Osoba podpisana jako 1634Racine <mnjfmr@j.cbqebml>
w artykule <news:5d77ae4d$0$534$65785112@news.neostrada.pl> pisze:
xp posready i powiedzmy taki link dla download:
https://netix.dl.sourceforge.net/
- ze Internet Download Manager (IDM) moze tego nie wykonac po https
(nawet w posready), to juz kiedys bylo (chyba) tutaj omowione, w kazdym
razie: najwidoczniej nie radzi sobie z wymuszanym TLS 1.1/1.2.
Ale:
widze, ze i Free D. Manager (FDM) nie chce wykonac download.
Pisałem już, że MS wdrożył TLS 1.2 tylko w podstawowym zakresie, bez
rozszerzeń. W maju tego roku podałem też szczegóły na przykładzie
rozszerzenia SNI:
news:5cdca2ba$0$17349$65785112@news.neostrada.pl
Prawdziwym problemem jest brak wdrożenia RFC 4492 z maja 2006,
czyli sprzed XP SP3! Standard ten rozszerza TLS o Elliptic Curve
Cryptography – kryptografię z użyciem krzywych eliptycznych.
Albo proba download z tej www -->
https://cdimage.debian.org/
- u mnie pada i IDM, i FDM.
czyli cos nie za bardzo w posready poprawia sie komunikacja... (pewnie
wina konkretnego softu).
Konkretnego, czyli Microsoftu.
Przy wspomnianym wyżej SNI programy wykorzystujące biblioteki systemowe
zgłaszają, że certyfikat jest wystawiony dla niewłaściwej domeny, co jednak
można zignorować.
Ale kiedy w grę wchodzi ECC, nie da rady nic zrobić, bo wtedy program
w ogóle nie dogaduje się z serwerem już na etapie wymiany kluczy – dlatego
Wikipedii w IE8 w Windows XP nie poczytasz.
W niektórych przypadkach serwer wciąż pozwala na połączenia nieszyfrowane
po HTTP i wystarczy poprawić link. Jednak znacznie częściej serwer wdraża
HSTS, czyli wymusza przekierowanie HTTP na HTTPS - wówczas pozostaje
pobieranie pliku w Firefoksie, który korzysta z bibliotek OpenSSL.
Innym rozwiązaniem jest postawienie lokalnego proxy HTTPS, który też
korzysta z OpenSSL.
--
Andrzej P. Woźniak uszer@pochta.onet.pl (zamień miejscami z<->h w adresie)
|