OCSP error
Eugene Muzychenko написал(а) к Oleg Redut в Dec 15 13:56:59 по местному времени:
Привет!
25 Dec 15 11:31, you wrote to me:
OR> Ну, наверняка с сертификатами. Только вопрос, что именно.
Скорее всего, в тех системах, где "что-то", отсутствуют какие-то из сертификатов, входящих в полный путь сертификата Яндекса. Посмотри в каталогах сертификатов, собственно.
OR> На работе у бухов 12.17х32, работают через прокси дочерней фирмы. Три
OR> разные ip. Правда, у одного провайдера.
IP и провайдер к проверке сертификата не имеют никакого отношения. Если, конечно, какие-то узлы между тобой и сервером не портят/подменяют сертификатов, и провайдер не блокирует доступа к серверам, отвечающим их проверку.
OR> точно не понимаю, как сертификат может помочь не поймать трояна.
Точно так же, как подпись исполняемого файла может помочь не запустить нелегально исправленный файл.
OR> Яндекс не открывался. Убрал птичку, открывается.
Нелегально исправленный (например, зараженный) файл не запускался, ты отключил проверку подписей, файл запустился.
OR> Как ко мне с него попадёт троян?
Если ты доверяешь Яндексу (например, хранишь что-нибудь исполняемое в личном пространстве Яндекс.Диска), то путем подмены сервера тебе можно подсунуть трояна. Даже если ты не скачиваешь оттуда ничего исполняемого, но при этом доверяешь - у тебя можно попросить какой-нибудь пароль или код, имеющий отношение к твоему аккаунту.
Тут дело даже не в том, что можешь поймать лично ты, а в том, что ты, не разобравшись в сути проблемы, быстренько предложил сообществу заведомо неадекватное решение. Пусть даже у тебя проблемы с сертификатом вызваны неопасными явлениями, но у других-то эти явления могут быть как раз те самые, против которых сертификаты и вводились. А они, прочитав твой "метод решения проблемы", радостно его применят, и тоже будут рассказывать окружающим, как они "полечили глючный браузер или глючный сервер".
OR> Ответ сервера проверки сертификатов (OCSP) старше периода
OR> достоверности.
OCSP - это онлайновый протокол, по которому можно запросить, не отозван ли сертификат. В оффлайне это проверяется по периодически обновляемому списку (CRL), который обновляется в ходе установки обновлений. Если у кого обновления не ставятся, у тех и список остается старым. Сертификат отозвали - они об этом не знают. OCSP помогает этот недостаток обойти.
Возможно, ваши провайдеры блокируют какие-то из серверов OCSP, в результате чего запрос попадает на какой-нибудь плохо поддерживаемый сервер, который давно не обновляли.
Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)
--- GoldED+/W32-MSVC 1.1.5-b20130111
|