Osoba podpisana jako 1634Racine <mnjfmr@j.cbqebml>
w artykule <news:5a776f87$0$581$65785112@news.neostrada.pl> pisze:
Andrzej P. Wozniak w news:5a70e322$0$688$65785112@news.neostrada.pl
[...................]
Po co komu te aktualizacje? Choćby po to, by [.....]
pobierać pliki przez https np. używając
FDM 3.9.7.
srednio pomaga, IDM na przyklad - *nadal* nie chce pobierac
(...)
zamienic https -> http i po problemie.
Niektóre programy nie mają kłopotów, bo korzystają z bibliotek OpenSSL.
Inne wykorzystują niektóre funkcje z tych bibliotek, ale częściowo również
korzystają z bibliotek systemowych (z bibliotek IE też), jeszcze inne
korzystają wyłącznie z tego, co dostarcza Microsoft - i te dwie kategorie
programów mogą mieć kłopoty, bo…
Wcześniej napisałem, że to jeszcze nie komplet aktualizacji, wskazując na
aplet opcji internetowych inetcpl.cpl z IE8, który wciąż widzi tylko TLS
1.0.
Dalej się okazało, że z bibliotek IE8 plik iertutil.dll zawiera już
kompletny wykaz przewidywanych wpisów do rejestru, ale biblioteka
połączenia z Internetem wininet.dll ma dodaną tylko obsługę AES i SHA-2
(patrz p.1-3 historii) bez TLS 1.1/1.2.
Oznacza to np. że dla pobranego instalatora system może sprawdzić poprawność
popdpisu cyfrowego dla certyfikatu korzystającego z SHA-2, ale instalatora
nie da się pobrać, jeśli serwer ma włączony HSTS (czyli ruch tylko po https,
bez http) z ustawionym na sztywno TLS 1.2 (nie dopuszcza ani negocjacji
szyfrowania). W takim przypadku pozostaje pobieranie przez Firefoxa…
--
Andrzej P. Woźniak uszer@pochta.onet.pl (zamień miejscami z-h w adresie)
|