoldanád, az a te arrogáns döntésed, de ettől még nem ez kellene, hogy legyen az etalon.
Attól, hogy valamin profitod van, még nem bíztos, hogy meg is éri időt, energiát és pénzt beleölni. Simán lehet, hogy nekem pl +1 ügyfél vagy plusz 10 forint a hó végén nem éri meg, ellenben a több szabadidővel (esetleg más terültre való fordításával), vagy a kevesebb szopással szemben.
Az, hogy megtaláld a munkád és a szabadidőd közti egyensúlyt, a te saját időmenedzsmented kérdése és nem azon fog múlni, hogy valaki Windows 7-et használ vagy sem. Nevetséges, hogy ezzel próbálsz takarózni. Mi a következő? Hogy aki legacy OS-t támogat, annak nincs élete™?
Változatlanul önzőség arra lőni, hogy 90% ügyfél megvan 1 perc munkával és hátradőléssel és a maradék 10%-ba, aki 10 percből van meg, nem vagy hajlandó beleölni a +9 percet. Ez arrogáns hozzáállás és úgy általában a szakma megcsúfolása, ha mindig csak a legkisebb ellenállás felé tendálsz és a könnyebb feladatokat választod. Pláne, hogy egy ilyen extra nyomozás közben akár olyat is tanulhatsz, amit a polcról levehető, szoftvergyártók által támogatott esetekben nem.
A fejlődés minden erővel való visszaszorítása pedig a szakma felemelése. :D
Ha az ipar, a tech-lakájmédia és a magadfajták nem forszíroznák és segítenék elő működő számítógépek OS-váltásonkénti kidobását és újravásárlását, az a szoftveripar és az abban dolgozók szellemi fejlődéséhez vezetne hosszú távon, átgondoltabb, optimálisabb, kompatíbilisebb megoldásokat eredményezve.
Azok az elvek, amiket én képviselek, a valódi fejlődést segítik elő. Míg amit a magadfajták képviselnek, csak az erőltetett növekedést, amit csak a marketingasztalon hívnak fejlődésnek.
Tehát amig profitom van és jön a pénz az ügyféltől, addig nem érdekel, hogy lyukas, EOL sw-t használ, ez nem önző.
Először is, a frissített OS is lyukas, csak nem tudsz róla. A legacy OS-eknél megvan az az előny, hogy az ismert hibák száma véges, az esetek jól dokumentáltak és a felfedezett lyukak száma folyamatosan csökken, mivel új cucc nem kerül már be. Ellentétben a feature ágas csilirendszerekkel, ahol folyamatosan újratermelődnek a biztonsági hibák (is).
Másodszor, ha az ügyfélnek az az igénye, hogy a legacy OS-ről használja a terméked, akkor neked kutyakötelességed ezt az igényt kielégíteni, feltéve ha tisztességes piaci szereplő vagy. Minden olyan húzással, amivel megnehezíted az ügyfél dolgát és nem törekszel arra, hogy segítsd őt a termékednél tapasztalt problémája megoldásában (ami lehet persze OS-specifikus probléma is), azzal a piacot torzítod a saját önző érdekedben.
Ugye sejted, hogy mivel NT kódbázis a Win7, ezért van rá esély, hogy az újabb Win10 hibák szintén érintsék? Az ismert, tehát javított hibák száma lehet hogy véges, de az alapbeállítások is messze lazábbak, mint Win10-en, ezért kell vele foglalkozni. Node ahol még Win7-eznek nem ez a helyzet, hanem "hátmég működik" és úgy van, ahogy 5 éve hagyták valahogy.
Ezt a kutyakötelesség marhaságot felejtsd el légyszives. A szolgáltató megadhatja, sőt általában megadja, hogy mit támogat. Ha ő csak aktuálisan támogatott OS-eket támogat, akkor az van, és minden más működésnek csendben kell örülni. Nagy szerencse, hogy nem a Win 3.1-es valamilyen ősi POP3 klienst kéred számon. Másrészt azért mert a kedves Ügyfél képtelen normális infrát üzemeltetni, az miért egy szolgáltató baja?
Igen, általában telepítéskor egyszer.
Értem, tehát az ügyfelek vannak a szolgáltatókért. Ennél jobban meg se fogalmazhattad volna a szélsőségesen korporatokrata maszlagod.
Mivel nem használja mérhetően számottevő felhasználóbázis. Ahogy pl. a Vista supportot se kértem számon, mert azt se használta senki, ahogy megjelent a Win7. Tudod, ott van a kutya elásva, bármennyire is takar a szemellenződ, hogy a Microsoft képtelen a saját termékét minden felhasználó szempontjából überelni. Gyakorlatilag az XP óta. Se nem törekszik arra, hogy régebbi hardverekkel megőrizze a kompatíbilitást, mivel így le kéne mondania az OEM-extraprofitról.
Win7-tel is lehet normális infrát üzemeltetni.
Előre bocsátom, hogy nem fogsz tudni meggyőzni, azért még erre válaszolok.
Nem állítják be a Win7-et még annyira se, amennyire lehetne. Ezt nagyon benézte anno az MS sajnos.
Nem, a szolgáltatónak van egy szolgáltatása, ami adott paraméterek mentén és módon vehető igénybe. Biztos vagyok benne, hogy az óriási piacon mindenki megtalálja a számára megfelelő szolgáltatót. Miért kéne egy szolgáltatónak olyan rendszert támogatnia, amit maga a rendszer fejlesztője is sok éve elengedett? Jellemzően nem szokták ezt a fajta igényt kifizetni, csak az igény oldal van meg, de semmi más, mert neki kényelmes. Miért kéne a szolgáltatónak más kényelmébe úgy pénzt fektetnie, hogy neki senki se fizeti ezt? Ezt alatt a tesztrendszert értem például. Igen, akkor is ha 5 perc, meg ott van, pláne mivel nincsenek 5 percek.
Win7-en már nem lehet normális infrát üzemeltetni. Például azért sem, mert épp úgy néz ki, hogy az Office O365-ös verziójának keresztbe állnak a szemei tőle, illetve nem biztos, hogy a céges hálózaton Win7-et szeretnének látni még bárhol. A fizikai gépeket még elég sokáig lehet Win10-en tartani, és jellemzően minden rendes helyen elég folyamatos a csere, illetve szó szerint kopnak a gépek. A csodálatos szoftver fejlesztők rendre gondoskodnak a fejlesztési igényről, ehhez még Windows sem kell, csak egy jólsikerült weboldal.
Mondjuk mert a Win7-es ügyfele régóta ügyfele és már bőven termelt neki annyi profitot, hogy ha veszteség nélkül, de egy kicsit több munkával meg tudja oldani a problémáját, akkor megoldja. Tudod, ez olyan, mint amikor a törzsvendégnek megcsinálod azt, ami 10 évig az étlapon volt, de most nincs ott, mert az idealista menedzser leszedte, de a szakács ugyanúgy meg tudja csinálni.
Az 5 perc egy egyszerűsített példa akart lenni, de berakni egy új root certet valóban nem több ennél.
De igen, lehet, csak érteni kell hozzá és be kell rendesen konfigurálni.
Microsoft Edge-ben tökéletesen használható, már ha valaki tényleg erre a szutyokra vágyik.
Te nem szeretnél, mások meg igen, de az is lehet, hogy nincs más választásuk, vagy csak nem szeretnék tonnaszámra kidobálni a gépparkjukat, a Microsoft arroganciája miatt.
Kivéve, amihez nincs megfelelő driver, csak Win7-re. Kivéve, amihez olyan perifériák vannak kötve, amikhez nincs megfelelő driver Win7-re.
Nem akartalak meggyőzni, csak reagáltam a szélsőségesen korporatokrata, tech-idealizmusokból és reklámvalóságokból kölcsönzött közhelyeidre, hogy meglásd, ezeken kívül is van élet.
A törzsvendégnek nem adsz romlott kaját... :P
Semmi idealizmus, meg reklámvalóság nincs, ami van azt hívják, hogy tervezési és üzemeltetési tapasztalat. Jellemzően a régi technikák életben tartása szervezet szinten valamilyen lábonlövést jelent. Vagy mert felszippant egy malware-t, vagy mert nem tud új szoftvert bevezetni.
Aki Win7-et szeretne a céges hálóján látni, hát azt rábízom, egészségére.
Olyan helyen ahol nincs Win10 driver valamire, az igen jó eséllyel nincs is a céges hálózaton vagy speciálisan szeparált. Nagyon örültem a mindenféle okokból Win 2003 Serveren hagyott dolgoknak, aztán csodálkoztak, hogy le kell állítsuk, mert léptennyomon megtörögetik, meg próbálkoznak. A hálózat leggyengébb eleme sajnos az egészre hatással van.
5 perc: hja, de mire eljutsz odaáig, hogy húha lejárt, akkor ezt mondjuk 100 gépen kéne megcsinálni, akkor már a group policyt vagy a login scriptet hegeszteni... Ami egészen addig nem probléma, amíg bőven van erre idő a napi ügyek mellett. Ekkor viszont a munkáltató égeti a pénzt ilyen bohóságokra, mint egy nem támogatott rendszer életben tartása ilyenolyan módon.
Ahogy írtam, a gépparkot nem az MS arroganciája miatt kell cserélni, hanem simán kihal benne egy táp, egy alaplap, szépsorban, és e mellett a mindenféle használt szoftverek egyszerűen többet fognak követelni. Mostantól még 4 évig nem kell Win11-re váltani, és ha mondjuk 4 év múlva egy 3 éves gépe lesz valakinek, amit mondjuk 7-8 évesen cserélt le 2022-ben, akkor azért az nem észnélküli cserélgetés.
Senki nem beszélt romlott kajáról. A Windows 7 sem romlott kaja, csak a Microsoft szeretné annak láttatni, hogy újravásároltassa, a kidobatandó gépekke együtt. Arról beszéltünk, hogy van valaki, aki törzsvendégként kér egy olyan ételt, amit drágább és több idő megcsinálni, és már nem divatos, de 10 évig azt ette ott. Ha pedig az étterem pincérei, tulajdonosai, szakácsai tisztességesek, akkor megcsinálják neki, mivel neki köszönhetik a leginkább, hogy az elmúlt 10 évben fennmaradtak. Üzleti etika. Semmi egyéb.
Aki félévente széteső, frissítés után bootolhatatlanná váló rendszert (Windows 10) lát a céges hálóján az minden bizonnyal egészségesebb™. Mennyivel jobb a tudat, hogy nem tudok dolgozni egy operációs rendszernek hazudott bétaverziós szarkupac frissítéskori szétesése miatt, mint egy 10+ évig fejlesztett, stabil rendszert használni, ami nem változik. Kár, hogy fejlődésmániás beállítottság és tech-marketingerőszak általi agymosás nélkül ez nem lehetséges.
Amivel egy piaci igényt elégít ki. Persze tudom, ami a Microsoftnak nem áll profitérdekében, az semmilyen piacon nem™ lehet™ valódi igény. Az értetlenkedéseddel már a bigottság határait súrolod egyébként. Bár tudom, hogy szándékosan.
A gépparkot az MS arroganciája miatt kell cserélni, ha a magadfajta babzsákszolgáltatók 2025-ben eldöntik, hogy holnaptól csak Win11-et támogatnak, mert nekik az a kényelmes™. Pont ugyanez az analógia most a Win7 esetében. Létezik megoldás, elméletben működik, már csak a gyakorlatba kell átültetni, de a magadfajták ezt elutasítják. Gyakorlatilag önként és dalolva váltok a Microsoft önkéntes konzumidióta birkanyájává.
A helyzet az, hogy szolgáltatózhatsz, csak az a baj, hogy nem csak ott melózom/melóztam. Üzemeltettem hálózatot, gépparkot (nyilván nem egyedül) és azért az alatt a bő 12 év alatt jöttek tapasztalatok.
Ha egy szervezet a Win7-es, vagy bármilyen támogatással nem rendelkező történet életben tartására költi a pénzét, akkor szintén egészségükre. Azt próbáltam munkáltató alatt felvázolni, hogy nem tudja az embereit fejlesztési projektekre tenni, hanem életbentart. Ott nagyon sok zseton megy el, nem piaci igény van, hanem munkaerőhiány és belső adósság épül. Nincs szó fejlődésmániáról, egyszerűen minden rendszernek van egy életciklusa, jönnek az új feature-ök, a bugfixek, az új HTTP vagy TLS verzió, és ezek az új rendszereken támogatottak.
A Linuxok ugyanúgy beletolnak a fejlesztésbe, mint az MS. Pár hónappal a PHP 8 megjelenése után például megkaptam, hogy ilyen kövület PHP 7.4-gyel azért már nemnagyon foglalkoznak. Csak pislogtam, hogy még bugfix release se volt PHP 8-ból, sőt a nagyobb CMS-sek se támogatták, már kövület a PHP 7.4... Most akkor szolgáljam ki és észnélkül valahogy hekkeljek azonnal PHP 8-at, miközben a csomagos verzió majd jól keresztbeveri a konfigot? Eme kiragadott példával analóg dolgok sokszor előjönnek, viszont ember vagy pénz általában nincs ezekre, csak jönnek a kósza igények.
A helyzet az, hogy nem a "babzsákszolgáltatók" döntenek, hanem a szoftverház, aki kiadja az OS-t. Amikor lejár a támogatása, akkor minden felhős és minden nagy szolgáltató jelezni fogja, hogy meddig támogatja az adott rendszert. Valszin addig, amíg látnak érdemi userbázist, vagy lesz valamilyen változás, amit már nem tudnak emberrel követni.
Hasonló a helyzet a böngészőknél. Sorban avulnak el a régi verziók, ha nem is hivatalosan, de pl. HTML5-ös oldalak jönnek, minden jön, aztán már egy Firefox ESR ami még esetleg megy Win7-en, az talán megnyitja.
Azt így tényleg végül szeretném jelezni, hogy a TM-ektől, meg "babzsákozástól" és más magasröptű választól még nem biztos, hogy igazad lesz.
Egyáltalán nem muszáj ezt az életciklust kényszerűen követni. A kompatíbilitási csomagok hiánya egyszerű zsarolás a gyártó részéről, hogy felerőltessen egy újravásárolt rendszerre, amire egyébként nem lenne szüksgéd, hiszen a régi is jól működött (és tudna működni tovább, ha lenne rá rendszerszintű WinSSL frissítés). Ahogy a New Moon is tud működni Windows XP-n a mai napig, a legújabb TLS szabványok támogatásával.
Bármelyik szolgáltató vagy szoftverház dönthet úgy, hogy támogat egy legacy operációs rendszert, sőt akár úgy is, hogy az egyes operációs rendszerek hosszú távú támogatására rendezkedik be.
Bár eddig is látszott, de ebből végképp élesen kitűnik, mennyire fogalmatlan vagy a legacy oprendszerekkel kapcsolatban. Windows 7-en a Google Chrome (94.0.4606.71), a Firefox (92.0.1, tehát nem ESR!) és a Microsoft Edge (94.0.992.38) is köszöni szépen, jól elvan, sőt hivatalosan támogatott is.
Az önző, mohó, korporatokra narratíva fogalmatlan csúcsra járatásától még nem biztos, hogy igazad lesz.
"hogy felerőltessen egy újravásárolt rendszerre, amire egyébként nem lenne szüksgéd" - Miről beszélsz már megint? Lehet régi vason is futtatni a Windows10-et - igaz, a dzsunkapécéken, a "csak olcsó legyen" módon összelapátolt gépeken nagyobb az esély, hogy valami nem fog működni. Normális "tizenéves" vason meg igen. Mint már írtam, nálam 2013-as a BIOS (ez már frissített verzió), a RAM 2010-es, és nincs az Windows 10-zel gondom. Igen, normális "üzleti" kategóriás "brand" PC.
A kompatibilitás nem csak azt jelenti, hogy TLS1.1 és frissebb támogatott, mert ugye nem csak az SSL az, ami technológiailag, biztonságát tekintve igencsak problémás, hanem a natív windows-os protokollokban is előrébb kellett lépni, amit szintén nem tud megugrani az XP - és nem, nem azért, mert a Microsoft ge$i és nem fejleszti, hanem azért, mert a fejlesztésére, támogatására használt erőforrásokat másra, az újabb környezetek támogatására használja a cég.
"Bármelyik szolgáltató vagy szoftverház dönthet úgy, hogy támogat egy legacy operációs rendszert, sőt akár úgy is, hogy az egyes operációs rendszerek hosszú távú támogatására rendezkedik be." - Részleges támogatásra, maximum, mert az OS komponenseiben fellelt, forráskód nélkül nem javítható hibák/sérülékenységek javítására nem lesz módja. És pont ezek a dolgok azok, amiért gyártói támogatás nélküli szoftver teljes támogatását értelmes cég nem vállal be.
Narratíva: sajnos hiába mondod, hogy egy nemtámogatott rendszer az működik, meg lehessen használni, ezzel elég durva veszélynek teszel ki sokakat. Ez lehet nem tetszik, meg "korporatokra", de ettől még ez a valóság. Itt jegyzem meg, hogy a MS anno mintha mondott volna olyat, hogy a Win10 már a végső Win és majd update-ekkel meg chanelekkel operálnak. Ezzel szemben itt a csodálatos Win11... Hogy a kép teljes legyen, nem csak a Windows-okkal, de a régi Ubuntukkal, Mac OS-ekkel és társaikkal is gond van. Például nemrégiben Teamviewerzni kellett egy régebbi MacOS-re, namost +1,5 óra volt, mire egy odavissza működő verzió kombót sikerült találni. Természetesen nem lehetett az illetőre terhelni a költségét, és sajnos nagyon sok ilyen van. Igen, rohadt mohó vagyok, de sajnos a zélelmiszer boltban, nem mondhatom azt, hogy figyeljenek már, nekem egy ilyen 25-30-35% kedvezmény jófejségi unsupported-friendly kártyát adjanak, ahogy a benzinkúton vagy a vasúton se adnak ilyet.
Win7 vs ESR: Őszintén elnézésed kérem, a Win XP -vel kevertem hirtelenjében. A helyzet az, hogy az ilyen jellegű napi kérdésekben nem vagyok benne. A fogalmatlan és hasonló jelzőket azért ne eröltesd, hiszent azt kéred számon, hogy egy 2,5+ éve lejárt támogatású rendszert támogató más cuccot fejből tudjon valaki, aki igazából eleve nem is akar ezekkel foglalkozni. Ugyanakkor napi problémaként látom, hogy mennyiszer szippantják fel a levelező kliensből a juzernév+jelszót és máris ömlik a spam. Sajnos erről már nem jön visszajelzés felém, de gyanítom, hogy az esetek döntő többségében a nemtámogatott OS által benyalt valami áll.
Támogatás: Miért támogatna egy harmadik fél olyan OS-t, vagy annak a használatát, amit maga az OS készítője/összeállítója/szállítója már nem támogat? Előfordulnak spéci esetek, de ott elég vaskos zsebbenyúlások vannak, na azt nem tudom mennyire aposztrofálod mohónak, korpotokra és hasonló jelzőkkel. A kedvencem egy adott cég egy ismert szervergyártó "garancia utáni támogatása" c. szolgáltatása, ami igazából azt is jelenti, hogy a gép már hivatalosan EoL és még akkor is vehetsz rá garit. Namármost per gép és per hónap olyan díjat mondtak hozzávetőlegesen, hogy szerencsétlen értékesítőt kiröhögtem véletlenül. Felvázoltam neki, hogy ennyi erővel vetetek vagy veszek egy teljes hidegtartalékot, meg több kopóalkatrészt és néha vmi óradíj ha felmerül, de még mindíg jóval kedvezőbben jön ki. Nem örült nekem... :)
Még mindíg nagy lendületű válaszokat látok, egy tapasztalati és a sanyarú valóságot felsoroló válasszal szemben.
"ennyi erővel vetetek vagy veszek egy teljes hidegtartalékot, meg több kopóalkatrészt" - szerinted ők mit csinálnak...? :-D Ez ugyebár "vas", aminél a hibajavítás az eszköz (vagy valamelyik alkatrésze) cseréjét jelenti az esetek 9x%-ában - egy sw esetén viszont egy hibás komponenst csak ugyanolyan hibásra tudsz cserélni, ha nincs belőle az adott hibát nem tartalmazó verzió...
Nálam 14.04-es buguntunak volt kehe a netlock domain-validált certjéről letsencrypt-esre váltott szerverrel való kommunikációban... (Azért a netlock is érdekesen csinálta: adott időponttól kiadott dv-s certeket másik ca-val (azonos lejárattal, mert nehogy már egy nappal is tovább legyen érvényes az "olcsó" cert) újra kiadta, a "régit" meg azt követően 30 nappal később szépen visszavonta...)
A ca-certificates környékén kellet némi mókolást csinálni (a lejártakat kihajítani...) és most már nem prüszköl a curl...
Persze, tisztában vagyok vele, de annyi pénzt kértek érte, ami nonszensz és ahol 3-4-5 gép van amúgy is, ott elfér a következő bőven. :) Ami aggasztott azaz árrésük...
Ezt a vitát már párszor lefolytattuk. A lényeg: Se nem durva, se nem veszélyes, ha értelmesen használod. Sokkal veszélyesebb egy támogatott, frissített rendszert egységsugarú, kényelmeskedő, tapicksoló módon használni, mint egy legacy rendszert tudatosan használni.
Ez nem a valóság. Ez egy lehetséges kimenetel, ha egységsugarú lúzer módjára használod a legacy rendszered. Az, hogy ezt prbóálod valóságnak beállítani, az a tech-lakájmédiából kényszeresen kölcsönvett FUD narratívád. Nem a valóság.
Mert fogalmad nincs, hogyan lehet és kell használni értelmesen egy legacy rendszert, csak kidobod, ahogy a reklámok, a divatcikkek és a mestereiddé avanzsálódott szoftvermultiktól tanultad.
Mert használatban van és ez által az azzal való kompatíbilitás valós piaci igény.
Igen, bizonyos ritka esetekben vannak zsebbenyúlások. Minden más esetben kerekítési hibából támogatható egy legacy rendszer, főleg ha a frissek ráépülnek. Windows-nál ez a helyzet pl.
Reméljük az unokáid is ilyen jót fognak röhögni, mikor az erőltetett elavulás miatti túlfogyasztás következtében elfogynak az erőforrások és felvet mindent a műanyagszemét és az elektronikai hulladék. Reméljük, elolvassák ezt a szálat és megköszönik neked, hogy ilyen jó humorérzéket örököltek mérnök uraságodtól.
A piaci igény az, amiért fizetnek is, az hogy valaki használja egy dolog, de jellemzően már nem tud vagy nem akar fizetni érte. Erre tudom az örökzölddé váltamat idézni, az igényekhez kell rendelni az erőforrásokat, ellenben csak pislogás vagy anyázás van.
Pontosan tudom, hogy milyen legacy redszer mennyire használható. Most ebbe a WinXP vs Win7 FF félreemlékezesembe kapaszkodsz, de az a helyzet, hogy akármennyire nem akarod megérteni, ha lejár egy OS-ről a támogatás, akkor ki kell esnie a pixisből. A másik probléma, hogy a napi ügymenetből akaratlanul is kiesik, ezért jelentősen elhalványul a mindenféle aktuális technikák mellett. Hiába mondod, hogy jajjdeegyszerű használni meg beállítani, ettől még simán ott lehetnek bennük az újabb kiadásokban felfedezett bugok, amire nem jön javítás (ez lehet egy Ubuntu LTS vagy bármi, nem kell vindózban gondolkodni). Desktop vonalon jellemzően nem egy itsec brigád állítja be ezeket és hamis biztonságérzetet adnak ezek a "óhát még jóaz" dolgok, szerver fronton pedig sok esetben 1-2 dolgot még patchelgetsz, főleg konfig módosítással mondjuk, de az hogy folyamatosan újrafordítgass meg backportolj biztonsági javítást az konkrétan nem megy, vaaaagy csak azaz 1 szervered van és lottómilliomosként aza hobbid.
Azért annyit megjegyeznék, hogy szerverfronton jellemzően addig használunk egy gépet, amíg azt lehet (és van alkatrész, vagy legalábbis elérhető). Több olyan gép van a mindenféle gépparkokban amit karbantartok, amik már bőven 5-6-7+ évesek, és még semmi bajuk, alkatrész van, meg olyan partner, akitől normálisan beszerezhető hozzá dolgok. Ha már nincs, akkor jön egy újabb generáció. Néhány kivételes esetünk van, ahol az adott cég mérete és elvárásai miatt nem jön szóba a támogatás nélküli vas, nevezhetjük akár seggvédésnek is, de roppant kellementlen beszélgetés lehet abból, hogy mit gondoltunk egy gyártói támogatás nélküli cuccról, hiszen most 3 napig áll a cég vagy egy része... (Igen, a klaszter, meg a redundancia, meg a többiek azért nem mindenhatóak.)
Azt viszonylag büszkén mondhatom, hogy részemről az elmúlt sok év alatt, csak ténylegesen meghalt szerver alkatrész ment az elektronikai hulladékba. Ezek jellemzően ventik, diszkek, és tápok voltak, illetve egy finoman megpörkölődött alaplap (magát pörkölte).
A fentihez persze az is hozzájárul, hogy olyan átürő CPU erőbeli (magonként persze) vagy szerver feature beli erősödés nem volt az elmúlt években.
Akkor csak régóta volt az ügyfelem és elengedem a kezét. Keres magának mást. És még csak meg sem lepődhet, hisz a szerződést elolvasva és megértve írta alá.
Tehát tologatod a felelősséget és leszarod a piaci igényeket, mert leesne az aranygyűrű az ujjacskádról, ha esetleg meg kéne erőltetni a fantáziádat a StackExchange-en fellelhető sablonmegoldások alkalmazása helyett.
Mert nyilván a még támogatott rendszerek esetén nem kel megerőltetni a fantáziámat és nyilván csak és kizárólag sablon megoldásokat használok azokat is összehalászva. Semmit nem tudsz rólam, a munkámról, az ügyfeleimről, a körülményekről stb. Mi akadályoz meg abban hogy te támogatás őket helyettem? Nem kel mindenkinek mindenkivel szerződnie. Az ügyfelek is válogathatnak a szolgáltatók között, és épp ugyanígy válogathatnak a szolgáltatók is az ügyfelek között. A szerződés az szerződés, az üzlet meg üzlet.
Épp most adtad elő, hogy kényelmeskedsz a babzsákodon és erre büszke vagy. Ne mentsd az irhád a nemtudomokkal.
Nem mentek én semmit.
Nem, csak annyit mondott, hogy gyártói támogatás nélküli dolgokat nem óhajt támogatni. Akinek olyanja van, az meg bevállalja a garancia nélküli gépek és gyártói támogatás nélküli sw-környezet támogatását/üzemeltetését.
Az nem piaci igény, hogy
Ez fillérbaszással kombinált álomvilág, nem piaci igény. Ne keverjük már össze a piaci igényt azzal, hogy nem szán itthon egy csomó kis cég IT-ra semennyi pénzt úgy, hogy a munkáját 80-100%-ban IT eszközökkel végzi.
Az a piaci igény, amikor valaki szeretne valamit, és hajlandó is kifizetni érte azt a pénzt, amennyiér megvalósítják számára. Nyilván egy garanciális hardveren, támogatott szoftver rendszer üzemeltetése sokkal kevesebbe fog kerülni, mint egy öreg hardveren, EOL szoftver életben tartása. És van az a pont, amikor már olcsóbb cserélni, mint megtartani. Amikor nem akarja valaki kifizetni az elvégzendő munka ellenértékét, az nem piaci igény.
Végigolvasva az egész topikot, most már megírhatnád, hogy Te az ügyfélkörödben mennyi Win10-nél régebbi MS op.rendszerrel futó számítógépet támogatsz napi szinten, szerződéses alapon, pénzért. Én azt gondolom, hogy egyet sem, mert ez a terület annyira időigényes és egyúttal annyira kevés pénzt hoz, hogy ezt üzeti alapon nem lehet tartósan csinálni.
"új lehetsz errefelé" :-D Hajbi XP-t használ - igaz, a 64 bites XP-nek nevezett, valójában XP-re maszkírozott 2k3-at, és azt is írta, hogy van beleszólása, hogy a munkahelyén mit használjanak, úgyhogy gondolom, valamelyik ilyen fillérb@szó cégnél lokális főf@sz...
(Hát egyrészt ez, másrészt meg talán a topik címét sem mindenki tudja pontosan értelmezni. Legalábbis nem látok benne olyan részt, hogy 'valamint bármi, főleg sokszor megrágott gumicsontok')
Eléggé elment ebbe az irányba az egész topik ahhoz, hogy ezt a hozzászólást én is megengedjem magamnak, a sokadik, ugyan olyan tartalmú hsz-ra reagálandó.
De az, hogy ezt Hajbazernek meg a többieknek sem Te sem más nem írta be... ...nem lep meg! Általában engem megtalál mindenki, pedig több havonta kb. egyszer szólok hozzá bármihez, nem én vagyok a napi flame felelős jellemzően. :-DDD
Ha ez így is van, max az esztergagépet maintaineli.
A "gépem" nem volt szar. A "gépem" jó volt, éppen ezért szeretném tovább használni, kidobás és újravásárlás helyett. Csak azért, mert babzsákszolgáltatóék szeretnék elspúrkodni azt a néhány extra kört, ami kéne ahhoz, hogy Win7-tel is kompatíbilisek legyenek.
Ha a legolcsóbbat vettük, az valószínűleg már gallyra ment. Pont, hogy az üzleti, prémium kategóriás gépek húzzák ki 10+ évig.
A fillérbaszás nem piaci igény? Nem látlak nyálat verni a hipermarketek akciótábláinál. Továbbá az, hogy én használok egy eszközt, az teremti meg magát az igényt. Ennyi erővel megmondhatnák azt is, hogy aki nem ültet chipet az agyába, ami reklámokat villant fel 5 percenként, az nem tethet feljelentést, ha kirabolják az utcán, ezért inkább maradjon otthon. Szánalmas fejlődésmániás demagóg maszlag, amit képviselsz.
Több százat. Azt pedig személyes sikeremnek tekintem a munkahelyemen, hogy gépkidobatás helyett ezeket is támogatjuk.
Pontosan milyen OS -eket használtok, és hogyan tudjátok követni például az ilyen Let's Encryptes problémákat? Mennyire tudjátok elkerülni az állandó malware és phising problémát?
Nagyjából ez az arány.
Installáljuk a megfelelő root certeket DC-ről. Ez egyedül XP-n jelent nehézséget, ahol az ECC certek nem támogatottak. Ott kézzel kell importálni a böngészőbe, de ezt meg lehet oldani startup scripttekkel.
Teljes mértékben.
Mi az a 85% XP-nél újabb Windows...? Rakod fel vissza de rögtön az XP-t helyettük...
Azt rakom fel, amit az alkalmazottak, illetve a főnökeik kérnek. Tudod, én tiszteletben tartom, ha valaki egy adott rendszert preferál és nem fogom ráerőltetni sem az én szájízem szerintit, sem fejlődésmániásék előreasemmibe kedvenceit.
Ha valaki 6.22-es DOS-t meg 3.11-es Windows-t kér, akkor meg gondolom azt... Az elavult/nem támogatott OS-ek nem telepítése nem szájíz kérdése. Legalábbis jobb helyeken nem az. És nem, a felhasználó sem kérhet olyan OS-t, ami már EOL-os.
Ha valaki a munkája elvégzéséhez Windows 3.11-et és DOS 6.22-t szeretne használni és ezzel el is tudja végezni, akkor szívesen felrakom neki azt is, már amennyiben valahogy meg tudjuk oldani a megfelelő régi hardver beszerzését. Nem volt még ilyen igény.
De igen, kérhet. Jobb helyeken, ahol nem szoftvermulti-kartellek üzleti érdekei alapján erőltetik rá az alkalmazottakra az eszközöket, ott kérhet. Én pedig pont egy ilyen jobb helyen vezetem az IT részleget.
Más a véleményünk a "jobb hely"-ről. Már ott kezdődik a dolog, hogy olyan csőlátású, múltban ragadás-párti barom vezetői beosztást kaphat, mint te. Ilyen helyről az értelmes emberek menekülnek, maximum a langyos vízben tapicskolni szerető lustilovicsok maradnak, de ők is csak azért, mert szakmai fejlődés témakörben semmit sem tudnak felmutatni.
Mondjuk ha a "kérhet" nem jár együtt automatikusan azzal, hogy kap is, akkor egy hangyafasznyival talán jobb a helyzet.
Eddig egyetértünk, mert nekem is más a véleményem a jobb helyről.
A többi csak szánalmas, fejlődésmániás, szűklátókörű fröcsögés a részedről, mert az egységsugarú, előre a semmibe, legkisebb ellenállás felé tendáló, polcról levehető megoldásokat meglátó tudatoddal képtelen vagy elképzelni is, hogy lehet egy kicsit másként annál, amit hardver- és szoftvermultiék a marketinganyagaikban, ajánlásaikban bemutatott modellvalóságok szerint leírtak.
A tartományvezérlők milyen Windows-ok, illetve milyen Domain Level van épp? Az XP miatt szerintem 2000-es vagy 2003-asnál sokkal nagyobb nem lehet talán.
A malware és tsai gondot hogyan kerülitek el? Azért így elég vad mennyiségű bug tátong a rendszeren, az SMB1-től kezdve a nyomtatós bugig.
A pontosság kedvéért: a Domain Functional Level nem befolyásolja, hogy milyen kliens oprendszert tudsz csatlakoztatni a domainhez. A használható Domain Functional Level csak attól függ, hogy milyen Windows Server verziójúak a Domain Controllerek.
Az SMB1-re a Microsoft adott ki soronkívüli javítást XP-re, tehát a kérdés felesleges.
Ettől függetlenül, kliensenként tűzfalszabályokkal szűrjük, az egyes portokon milyen cél és forrás IP-k forgalmazhatnak. Például, XP-s laptop SMB-n csak a mi saját SMB serverünkkel veheti fel a kapcsolatot.
Azért ennek a megoldásnak a bulletproof mivoltára ne vegyél mérget...
Jobban bulletproof, mint kizárólag a frissítésre és a biztonsági résként jelenlévő Defenderre bízni mindent.
Oké, az itsec témához is hülye vagy, de ezt már sejtettük korábban is...
Másként gondolkodom róla, mint a fősodor. Ami a te szégyened, hogy bárkit, aki ezt teszi, lehülyézel, persze ezt már láttuk korábban is.
Másként vélekedsz. Az, hogy gondolkodnál, azt én nem merném állítani... Az általad "fősodor"-nak hívott világ bőven tőllépett már a packet filter oszt' jóvan szinten, de a defender oszt' jóvan állapoton is.
Pont az a baj, hogy nem. Jelenleg a "defender oszt' jóvan" éráját éljük a fősodorban, packet filter meg nincs, mert "minek".
Mert te aztán a WindowsXP és környéke langyos posványban ragadva nagyon tudod...
Tehát ugye a protokol tulajdonságait nem javították, csak 1 kiemelkedően nagy hibát, mert annyira gáz volt. Gondolod, hogy nincsenek azóta újabb, de kevéssé gázos, ámbár kihasználható hibák?
Ez a fenenagy harcod ez érdekes. A helyzet az, hogy jellemzően üzemeltetési szintén nincs lehetőség fejleszteni, hanem az adott támogatott dolgok közül lehet úgymond levenni a polcról. Igen, ha úgy tetszik, ez előre csomagolt dolgok használata, viszont se nem fizetik ki sehol, hogy szupernagyon megújulj, se igény sincs rá. A másik oldal pedig, hogy ha valami gubanc van, pláne a támogatás hiányában, akkor igen erős pingvinezés jön. Különös tekintettel a felszippantott malware-ekre, hogy a finom kis kódolós történetekről ne is beszéljünk. (Attól még ott lehetnek Malwarez kapitány kalandjai, hogy nem veszed észre, vagy nem látszanak.)
A kedves felhasználók jellemzően mindent azonnal akarnak, meg jajjdejólegyen, akkor nekik is a támogatott rendszerek világa felé kéne fordulni. Példááául pár napja beküldtek egy Outlook hibát, miszerint a "tároló megtelt". Ez egy igen régi Outlook lehet, ahol emlékeim szerint a PST file-ok 20GB körül megteltek, lehetnek ott bajok...
Marmint mi? Az Office Web Apps? Ami tizedet sem tudja az asztali Office-nak?
Ez a jövő™! Csak nem azt akarod mondani, hogy nem vagy képes alkalmazkodni a változáshoz™?
Nem értem a kérdést. Milyen változás? A desktop Office a mai napig fejlődik™™™, többet is kell érte fizetni, mint az (otthonra ingyenes) Office Web Apps-ért.
Az nem profit, az bevétel, amire te gondolsz. A profit ott van, amikor az ezzel járó költségeket fillérre levonják a bevételből, és megnézik, hogy mi maradt. Általában nem hogy semmi, de mínuszos a történet.
Profitra gondoltam. Ha mínuszos lenne, pedig már lehúzták volna a rolót. Ahogy a Microsoft se lenne mínuszos, ha továbbra is támogatná az XP-t.
Minden cég KÖNYVELÉSTECHNIKAI 0 profitra törekszik, vagy még jobb ha picit minuszos. Még 1x mondom, könyveléstechnikailag. Minél nagyobb multi, annál igazabb ez az állítás.
Akkor tekintsd azt a fogalmat, amiből befektetőék új yachtot vesznek maguknak, az ügyfél meg emiatt kidobja a számítógépét.
"Ha mínuszos lenne, pedig már lehúzták volna a rolót." - vagy kivezették a gyártói support nélküli szoftverek támogatását. Nem, az nem "support", hogy mancikának újratelepítik, meg beállítják a nyomtatót, meg hasonlók - az a support, hogyha sw-es hiba van, akkor arra is adnak megoldást, legyen az működési hiba, működési hiányosság, vagy biztonsági rés.
"Ahogy a Microsoft se lenne mínuszos, ha továbbra is támogatná az XP-t." - Ki fizetne érte? Ugyanis a termék árában x ideig tartó support-eröforrás költsége volt benne - azaz az XP forgalmazási időszakában az abból származó bevétel egy részét el kellett rakni a forgalmazás utáni időszakban fenntartott támogatói erőforrások költségére. Ez a keret viszont kifejezetten véges, ergo a támogatás sem lehet végtelen.
Ha eleget fizet, az ügyfél lehet tőlem olyan hülye, amilyen hülye csk tud lenni egy ember. Ha az a heppje, h a 10 éves rendszerét hegesszem, és kifizeti, akkor engem mit érdekel?
Node jellemzően nem fizet, csak simán bambul maga elé, hogy nemmegy a Win7. Nem is fog, mert nincs rá támogatás, viszlát. Ha Win10-re költözne, az más eset. :)
Ez pontosan így van. Támogatott OS-re adunk bármiféle terméket, mivel a nem támogatott OS-sel való foglalkozást nem lehet az ügyfélre áthárítani.
Windows6-ban is ugyanúgy kell cert-et importálni.
FortiGate tűzfalakon is problémás a tanúsítvány ellenőrzés.
Hiába van benne az új root cert is a trusted root-ok között, megáll az első hibás találatnál, ami a régi root certre vezet vissza.
(Workaround: át kell engedni a hibás certeket is.)
nem csak a win7-el van gond... az ubi 14/16 is...
https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expi…
Hátha valakinek gyors segítség, Sophos UTM alatt SSL bontott Proxyhoz;
Web Protection - Filtering Options - HTTPS CAs tab, itt inaktívvá kell tenni a "Digital Signature Trust Co. DST Root CA X3 CA" -t.
Ezután a Web Protection - Web Filtering - Global tabon a Web Filtering status-t ki-be kell kapcsolni a proxy szerviz újraindításhoz, onnantól már az új "Internet Security Research Group ISRG Root X1" -es lánccal elfogadja a Let's Encrypt által kiállított oldalakat.
Mi ugy oldottuk meg gyorsban, hogy at proxizunk bizonyos dolgokat Cloudflaren. A legrosszabb ami ebbol fakadhat, hogy a multi-level domainekre kell egy Advanced Edge Certifiacte ami lefedi nem csak a *.example.com, de a *.xyz.example.com domaineket is. Ez kerul sulyos US$10/ho ^_^
--
https://www.opensuse.org/
https://en.opensuse.org/User:Adathor
Favorite DesktopOS's: openSUSE MicroOS, openSUSE Tumbleweed
Favorite ServerOS's: openSUSE MicroOS, openSUSE Kubic
Egy ilyen Let's Encryptes cert mindig hivatkozik mindkét RootCA-ra (a lejártra meg a nem lejártra)?
altalaban van egy rootca meg egy kozbenso
lejártra nem sok értelme van hivatkozni :)
Gábriel Ákos
Ez ennél jóval bonyolultabb. Egy certificate hivatkozik egy issuer-re, de nem az alapján dől el az érvényessége, hanem az aláíró kulcsa alapján. Ha van két különböző intermediate certificate, aminek ugyanaz a kulcspárja, akkor úgymond mindkettő egy valid intermediate CA-ja a webszervered cert-jének. És a két intermediate közül bármelyik elvezethet egy Root CA-ig, és valid lesz a kiinduló certificate.
Részletek: https://scotthelme.co.uk/cross-signing-alternate-trust-paths-how-they-w…
bármelyik path lehet jó, de ahol valami közben lejárt az biztosan nem jó path. ugye?
Gábriel Ákos
Ha közben lejárt valami, az az útvonal biztos nem jó. Tipikusan az van, hogy az eredeti aláírási láncban (cross sign nélkül) mindig a root CA jár le legkésőbb, ennél csak korábban járhat le az intermediate, és ennél még korábban a webszerver CA.
Itt tippre nagyjából az van, hogy már az új intermediate és az új Root CA van használva aláírásra, de a cross sign miatt még jó amúgy a régi root CA is. De pont most lejárt a régi root CA, ezért azokon a gépeken, amiken nincs ott az új root CA, azokon már nem lesz érvényes útvonal.
Vidám dolog ez a PKI :)
Hogy ne menjünk messzire, a hup.hu -ról ilyeneket mond az
openssl s_client -trace -showcerts
Ebből hiányzik a
DST Root CA X3
, ami ilyen:Alapállapotban ezt látom:
Ha telepítem az előbbiek közül hármast a
/usr/local/ssl/certs
-be (+c_rehash
), akkor ez lesz:Kicsit szétnéztem, most úgy vélem érteni, hogy a szerver-üzemeltetőn múlik, hogy melyik láncot óhajtja:
vagy
az is segített, hogy egyszerűen letöröltem a DST_Root_CA_X3.crt file-ot... kliens oldalon, of course (Debian 8-as volt)... s akkor már tudta használni a ISRG Root X1-et a validáláshoz
vagy egyszerűen kitörölni az X3-at a fullchain.crt-ből... a szerveren
Ez Debian 7 alatt is segitett!
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Buguntu 14.04-nél hasonlóképp...
Reggel velem is szembejött ez, pár hasznos link a témában:
borzasztó mennyiségű diszlexiás/diszgráfiás informatikus van a világon :(
Gábriel Ákos
Ahol kellett (valójában csak egy helyen, egy Electron-os alkalmazás miatt) egyszerűen kértem egy új tanúsítványt certonly-val preferred chain-ként az “ISRG Root X1”-et megadva, aztán probléma megoldva. :)
fúú hogy én hogy belefutottam ebbe a hibába win7 chrome-al
csak annyit láttam hogy 2 napja bizonyos oldalakra indoklás nélkül TIMEOUT-ol a chrome
még jó hogy ki tudtam elemezni mi van és megtaláltam a megoldást, nekem nem volt egyszerű, átlag user sztem teljesen esélytelen
Megsúgom, ezt egy teljesen frissen tartott windows10 is csinálja...
akkor ott bizony valami lokális baj van
// Happy debugging, suckers
#define true (rand() > 10)
Kitöröltem a lejáró gyökércertet a windows tárolójából, ezután az edge-nek nem volt baja az adott oldallal
de érdekes, a Nextcloud kliens még mindig csinálja, pedig az is a Windows tárolójából veszi a gyökér certeket.
(Természetesen a Nextcloud kliens frissítésével kezdtem, de nem javult meg.)
Azért álljon itt a linuxos megoldása is a problémának, hátha valaki szintén beleütközik:
Nálam PHP curl lekéréseket is megakasztott, de ez megoldotta.
Itt van egy kifejtős verzió ha valakit érdekel:
https://medium.com/geekculture/will-you-be-impacted-by-letsencrypt-dst-…
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Off: Most éppen azzal örvendeztetett meg a Firefox (93.0-ra frissülve), hogy "elfelejtkezett" a házi RootCA-certemről... Végül is annyi mindenre kell emlékeznie, ez pont kiesett.
Mondjuk intő jel lehetett volna, hogy egy ideje azt mondogatja az ilyen kézileg telepített certificate-ekre, hogy "A kapcsolatot egy olyan tanúsítványkibocsátó igazolta, amelyet a Mozilla nem ismeri fel".
Persze ezt úgy érti, hogy "Egyelőre még te is beleszólhatsz abba, hogy kiben bízol, de vigyázz, lehet, hogy nem lesz mindig így!"
Itt is 93.0, és amelyik profilban be van importálva a céges CA, az ugyanúgy ott van, nem felejtette el. Abban a profilban, amiben hagytam, hogy takarítson, na abból ki lett pucolva.
Megjött az i-MSCP felett is az első Let's Encrypt cert megújítás hiba.
Ha valaki belefut, ez a megoldás segíthet: https://i-mscp.net/thread/20637-letsencrypt-ssl-certificate-is-not-vali…
Engem csak az basz fel, hogy nagy arccal nyomta az összes Let's Encryptes, hogy a certificate lejárás egy non-issue, hát persze, egész jól sikerült, azért kellett post mortemet írni róla: https://scotthelme.co.uk/lets-encrypt-root-expiration-post-mortem/ Az a baj, hogy mostmár az infrastruktúra is pár önjelölt hülyegyerek játszótere lett a weben.
~ubuntu, raspbian, os x~
Nem kell nagy certificate expertnek lenni ahhoz, hogy megértsük az egész koncepcióját.
Nyilván ha "kimegy" a chain alól a root cert és "nem jön be" helyette másik akkor el fog törni.
"Magától" nem tud megjavulni, vagy az oprendszernek kell felraknia az új certet, vagy ha nincs frissítés akkor a usernek két kattintás.
Nincs itt semmi újdonság, semmi érdekesség.
Technikailag non-issue, de se nem kommunikálták se nem oktatták eleget ahhoz, hogy ne legyen felháborodás.
Persze akármennyit is lehet kommunikálni, mindig lesznek akinek semmi se elég, csak nem mindegy hogy mekkora ez a csoport.
_nekem_ például non-issue volt minden szempontból.
Gábriel Ákos
Nem értem a folyamatot. A lecserélt root CA nem szept.30-n indult. Miért nem lehetett menet közben átvezetni az új root CA-ra? Nagy előny, hogy 3 havonta megújul a cert. 3 hónap alatt ki lett volna pörgetve a régi és senki nem érezte volna meg. Nem értem ilyen felkészületlenül lett ez az egész kezelve.
A kliens oldal egyik másik történet, én most a szerver oldalról írtam, ahol még a szeptemberi certek is régi root CA-val lettek hitelesítve.
igy van. raadasul a certbot a fullchain.pem-be meg szeptemberben is a rossz ca-t rakta bele. kezzel kellett kitorolni, hogy mukodjon.
nem, a broken tákolt certbot-ok szartak rá és nem frissítették a fullchain -t, május óta mindkét path szerepelt benne
// Happy debugging, suckers
#define true (rand() > 10)
Wow akkor tényleg központilag cseszték el a certificate kiadást de nem kicsit...
Ezt nem tudtam, nekem nem volt semmi issue sehol.
Volt nemrég hogy az acme v1 teljesen leállt (de azt vagy 5 éve hirdetik) és akkor a certificate megújítás nem sikerült, az másik káposzta.
Gábriel Ákos
Visszaneztem a historykat, tobb gep '/etc/letsencrypt/archive/' folderei alapjan, a marciusban generalt certekben meg "R3"-as cert volt, a majusban generaltakban mar "ISRG Root X1". A majusban generaltak is lejartak mar augusztusban, az augusztusiakban szinten mar a jo "ISRG Root X1" volt.
"Technikailag non-issue, de se nem kommunikálták se nem oktatták eleget ahhoz, hogy ne legyen felháborodás."
kb havonta kapom a regnél megadott e-mail címre az információkat, mindent megfelelően kommunikáltak. 05 -kor az új certpath miatt a monitorozó rendszerünk felvisított, de csak azért, mert biztonságtechnikai okok miatt nézzük és vizsgáljuk a path-ot is.
// Happy debugging, suckers
#define true (rand() > 10)
sub
Linux parancsok, kezdőknek
Az egyik ketyerén most találtam egy ilyen file-t (/usr/local/ssl/certs):
Ezt kellett onnan kiszedni, és helyette valami ilyet telepíteni: