Eugene Muzychenko написал(а) к Oleg Redut в Dec 15 13:56:59 по местному времени:

Привет!

25 Dec 15 11:31, you wrote to me:

OR> Ну, наверняка с сертификатами. Только вопрос, что именно.

Скорее всего, в тех системах, где "что-то", отсутствуют какие-то из сертификатов, входящих в полный путь сертификата Яндекса. Посмотри в каталогах сертификатов, собственно.

OR> На работе у бухов 12.17х32, работают через прокси дочерней фирмы. Три
OR> разные ip. Правда, у одного провайдера.

IP и провайдер к проверке сертификата не имеют никакого отношения. Если, конечно, какие-то узлы между тобой и сервером не портят/подменяют сертификатов, и провайдер не блокирует доступа к серверам, отвечающим их проверку.

OR> точно не понимаю, как сертификат может помочь не поймать трояна.

Точно так же, как подпись исполняемого файла может помочь не запустить нелегально исправленный файл.

OR> Яндекс не открывался. Убрал птичку, открывается.

Нелегально исправленный (например, зараженный) файл не запускался, ты отключил проверку подписей, файл запустился.

OR> Как ко мне с него попадёт троян?

Если ты доверяешь Яндексу (например, хранишь что-нибудь исполняемое в личном пространстве Яндекс.Диска), то путем подмены сервера тебе можно подсунуть трояна. Даже если ты не скачиваешь оттуда ничего исполняемого, но при этом доверяешь - у тебя можно попросить какой-нибудь пароль или код, имеющий отношение к твоему аккаунту.

Тут дело даже не в том, что можешь поймать лично ты, а в том, что ты, не разобравшись в сути проблемы, быстренько предложил сообществу заведомо неадекватное решение. Пусть даже у тебя проблемы с сертификатом вызваны неопасными явлениями, но у других-то эти явления могут быть как раз те самые, против которых сертификаты и вводились. А они, прочитав твой "метод решения проблемы", радостно его применят, и тоже будут рассказывать окружающим, как они "полечили глючный браузер или глючный сервер".

OR> Ответ сервера проверки сертификатов (OCSP) старше периода
OR> достоверности.

OCSP - это онлайновый протокол, по которому можно запросить, не отозван ли сертификат. В оффлайне это проверяется по периодически обновляемому списку (CRL), который обновляется в ходе установки обновлений. Если у кого обновления не ставятся, у тех и список остается старым. Сертификат отозвали - они об этом не знают. OCSP помогает этот недостаток обойти.

Возможно, ваши провайдеры блокируют какие-то из серверов OCSP, в результате чего запрос попадает на какой-нибудь плохо поддерживаемый сервер, который давно не обновляли.

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20130111