Vlákno názorů k článku Let's Encrypt v praxi: jak jsem přešel na HTTPS od me - Zajimalo by me, jaka je kompatibilita s WinXP....
-
me (neregistrovaný)
Zajimalo by me, jaka je kompatibilita s WinXP. Nahodou jsem zjistil, ze Google Chrome na WinXP neumi zobrazit https://www.wesnoth.org/ Google Chrome je aktualni. SSLlab hodnoti domenu www.wesnoth.org velmi dobre, A+. Je tam videt, ze se pouzivaji certifikaty od Let's encrypt...
https://www.ssllabs.com/ssltest/analyze.html?d=wesnoth.org
Ale Google Chrome na WinXP odmitne stranku zobrazit, downgrade na "http" neni mozny. Takze jsem nahrany (ne uplne, mam i Linux)
Toto je chybova hlaska:www.wesnoth.org normally uses encryption to protect your information. When Chrome tried to connect to www.wesnoth.org this time, the website sent back unusual and incorrect credentials. Either an attacker is trying to pretend to be www.wesnoth.org, or a Wi-Fi sign-in screen has interrupted the connection. Your information is still secure because Chrome stopped the connection before any data was exchanged.
-
Tipnul jsem to na SNI nebo SHA2 a s tím SHA2 jsem se trefil:
„Chrome is capable of supporting SHA-2 certificates as of version 1.0, however through version 37 it is dependent on the operating system. For instance, on Windows Server 2003 without MS13-095 or Windows XP SP2 Chrome will not connect to pages using SHA-2 certs. Applying MS13-095 to Server 2003, or SP3 to Windows XP will allow Chrome to support SHA-2 on these legacy systems.“ – https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility
Z pozice uživatele: Windows XP již není záplatovaný, takže není vhodný, pokud záleží na bezpečnosti.
Z pozice správce: Přechod zpět na SHA1 by sice vyřešil Windows XP, ale dnešní prohlížeče by patrně začaly nadávat, že SHA1 je již zastaralé. Kompletní zákaz se chystá, tuším, na půlku tohoto roku. Tuším, že Facebook přišel s řešením v podobě dvou certifikátů a nějakou detekcí prohlížeče (nevím, na základě čeho, možná podle SNI?), ale nechtělo by se mi to nasazovat.
-
me (neregistrovaný)
Diky, vse vysvetleno! Sice pisi o wesnoth.org, ale https://www.petrkrcmar.cz/ se chova uplne stejne.
S nadsazkou lze napsat, ze "zabijakem WinXP" budou SSL certifikaty od Let's Encrypt... ;-)
-
me (neregistrovaný)
Tak problem vyresen, nove certifikaty vydane po 26 breznu 2016 jsou s WinXP kompatibilni.
http://www.root.cz/clanky/let-s-encrypt-funguje-v-xp-veci-se-ale-mohou-rozbit/
ČLÁNKY DO MAILU