"Ze" zijn er weer.
- Juul - PE0GJG
- Berichten: 3359
- Lid geworden op: 11 mei 2007, 20:29
- Roepletters: PE0GJG
- Locatie: JO22TJ - Biddinghuizen
- Contacteer:
"Ze" zijn er weer.
Heren website "bazen". Dank voor jullie inspanningen om de webstek weer on air te brengen.
En..................."de volgende keer met de certificaten iets beter opletten denk ik."
Maar ik ben er weer blij mee !
Juul
En..................."de volgende keer met de certificaten iets beter opletten denk ik."
Maar ik ben er weer blij mee !
Juul
Re: "Ze" zijn er weer.
ja, was extra werk, eerst exception in firewall zetten om foute cert te accepteren, daarna in browser maar inloggen werkte toch niet, nu weer wel.
- elsinga
- Moderator
- Berichten: 3129
- Lid geworden op: 17 mar 2008, 15:05
- Roepletters: PC5E
- Locatie: Heerenveen (JO22xx)
- Contacteer:
Re: "Ze" zijn er weer.
Bij Let's Encrypt moet er bepaald verkeer toegestaan zijn om de verificatie van het domein te doen.
www.PC5E.nl, Robert Elsinga, communicatie enthousiasteling, zendamateur (PC5E/WC5E/SP20EJ), scannerluisteraar, lokaal/regionaal/nationaal/internationaal scout, IT Security Expert
Icom IC7300, Icom IC-7000, X50N (14m asl), Diamond WD330S (sloper, 6-12m asl), Kenwood TH-F7E, 2x Anytone AT-D578UV (base, mobile), 3x Anytone AT-D878UV, MMVDM duplex hotspot, 20x Baofeng BF888S.
Op mijn site o.a. Examenuitwerking N/F, Scannerfrequenties NL e.o, Beginnen met DMR, DMR codeplug maken
Icom IC7300, Icom IC-7000, X50N (14m asl), Diamond WD330S (sloper, 6-12m asl), Kenwood TH-F7E, 2x Anytone AT-D578UV (base, mobile), 3x Anytone AT-D878UV, MMVDM duplex hotspot, 20x Baofeng BF888S.
Op mijn site o.a. Examenuitwerking N/F, Scannerfrequenties NL e.o, Beginnen met DMR, DMR codeplug maken
- pa3met
- Berichten: 1487
- Lid geworden op: 21 apr 2006, 19:09
- Roepletters: PA3MET
- Locatie: IJsselstein
- Contacteer:
Re: "Ze" zijn er weer.
like what?
IC7851; IC202S; TH-F7E; MD380; IC7000(+4m); IC7300; IC9700, IC705, X6100
-
- Berichten: 791
- Lid geworden op: 10 dec 2014, 21:59
- Roepletters: PA3CQN
- Locatie: Groningen
- Contacteer:
Re: "Ze" zijn er weer.
Volgens mij is dit draadje op het verkeerde spoor geraakt.
-De beheerders zorgen voor het certificaat.
-Gebruikers kunnen een uitzondering in de browser toevoegen om http voor een website toe te staan. Dat wordt wel eens firewall genoemd maar is het niet natuurlijk.
-Let's Encrypt gaat gewoon over 443 en 80. Je moet alleen zorgen dat de verificatie sleutel bereikbaar is op je webserver.
-Let's Encrypt is nu een tijdelijke oplossing tot het Sectigo certifaat ( of van een andere CA ) weer voor een jaar aanwezig is. Dat kan een weekje duren want de controle is wat strenger (*)
-Het goede en volledige antwoord van de beheerders staat hier: https://www.zendamateur.com/viewtopic.p ... 59#p274759
(*) Laatst nog een EV certificaat verlenging zien mislukken omdat het bedrijf een andere ondernemingsvorm had gekregen en dus een ander KvK nummer. Dus dat controleren werkt echt. Of nog leuker: de telefoniste met instructie engelstalige telefoontjes over computers te negeren had geheel volgens aanwijzing de verificatie-oproep beantwoord met 'ophangen';)
-De beheerders zorgen voor het certificaat.
-Gebruikers kunnen een uitzondering in de browser toevoegen om http voor een website toe te staan. Dat wordt wel eens firewall genoemd maar is het niet natuurlijk.
-Let's Encrypt gaat gewoon over 443 en 80. Je moet alleen zorgen dat de verificatie sleutel bereikbaar is op je webserver.
-Let's Encrypt is nu een tijdelijke oplossing tot het Sectigo certifaat ( of van een andere CA ) weer voor een jaar aanwezig is. Dat kan een weekje duren want de controle is wat strenger (*)
-Het goede en volledige antwoord van de beheerders staat hier: https://www.zendamateur.com/viewtopic.p ... 59#p274759
(*) Laatst nog een EV certificaat verlenging zien mislukken omdat het bedrijf een andere ondernemingsvorm had gekregen en dus een ander KvK nummer. Dus dat controleren werkt echt. Of nog leuker: de telefoniste met instructie engelstalige telefoontjes over computers te negeren had geheel volgens aanwijzing de verificatie-oproep beantwoord met 'ophangen';)
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________
- PE1PQX
- Berichten: 4546
- Lid geworden op: 06 jun 2011, 21:51
- Roepletters: PE1PQX
- Locatie: Emmen (JO32LS)
- Contacteer:
Re: "Ze" zijn er weer.
Om te beginnen poorten 443 en 80 naar de verificatie-host van de certificaat provider.
Als deze host in de USA zit (wat bij Let's Encrypt het geval is) moet je ook toegang aan bezoekers vanuit de USA geven.
Tenminste, dat is mijn ervaring dat ik met mijn Syno's NAS-sen heb.
73', André PE1PQX (Site: http://www.pe1pqx.eu)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)
Re: "Ze" zijn er weer.
Nee, is wel degelijk een firewall..
Deze hebben Intrusion Prevention, AntiMalware, DNS en SSL inspectie.
Wanneer een certificaat geen CRL server heeft of verlopen is dan blokkeren de firewalls (fortigate 60F en Checkpoint qs1590) de verbinding.
Om een of andere reden kon ik echter na een exception te maken voor za.com nog steeds niet inloggen, maar ik denk dat dat een chromium probleem is.
Deze hebben Intrusion Prevention, AntiMalware, DNS en SSL inspectie.
Wanneer een certificaat geen CRL server heeft of verlopen is dan blokkeren de firewalls (fortigate 60F en Checkpoint qs1590) de verbinding.
Om een of andere reden kon ik echter na een exception te maken voor za.com nog steeds niet inloggen, maar ik denk dat dat een chromium probleem is.
-
- Berichten: 791
- Lid geworden op: 10 dec 2014, 21:59
- Roepletters: PA3CQN
- Locatie: Groningen
- Contacteer:
Re: "Ze" zijn er weer.
Maar op een Fortigate staat dat niet standaard aan, dat moet je zelf doen en de gevolgen accepteren. En je moet er eerst nog (fors) voor betalen ook.sottezero schreef: ↑22 dec 2022, 15:08 Nee, is wel degelijk een firewall..
Deze hebben Intrusion Prevention, AntiMalware, DNS en SSL inspectie.
Wanneer een certificaat geen CRL server heeft of verlopen is dan blokkeren de firewalls (fortigate 60F en Checkpoint qs1590) de verbinding.
Om een of andere reden kon ik echter na een exception te maken voor za.com nog steeds niet inloggen, maar ik denk dat dat een chromium probleem is.
Ik zet het zelf nooit aan trouwens. Het heeft namelijk een gigantisch nadeel: de FG vervangt het originele certificaat door zijn eigen als ie het doorstuurt naar de client. Als gebruiker weet je dus nog steeds niet of de website wel de goede is. Als er twee websites zijn, ing.nl en ieng.nl met beide een geldig certificaat weet ik niet of het wel de goede site is, want ik krijg het FG certificaat te zien. En niet dat van de ing of de nepper ieng. Terwijl het hele idee van een EV cert is dat ik kan zien of de website wel bij het bedrijf hoort.
Het is ook een privacyschending van jewelste: een gebruiker denkt via ssl veilig te communiceren maar dan zit die FG gewoon in de communicatie te snuffelen.
En met zijn basis in de VS wil je dat ook niet. Het is zelfs de vraag of je als 'baas' wel op die manier in het surfgedrag van je werknemers mag loeren.
Dat is het rare aan al die zogenaamde beveiliging: je stuurt iedere DNS-aanvraag en sitebezoek door aan een vreemde mogendheid. En dat is per definitie onveilig. En dat gaat ver: een firewall die in mijn met smtp verstuurde mail neust, hoe onveilig wil je het hebben.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________
Re: "Ze" zijn er weer.
nou vallen die kosten wel mee, ik krijg de apparatuur gratis en de licenties moet ik dan na 3 of 12 maanden zelf betalen.
- PE9ZZ
- Berichten: 1245
- Lid geworden op: 06 nov 2010, 18:00
- Roepletters: PE9ZZ
- Locatie: Amsterdam (JO22KI)
- Contacteer:
Re: "Ze" zijn er weer.
Crisco doet dat ook. Firefox klaagt daar dan ook onmiddelijk over als het webfilter van mijn werkgever dat flikt. Dan moet ik twee keer (!) een fout cert accepteren om uiteindelijk bij de juiste site te komen. En dat zijn dan geeneens NSFW sites want die zijn helemaal geblokkeerd. Daar gebruik ik Tor voor
Tjerk, 9ZZ
- Juul - PE0GJG
- Berichten: 3359
- Lid geworden op: 11 mei 2007, 20:29
- Roepletters: PE0GJG
- Locatie: JO22TJ - Biddinghuizen
- Contacteer:
Re: "Ze" zijn er weer.
Ik begrijp niks van al technische gedoe.
Terwijl ik alleen maar meldde dat ik het leuk vond dat "ze" er weer zijn. En dat "hunnie" moeten opletten om het certificaat te verlengen.................................
Terwijl ik alleen maar meldde dat ik het leuk vond dat "ze" er weer zijn. En dat "hunnie" moeten opletten om het certificaat te verlengen.................................
-
- Berichten: 791
- Lid geworden op: 10 dec 2014, 21:59
- Roepletters: PA3CQN
- Locatie: Groningen
- Contacteer:
Re: "Ze" zijn er weer.
Ze doen het allemaal zo. En geven daarmee meteen het grote lek van ssl aan. Als je je als hacker in de verbinding kunt wurmen heb je de mogelijkheid om de communicatie te lezen terwijl de gebruiker wel een 'slotje' ziet. Voor de meest gebruikers is dat genoeg, want dat is ze zo verteld. Gebruik je een domeinnaam die lijkt op de bedoelde als een proxy dan kun je helemaal je gang gaan, met een gebruiker die denkt alles goed te doen. Check je wel het certificaat dan kun je achter een firewall met ssl inspectie dus niet werken: alle sites zijn dan onbetrouwbaar.PE9ZZ schreef: ↑22 dec 2022, 21:32Crisco doet dat ook. Firefox klaagt daar dan ook onmiddelijk over als het webfilter van mijn werkgever dat flikt. Dan moet ik twee keer (!) een fout cert accepteren om uiteindelijk bij de juiste site te komen. En dat zijn dan geeneens NSFW sites want die zijn helemaal geblokkeerd. Daar gebruik ik Tor voor
Tjerk, 9ZZ
SMTP mailen is ook zo'n misvatting: de mailserver leest gewoon mee. En zo zijn er nog wel meer valkuilen.
Beveiligd mailen waarbij de ontvanger een lees-code in zijn mail krijgt is er ook zo 1. Helpt niks tegen foute ontvangers.
Maar leg dat allemaal maar eens uit aan de AVG-pief in je bedrijf.
@ sottezero: stuur er dan maar een paar mijn kant op. 60F doet het nog wel paar jaar.
@ Juul: sorry.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________