с полученной информацией делает запрос в центр сертификации (адреса центров сертификации уже есть в вашем браузере по умолчанию)
Браузер не делает запросов ни по каким адресам центров сертификации.
Он сверяется с доступными ему в своей ОС (или в своем хранилище в случае Firefox) корневыми и промежуточными сертификатами и на их основе определят достоверность предоставленного сервером сертификата.
Периодически корневые сертификаты, установленные в системе, устаревают (как совсем недавно это произошло с IdenTrust DST Root CA X3), и тогда начинаются проблемы с подключением, если списки этих корневых сертификатов в системе вовремя не обновить. В некоторых устройствах это проблематично.
--> Running transaction check
---> Package glibc.i686 0:2.12-1.212.el6_10.3 will be installed
--> Processing Dependency: libfreebl3.so(NSSRAWHASH_3.12.3) for package: glibc-2.12-1.212.el6_10.3.i686
--> Processing Dependency: libfreebl3.so for package: glibc-2.12-1.212.el6_10.3.i686
---> Package krb5-libs.i686 0:1.10.3-65.el6 will be installed
--> Processing Dependency: libselinux.so.1 for package: krb5-libs-1.10.3-65.el6.i686
--> Processing Dependency: libkeyutils.so.1(KEYUTILS_0.3) for package: krb5-libs-1.10.3-65.el6.i686
--> Processing Dependency: libkeyutils.so.1 for package: krb5-libs-1.10.3-65.el6.i686
---> Package libcom_err.i686 0:1.41.12-24.el6 will be installed
---> Package zlib.i686 0:1.2.3-29.el6 will be installed
--> Running transaction check
---> Package keyutils-libs.i686 0:1.4-5.el6 will be installed
---> Package libselinux.i686 0:2.0.94-7.el6 will be installed
---> Package nss-softokn-freebl.i686 0:3.44.0-6.el6_10 will be installed
--> Finished Dependency Resolution
Error: Multilib version problems found. This often means that the root
cause is something else and multilib version checking is just
pointing out that there is a problem. Eg.:
1. You have an upgrade for openssl which is missing some
dependency that another package requires. Yum is trying to
solve this by installing an older version of openssl of the
different architecture. If you exclude the bad architecture
yum will tell you what the root cause is (which package
requires what). You can try redoing the upgrade with
--exclude openssl.otherarch ... this should give you an error
message showing the root cause of the problem.
2. You have multiple architectures of openssl installed, but
yum can only see an upgrade for one of those arcitectures.
If you don't want/need both architectures anymore then you
can remove the one with the missing update and everything
will work.
3. You have duplicate versions of openssl installed already.
You can use "yum check" to get yum show these errors.
...you can also use --setopt=protected_multilib=false to remove
this checking, however this is almost never the correct thing to
do as something else is very likely to go wrong (often causing
much more problems).
Protected multilib versions: openssl-1.0.1e-59.el6.x86_64 != openssl-1.0.1e-58.el6_10.i686
Что-то ничего не выходит, опять куча ошибок, перепробовал уже много способов.
Оказалось, что корректно вставить в файл этот кусок не так просто, если там важны все символы вплоть до таба и перевода строки. Nano и Mcedit не могут вставить корректно, форматирование едет.
Вы могли бы выложить готовый файл openssl-1.0.1e-trusted-first.patch с уже вписанным в конец куском?
В данном примере время листается вперед на 15 дней и запускается curl.
В старенькой же Fedora 22 корневые сертификаты устарели, в них нет корневого сертификата от Let's Encrypt: ISRG Root X1, и openssl старой версии 1.0.1k-fips.
Я сделал так:
1) забэкапил папку /etc/pki, несмотря на то, что это вроде как и необязательно, но так спокойнее.
Flash (пока еще на данный момент) работает в IE под Windows 10, ничего инсталлировать не надо.
Но имхо самый простой способ без инсталляции себе в систему ничего старого и дырявого — это портабл версия Хрома.
Скачать можно тут: https://sourceforge.net/projects/portableapps/files/Google%20Chrome%20Portable/GoogleChromePortable_49.0.2623.112_online.paf.exe/download
Это старая версия со встроенным флешем внутри.
Как и другие старые версии браузера и флеша, она дырявая, но для входа только на нужный сайт с флешем пойдет. На другие сайты лучше не ходить.
Они блокируют скачивание из некоторых браузеров не потому, что хотят что-то скрыть, а потому, что эти браузеры, например, Chrome, при скачивании ругаются на вирус и в любом случае не дают его скачать. Т.е. с их стороны блокирование - это просто такой себе мини маркетинговый ход, чтобы лишний раз пользователей не нервировать сообщениями о вирусах.
Спасибо за советы. Как я понял, сам флеш плагин не умеет быть портабл, его надо инсталлировать в основную систему. Не хотелось бы держать эту уже никогда не обновляемую версию в системе. Раньше он был просто встроен в обычный хром (или скачивался в него же незаметно).
Именно оттуда и пробовал Firefox, но завести в нем flash так и не смог.
Так же пробовал Chrome отсюда: sourceforge.net/projects/portableapps/files/Google%20Chrome%20Portable
Но там только дается загрузчик, который скачивает остальную часть с сайта гугл, и в ней сразу отключен флеш, в любой версии, как я понял.
Всем привет. Есть необходимость пока еще ходить на один производственный сайт с флешем.
Но Chrome и Edge с 88-й версии и Firefox с 85-й больше не поддерживают flash вообще, хоть какой старой версии плагин не ставь и хоть что в файле mms.cfg ни прописывай.
Пока еще на данный момент IE поддерживает flash, но, скорее всего, с очередным обновлением и он перестанет.
Так как же работать с сайтом на флеше? Хоть портабл рабочий вариант браузера какой есть?
Ну искать в файловой системе - то понятно. Во всех дистрибутивах у меня нашлось.
Только вот вопрос где именно оно используется. В логах нашел только в графической системе. Еще где-то?
Если GUI нет, только консоль, то можно смело обрезать права?
А подскажите ничего после этого в системе не сломается?
Поискал по всем системным логам, но не нашел в них упоминания pkexec.
Нашел другие вроде: /usr/libexec/kf5/polkit-kde-authentication-agent-1 и /usr/bin/pkttyagent --notify-fd 5 --fallback
Конечно, удалось. Там вообще все просто.
Сначала в настройках FVD Speed Dial кнопки экспорт / сохранить в буфер обмена.
FVD
Затем в настройках Group Speed Dial Импорт / Бэкап в соотв. поле вставить из буфера обмена и нажать Импорт.
Group
Да нет, все прекрасно настраивается и бесплатно.
Как раз сегодня сел, разобрался в настройках и полностью переехал на Group Speed Dial.
В свойствах группы есть настройки количества столбцов, строк и соотношение сторон с разрешением скроллинга. Немного непривычно, но все настраиваемо.
Скрин
Строго говоря, Wildcard это только *.domain.ru. Сам домен domain.ru в него не входит, но может быть включен дополнительно.
Имхо в статье есть неточность:
Браузер не делает запросов ни по каким адресам центров сертификации.
Он сверяется с доступными ему в своей ОС (или в своем хранилище в случае Firefox) корневыми и промежуточными сертификатами и на их основе определят достоверность предоставленного сервером сертификата.
Периодически корневые сертификаты, установленные в системе, устаревают (как совсем недавно это произошло с IdenTrust DST Root CA X3), и тогда начинаются проблемы с подключением, если списки этих корневых сертификатов в системе вовремя не обновить. В некоторых устройствах это проблематично.
Подводя итоги для решения этой проблемы в Centos 6.10
Есть два способа решения проблемы.
1) Перекомпиляция и сборка RPM пакета родного openssl 1.0.1e
Описано тут: https://habr.com/ru/post/580092/comments/#comment_23548598
Если будет ругаться при сборке, возможно, потерялось форматирование.
Меняем файл /root/rpmbuild/SOURCES/openssl-1.0.1e-trusted-first.patch на этот: https://habr.com/ru/post/580092/comments/#comment_23557622
И пересобираем опять
rpmbuild -bb /root/rpmbuild/SPECS/openssl.specЕсли будет ругаться при установке RPM, удалить или обновить пакет openssl-devel:
https://habr.com/ru/post/580092/comments/#comment_23557758
Редактировать списки сертификатов не обязательно, будет работать и с теми, что есть.
2) Способ - Перекомпиляция и сборка openssl 1.0.2k из Centos 7.9
https://community.letsencrypt.org/t/rhel-centos-6-openssl-client-compatibility-after-dst-root-ca-x3-expiration/161032/73
Я собирал только первую часть, ca-certificates RPM не собирал, там есть ошибки.
Вместо этого можно создать файл
/etc/pki/ca-trust/source/blacklist/DST_Root_CA_X3.crtтакого содержания:
и выполнить эти команды:
update-ca-trust enableupdate-ca-trustТем самым мы внесли в черный список истекший корневой сертификат DST Root CA X3
Проверяем:
Все работает. Так же надо перезапустить apache/nginx/php-fpm.
Огромное Вам спасибо, на тестовом сервере все собралось и работает. Пока проблем не обнаружено.
Даже на родном пакете сертификатов от Centos 6.10 все работает без необходимости добавления новых и удаления старых CA.
Оба сертификата ISRG Root X1 и DST Root CA X3 присутствуют, но работе не мешают.
На этот раз собралось. Но при установке ругается:
Что-то ничего не выходит, опять куча ошибок, перепробовал уже много способов.
Оказалось, что корректно вставить в файл этот кусок не так просто, если там важны все символы вплоть до таба и перевода строки. Nano и Mcedit не могут вставить корректно, форматирование едет.
Вы могли бы выложить готовый файл openssl-1.0.1e-trusted-first.patch с уже вписанным в конец куском?
Делаю все по вашей инструкции, но пакет не собирается утилитой rpmbuild с ошибками:
Все одной и той же версии:
Работает корректно:
На Fedora 22:
OpenSSL 1.0.1k-fipsНо таки все работает:
openssl s_client -connect valid-isrgrootx1.letsencrypt.org:443 -quietdepth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1verify return:1depth=1 C = US, O = Let's Encrypt, CN = R3verify return:1depth=0 CN = origin.letsencrypt.orgverify return:1Рад, что кому-то пригодилась информация!
:)
Утилита faketime в Fedora / Centos находится в пакете libfaketime.
Причем в Centos 6.10 бинарника faketime в этом пакете нет.
Вместо этого его ридми рекомендует несколько иной синтаксис работы, например:
LD_PRELOAD=/usr/lib64/libfaketime/libfaketime.so.1 FAKETIME="+15d" curl https://letsencrypt.org/В данном примере время листается вперед на 15 дней и запускается curl.
В старенькой же Fedora 22 корневые сертификаты устарели, в них нет корневого сертификата от Let's Encrypt: ISRG Root X1, и openssl старой версии 1.0.1k-fips.
Я сделал так:
1) забэкапил папку /etc/pki, несмотря на то, что это вроде как и необязательно, но так спокойнее.
2) скачал бандл свежих корневых сертификатов:
curl https://curl.se/ca/cacert.pem -o /etc/pki/ca-trust/source/anchors/ca-bundle.crtЕсли курл уже не работает, то можно ручками скачать на другой системе и подложить в
/etc/pki/ca-trust/source/anchors/ca-bundle.crt3) отредактировал скачанный
ca-bundle.crt, вырезав в нем абзац, касаемыйDST Root CA X3:4) это вырезанный абзац вставил в файл /etc/pki/ca-trust/source/blacklist/dst_root_ca_x3.crt
т.е. в черный список.
5) выполнил команду
update-ca-trustГотово.
Для проверки можно выполнить такие команды:
1) присутствие в системе сертификата ISRG Root X1
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
Должно выдать subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1
2) отсутствие в системе сертификата DST Root CA X3
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "DST Root CA X3"
Должно ничего не выдать.
Надеюсь кому-то поможет.
Инфу черпал из этой статьи и отсюда
https://serverfault.com/questions/394815/how-to-update-curl-ca-bundle-on-redhat
Flash (пока еще на данный момент) работает в IE под Windows 10, ничего инсталлировать не надо.
Но имхо самый простой способ без инсталляции себе в систему ничего старого и дырявого — это портабл версия Хрома.
Скачать можно тут: https://sourceforge.net/projects/portableapps/files/Google%20Chrome%20Portable/GoogleChromePortable_49.0.2623.112_online.paf.exe/download
Это старая версия со встроенным флешем внутри.
Как и другие старые версии браузера и флеша, она дырявая, но для входа только на нужный сайт с флешем пойдет. На другие сайты лучше не ходить.
Они блокируют скачивание из некоторых браузеров не потому, что хотят что-то скрыть, а потому, что эти браузеры, например, Chrome, при скачивании ругаются на вирус и в любом случае не дают его скачать. Т.е. с их стороны блокирование - это просто такой себе мини маркетинговый ход, чтобы лишний раз пользователей не нервировать сообщениями о вирусах.
Так же пробовал Chrome отсюда:
sourceforge.net/projects/portableapps/files/Google%20Chrome%20Portable
Но там только дается загрузчик, который скачивает остальную часть с сайта гугл, и в ней сразу отключен флеш, в любой версии, как я понял.
Всем привет. Есть необходимость пока еще ходить на один производственный сайт с флешем.
Но Chrome и Edge с 88-й версии и Firefox с 85-й больше не поддерживают flash вообще, хоть какой старой версии плагин не ставь и хоть что в файле mms.cfg ни прописывай.
Пока еще на данный момент IE поддерживает flash, но, скорее всего, с очередным обновлением и он перестанет.
Так как же работать с сайтом на флеше? Хоть портабл рабочий вариант браузера какой есть?