Меню
Что нового?

Почему работает https??

Dzen

Dzen

Новичок
Добрый день,

Как такое возможно?
Имеем:
1) Обычный хостинг.
2) На хостинге собственное наше приложение на php.
3) Удаленный сервис с API, который заявил что работает только по https.
4) собственный домен без SSL сертификата.

При обращении к собственному домену, по ! http ! идёт запуск скрипта и подключение к API удаленного сервиса. Внутри этого скрипта подключение к API прописано через урл ! https !. (не с помощью Curl), работает SOAP.

Удаленный сервис прекрасно отдаёт данные.
Если в скрипте меняем https на http, удаленный сервис данные не отдаёт.

Почему это работает? Если сервис заявляет что работает только по https, а к домену никакие сертификаты мы не покупали. Он же вроде не должен работать?

Хостинг не на виндоуз.
 
hell0w0rd

hell0w0rd

Продвинутый новичок
А какая разница, есть у вас сертификат или нет? В тот момент, когда ты делаешь запрос к своему сайту - ты клиент. А когда ваш сайт делает запрос к другому сайту, ваш сайт является клиентом.
 
Dzen

Dzen

Новичок
т.е. для обмена данными по ssl между серверами, не нужны никакие ssl?? и всё снифится и палится?? или на апаче встроенный модуль есть?

просто всех склоняли к покупке ssl, т.к. API сервис переходил на обмена данными только по ssl, а оказалось всё работает??
 
WMix

WMix

герр M:)ller
Партнер клуба
он намекает, что одно дело шифроваться, а другое доказать что это ты
 
hell0w0rd

hell0w0rd

Продвинутый новичок
Dzen написал(а):
т.е. для обмена данными по ssl между серверами, не нужны никакие ssl?? и всё снифится и палится?? или на апаче встроенный модуль есть?

просто всех склоняли к покупке ssl, т.к. API сервис переходил на обмена данными только по ssl, а оказалось всё работает??
Нажмите для раскрытия...
при чем тут вообще ваш сервер? Вы делаете запрос к стороннему серверу.
Зайди в консоль, напиши curl https://api.github.com, тебя не смущает, что твой компьютер вообще не сервер!? оО
 

MiksIr

miksir@home:~$
Dzen тебя введи в заблуждение! Наверно тебе кто-то рассказал.... ну что-то вроде "как только вопрос появляется - не пытайся разобраться сам как все работает, выбери 3-5 форумов и пость все вопросы туда - кто-то да расскажет". Но это плохой подход, правда, ты роешь себе яму поверхностных знаний =)
 
Hello

Hello

Новичок
Dzen написал(а):
т.е. для обмена данными по ssl между серверами, не нужны никакие ssl?? и всё снифится и палится?? или на апаче встроенный модуль есть?

просто всех склоняли к покупке ssl, т.к. API сервис переходил на обмена данными только по ssl, а оказалось всё работает??
Нажмите для раскрытия...
SSL есть у сервиса API, и этого достаточно
 
  • Like
Реакции: Dzen
Активист

Активист

Активист
Команда форума
Вы можете и не покупать сертификат, а сами выписать - будет у вас SSL и все прекрасно, лишь за исключением, что ваш самоподписанный сертификат никто не выдавал из центров сертификации, и ваш браузер нихера не знает о том, что это за сертификат и не подделан ли через атаку "посередине". О чем собственно будет сказано бразуером. Покупая сертификат - у вас есть гарантия, что сертификат не подделают посередине, поскольку он подписан сторонним центром сертификации (но не факт, что тот же центр сертификации не подписывает и другим сертификаты на ваш домен, например АНБ, который как бы может прийти и принудить отдать приватный ключ). Почему ваш бразуер знает настоящий у вас сертификат или нет - потому что в бразуер установлены корневые сертификаты центро сертификации. В общем, это та же технология что ЭЦП в России, РТС тендер там, бух отчетность, банк клиенты. Ширфрование правда по ГОСТ.
 
  • Like
Реакции: Dzen

AnrDaemon

Продвинутый новичок
Гарантии нет никакой. Всё, что делает центр сертификации, это ставит штампик "я, такой-то такой-то, выдал настоящий рулон туалетной бумаги кому-то, представившемуся как такой-то, в том, что этот кто-то представился кем-то". ВСЁ!
 
WMix

WMix

герр M:)ller
Партнер клуба
AnrDaemon, нет не все, он еще сообщает публичный ключик удаленного сервера (или дает возможность его проверить, точно не знаю)
 
Активист

Активист

Активист
Команда форума
WMix написал(а):
AnrDaemon, нет не все, он еще сообщает публичный ключик удаленного сервера (или дает возможность его проверить, точно не знаю)
Нажмите для раскрытия...
какой публичный ключи? я как понимаю AnrDaemon имеет ввиду утечку приватных ключей с сервера или от разработчика.
 

AnrDaemon

Продвинутый новичок
Я имею в виду сам принцип построения инфраструктуры.
Она изначально построена на голом доверии. Причём этот факт нигде не афишируется.
Любой сертификат, установленный как доверенный корневой ЦС, автоматически включит доверие ко всем сертификатам, им выданным.
А теперь, на минуточку, у вас в системе предустановлено минимум два десятка сертификатов, которым ваша система безоговорочно доверяет.
 
Активист

Активист

Активист
Команда форума
AnrDaemon написал(а):
Я имею в виду сам принцип построения инфраструктуры.
Она изначально построена на голом доверии. Причём этот факт нигде не афишируется.
Любой сертификат, установленный как доверенный корневой ЦС, автоматически включит доверие ко всем сертификатам, им выданным.
А теперь, на минуточку, у вас в системе предустановлено минимум два десятка сертификатов, которым ваша система безоговорочно доверяет.
Нажмите для раскрытия...
Доверять нельзя никому, но как бы хочется. Ладно там, АНБ, ФСБ, зачем мы им? Главное не сопрут хотя бы провайдеры или сисадмин кулхацкер ;) Для секретной переписке достаточно передать на флешке свой приватный ключ, и получить чужой публичный. Да и думаю, дешифровывать стали быстро. Вон. целые фермы генерят биткоинты)
 

AnrDaemon

Продвинутый новичок
Я в курсе. Плюс это вполне конкретные деньги. Деньги государству за право выдавать сертификаты, деньги выдавальщикам за получаемые сертификаты, отдельные деньги за особые OID в ваших сертификатах…
Дешифровать ECDSA - ну, удачи…
Если RSA только ещё "не рекомендуется к использованию для длительного хранения" (что в переводе означает "расшифровать теоретически возможно за время жизни человечества, но информация устареет раньше"), то более новые алгоритмы на несколько порядков более криптостойки.
Проблемы тут, как ни странно, обычно вылезают в самых феерических местах. И обычно же касаются не самих алгоримов, а их реализации. Чего только скандал с реализацией шифрования в GSM сетях стоит.
 

MiksIr

miksir@home:~$
Нужно обменяться публичными, зачем приватный на флешке?
 
WMix

WMix

герр M:)ller
Партнер клуба
парни вы о чем? публичный ключик на то и публичный! но это вопрос шифрования!
другой вопрос а тот кто выдает себя за домен xyz показывает тотже публичный ключ?
 
Активист

Активист

Активист
Команда форума
Войдите или зарегистрируйтесь для ответа.
Сверху