"Ze" zijn er weer.

Dingen die niets met het radioamateurisme te maken hebben.
Plaats reactie
Bericht
Auteur
Gebruikersavatar
Juul - PE0GJG
Berichten: 3348
Lid geworden op: 11 mei 2007, 20:29
Roepletters: PE0GJG
Locatie: JO22TJ - Biddinghuizen
Contacteer:

"Ze" zijn er weer.

#1 Bericht door Juul - PE0GJG »

Heren website "bazen". Dank voor jullie inspanningen om de webstek weer on air te brengen.
En..................."de volgende keer met de certificaten iets beter opletten denk ik."


Maar ik ben er weer blij mee !


Juul
"radio Veronica - de zeezender geschiedenis" - http://www.norderney.nl

PE0GJG sinds 1975

sottezero
Berichten: 814
Lid geworden op: 17 nov 2015, 18:33

Re: "Ze" zijn er weer.

#2 Bericht door sottezero »

ja, was extra werk, eerst exception in firewall zetten om foute cert te accepteren, daarna in browser maar inloggen werkte toch niet, nu weer wel.

Gebruikersavatar
PE9ZZ
Berichten: 1239
Lid geworden op: 06 nov 2010, 18:00
Roepletters: PE9ZZ
Locatie: Amsterdam (JO22KI)
Contacteer:

Re: "Ze" zijn er weer.

#3 Bericht door PE9ZZ »

sottezero schreef: 21 dec 2022, 18:56 eerst exception in firewall zetten om foute cert te accepteren
Wat heeft een firewall met certs te maken?

Tjerk, 9ZZ

Gebruikersavatar
elsinga
Moderator
Berichten: 3123
Lid geworden op: 17 mar 2008, 15:05
Roepletters: PC5E
Locatie: Heerenveen (JO22xx)
Contacteer:

Re: "Ze" zijn er weer.

#4 Bericht door elsinga »

Bij Let's Encrypt moet er bepaald verkeer toegestaan zijn om de verificatie van het domein te doen.
www.PC5E.nl, Robert Elsinga, communicatie enthousiasteling, zendamateur (PC5E/WC5E/SP20EJ), scannerluisteraar, lokaal/regionaal/nationaal/internationaal scout, IT Security Expert
Icom IC7300, Icom IC-7000, X50N (14m asl), Diamond WD330S (sloper, 6-12m asl), Kenwood TH-F7E, 2x Anytone AT-D578UV (base, mobile), 3x Anytone AT-D878UV, MMVDM duplex hotspot, 20x Baofeng BF888S.
Op mijn site o.a. Examenuitwerking N/F, Scannerfrequenties NL e.o, Beginnen met DMR, DMR codeplug maken

Gebruikersavatar
pa3met
Berichten: 1477
Lid geworden op: 21 apr 2006, 19:09
Roepletters: PA3MET
Locatie: IJsselstein
Contacteer:

Re: "Ze" zijn er weer.

#5 Bericht door pa3met »

like what?
IC7851; IC202S; TH-F7E; MD380; IC7000(+4m); IC7300; IC9700, IC705, X6100

PA3CQN
Berichten: 789
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: "Ze" zijn er weer.

#6 Bericht door PA3CQN »

Volgens mij is dit draadje op het verkeerde spoor geraakt.

-De beheerders zorgen voor het certificaat.
-Gebruikers kunnen een uitzondering in de browser toevoegen om http voor een website toe te staan. Dat wordt wel eens firewall genoemd maar is het niet natuurlijk.
-Let's Encrypt gaat gewoon over 443 en 80. Je moet alleen zorgen dat de verificatie sleutel bereikbaar is op je webserver.
-Let's Encrypt is nu een tijdelijke oplossing tot het Sectigo certifaat ( of van een andere CA ) weer voor een jaar aanwezig is. Dat kan een weekje duren want de controle is wat strenger (*)
-Het goede en volledige antwoord van de beheerders staat hier: https://www.zendamateur.com/viewtopic.p ... 59#p274759

(*) Laatst nog een EV certificaat verlenging zien mislukken omdat het bedrijf een andere ondernemingsvorm had gekregen en dus een ander KvK nummer. Dus dat controleren werkt echt. Of nog leuker: de telefoniste met instructie engelstalige telefoontjes over computers te negeren had geheel volgens aanwijzing de verificatie-oproep beantwoord met 'ophangen';)
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

Gebruikersavatar
PE1PQX
Berichten: 4529
Lid geworden op: 06 jun 2011, 21:51
Roepletters: PE1PQX
Locatie: Emmen (JO32LS)
Contacteer:

Re: "Ze" zijn er weer.

#7 Bericht door PE1PQX »

pa3met schreef: 22 dec 2022, 08:34like what?
Om te beginnen poorten 443 en 80 naar de verificatie-host van de certificaat provider.
Als deze host in de USA zit (wat bij Let's Encrypt het geval is) moet je ook toegang aan bezoekers vanuit de USA geven.

Tenminste, dat is mijn ervaring dat ik met mijn Syno's NAS-sen heb.
73', André PE1PQX (Site: http://www.pe1pqx.eu)

"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)

sottezero
Berichten: 814
Lid geworden op: 17 nov 2015, 18:33

Re: "Ze" zijn er weer.

#8 Bericht door sottezero »

Nee, is wel degelijk een firewall..
Deze hebben Intrusion Prevention, AntiMalware, DNS en SSL inspectie.
Wanneer een certificaat geen CRL server heeft of verlopen is dan blokkeren de firewalls (fortigate 60F en Checkpoint qs1590) de verbinding.
Om een of andere reden kon ik echter na een exception te maken voor za.com nog steeds niet inloggen, maar ik denk dat dat een chromium probleem is.

PA0LMD
Berichten: 2262
Lid geworden op: 20 aug 2010, 20:29
Roepletters: PA0LMD
Locatie: Oldebroek
Contacteer:

Re: "Ze" zijn er weer.

#9 Bericht door PA0LMD »

Pfff.....blij dat ik meer verstand van radio's heb.
Meten is (z)weten

PA3CQN
Berichten: 789
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: "Ze" zijn er weer.

#10 Bericht door PA3CQN »

sottezero schreef: 22 dec 2022, 15:08 Nee, is wel degelijk een firewall..
Deze hebben Intrusion Prevention, AntiMalware, DNS en SSL inspectie.
Wanneer een certificaat geen CRL server heeft of verlopen is dan blokkeren de firewalls (fortigate 60F en Checkpoint qs1590) de verbinding.
Om een of andere reden kon ik echter na een exception te maken voor za.com nog steeds niet inloggen, maar ik denk dat dat een chromium probleem is.
Maar op een Fortigate staat dat niet standaard aan, dat moet je zelf doen en de gevolgen accepteren. En je moet er eerst nog (fors) voor betalen ook.
Ik zet het zelf nooit aan trouwens. Het heeft namelijk een gigantisch nadeel: de FG vervangt het originele certificaat door zijn eigen als ie het doorstuurt naar de client. Als gebruiker weet je dus nog steeds niet of de website wel de goede is. Als er twee websites zijn, ing.nl en ieng.nl met beide een geldig certificaat weet ik niet of het wel de goede site is, want ik krijg het FG certificaat te zien. En niet dat van de ing of de nepper ieng. Terwijl het hele idee van een EV cert is dat ik kan zien of de website wel bij het bedrijf hoort.
Het is ook een privacyschending van jewelste: een gebruiker denkt via ssl veilig te communiceren maar dan zit die FG gewoon in de communicatie te snuffelen.
En met zijn basis in de VS wil je dat ook niet. Het is zelfs de vraag of je als 'baas' wel op die manier in het surfgedrag van je werknemers mag loeren.

Dat is het rare aan al die zogenaamde beveiliging: je stuurt iedere DNS-aanvraag en sitebezoek door aan een vreemde mogendheid. En dat is per definitie onveilig. En dat gaat ver: een firewall die in mijn met smtp verstuurde mail neust, hoe onveilig wil je het hebben.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

sottezero
Berichten: 814
Lid geworden op: 17 nov 2015, 18:33

Re: "Ze" zijn er weer.

#11 Bericht door sottezero »

nou vallen die kosten wel mee, ik krijg de apparatuur gratis en de licenties moet ik dan na 3 of 12 maanden zelf betalen.

Gebruikersavatar
PE9ZZ
Berichten: 1239
Lid geworden op: 06 nov 2010, 18:00
Roepletters: PE9ZZ
Locatie: Amsterdam (JO22KI)
Contacteer:

Re: "Ze" zijn er weer.

#12 Bericht door PE9ZZ »

PA3CQN schreef: 22 dec 2022, 16:13de FG vervangt het originele certificaat door zijn eigen als ie het doorstuurt naar de client.
Crisco doet dat ook. Firefox klaagt daar dan ook onmiddelijk over als het webfilter van mijn werkgever dat flikt. Dan moet ik twee keer (!) een fout cert accepteren om uiteindelijk bij de juiste site te komen. En dat zijn dan geeneens NSFW sites want die zijn helemaal geblokkeerd. Daar gebruik ik Tor voor :mrgreen:

Tjerk, 9ZZ

Gebruikersavatar
Juul - PE0GJG
Berichten: 3348
Lid geworden op: 11 mei 2007, 20:29
Roepletters: PE0GJG
Locatie: JO22TJ - Biddinghuizen
Contacteer:

Re: "Ze" zijn er weer.

#13 Bericht door Juul - PE0GJG »

Ik begrijp niks van al technische gedoe.
Terwijl ik alleen maar meldde dat ik het leuk vond dat "ze" er weer zijn. En dat "hunnie" moeten opletten om het certificaat te verlengen.................................
"radio Veronica - de zeezender geschiedenis" - http://www.norderney.nl

PE0GJG sinds 1975

PA3CQN
Berichten: 789
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: "Ze" zijn er weer.

#14 Bericht door PA3CQN »

PE9ZZ schreef: 22 dec 2022, 21:32
PA3CQN schreef: 22 dec 2022, 16:13de FG vervangt het originele certificaat door zijn eigen als ie het doorstuurt naar de client.
Crisco doet dat ook. Firefox klaagt daar dan ook onmiddelijk over als het webfilter van mijn werkgever dat flikt. Dan moet ik twee keer (!) een fout cert accepteren om uiteindelijk bij de juiste site te komen. En dat zijn dan geeneens NSFW sites want die zijn helemaal geblokkeerd. Daar gebruik ik Tor voor :mrgreen:

Tjerk, 9ZZ
Ze doen het allemaal zo. En geven daarmee meteen het grote lek van ssl aan. Als je je als hacker in de verbinding kunt wurmen heb je de mogelijkheid om de communicatie te lezen terwijl de gebruiker wel een 'slotje' ziet. Voor de meest gebruikers is dat genoeg, want dat is ze zo verteld. Gebruik je een domeinnaam die lijkt op de bedoelde als een proxy dan kun je helemaal je gang gaan, met een gebruiker die denkt alles goed te doen. Check je wel het certificaat dan kun je achter een firewall met ssl inspectie dus niet werken: alle sites zijn dan onbetrouwbaar.
SMTP mailen is ook zo'n misvatting: de mailserver leest gewoon mee. En zo zijn er nog wel meer valkuilen.
Beveiligd mailen waarbij de ontvanger een lees-code in zijn mail krijgt is er ook zo 1. Helpt niks tegen foute ontvangers.

Maar leg dat allemaal maar eens uit aan de AVG-pief in je bedrijf.

@ sottezero: stuur er dan maar een paar mijn kant op. 60F doet het nog wel paar jaar.
@ Juul: sorry.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

Plaats reactie