Это хорошо, что ECDHE не требует dh_param, буду знать.
На тему http2+ALPN — можно скачать исходники nginx и собрать «правильный». ssl_prefer_server_ciphers по дефолту off;, но я никогда не видел конфига nginx из пакетов, так как никогда его из пакетов не ставил, тут спорит не буду.
Хотя у вас в статье не указано, что последний из пакетов.
Как ни крути, есть динозавры, которые по TLSv1.2 просто не работают, в итоге нужно указывать 1/1.1/1.2. Если цель была показать цену 100% результата, то вы таки добились этого (мне статья понравилась, в частности того, что я пропустил как-то мимо ушей ssl_ecdh_curve и у вас хорошо расписаны шифры).
И немного вопросов:
Чем вызван отказ от: ssl_prefer_server_ciphers on; ?
Почему ssl настроен без http2 (конфиг nginx) и ALPN (с openssl 1.0.2+)?
У вас не используется ssl_dhparam, по логике ECDHE вылезают из DHE, и должны использовать этот файл.
Первый домен у них купил: Creation Date: 2011-02-21. Цены они увеличивают и уведомляют, если глобально. Если же вы купили .co домен за пару баксов, а на след год должны 30 — надо внимательно читать, да и не только у них.
Я же говорю про основные домены (com/net/org) — там 7-9 евро 11-12€ в год. Национальные зависят от страны. Индусы стоят дороже Франции к примеру.
Private whois — из коробки, и не надо платить как у говдедди сверху + последний (godaddy) при просрочне оплаты ЛОЧИТ домен у себя на пару лет и… снимает privace whois.
dnssec тоже есть, в том числе и для space (этим после моего багрепорта).
С тех пор и ипользую их для общих и национальных доменов.
RU домены одно время держал у друга (он работает у руцентре), сейчас ru проектов нет.
В моем случае был лимит на 25к фотоснимов и эти 25к очень и очень мало, но у гугла отличное качество со спутника, что позволяет строить шикарные карты (скачал 20к фоток и склеил постер).
Я такой «просмоторщик» страниц делал еще в в 2010 году на базе nginx + ngx_http_substitutions_filter_module (последний тогда был еще на code.google), чтобы на работе смотреть фишки и полистывать хабр иногда.
Налоги в Ирландии меньше. Поэтому все американские компании, которые хотят вести бизнес в европе работают там.
Те же товары от гугла приходят из Дублина.
А теперь самое интересное, получим сертификат. Идем на www.sslforfree.com. Вводим доменное имя и нажимаем получить. Далее скачиваем файл и загружаем его на сервер. Идем в папку, где лежит сайт и создаем директорию
А на кой черт идти на 3й сайт, когда можно все сделать с сервера через «certbot certonly»?
так и есть. Я это всегда пытаюсь донести до хипстеров, которые с пеной у рта доказывают какие этот протонмейл или румынский хостинг немца защищенные.
Только свой собственный хостинг на дедике будет гарантированно защищенным, когда дедик отрубает питание при открытии корпуса сервера.
com + net — под контролем Verisign = USA, DNS в Германии, где тотальная слежка.
protonmail.com
protonmail.com. 339 IN MX 5 mail.protonmail.ch.
protonmail.com. 339 IN MX 10 mail1.protonmail.ch.
protonmail.com. 938 IN NS ns2.protonmail.ch.
protonmail.com. 938 IN NS ns1.protonmail.ch.
com — под контролем Verisign = USA, так что новый главный домен взамен .ch отпадает. Следом швейцария… с осени 2016 года в швейцарии новый закон, который должен свести на нет плюшки швейцарии и врыть их хостинг ее в одну яму с германией.
Кто же остался? Прогнивший евросоюз. Законы и доступе к информации очень и очень классные и гарантируют удар по жбану, если кто-то получает доступ к вашим данным. Не все страны, конечно следуют ему. Домен — .eu/.fr, сервера во франции или румынии.
Там поднимается почтовый сервис, которые через `blablabla sieve gpg` шифрует письма паблик ключами, которые были залиты на сервер, благо гайдов полно. На диске используется ecryptfs.
Сложный пароль это, конечно, хорошо. Но вот беречь систему с этим сложным паролем — это куда важнее.
Брутфорс ограничивается рейтами сервера и настройками плюшек безопасности, которые там работают, но вот шутка про 550 лет побора при 1000 в секунду… на новых тесла от nvidia там около 9 миллиардов в секунду.
Круто, конечно, что фейсбук будет то и то и… это до кучи.
Только он пытается сидеть задницей сразу на нескольких слульях и охватить как можно больше, совершенно игнорируя проблемы уже запущенных сервисов и откровенный маразм (так как их по большому счету больше не контролируют адекватно и полноценно сверху).
Например приложения фейсбука. По умолчанию доступен минимальный объем функций, всего 3. Если пишется приложение, которое постит контент на страницы групп, то необхожимо его валидировать.
Валидация приложения (после которое дают доступ к этим функциям АПИ) представляет собой запись видео как ваш софт работает, ToS+Privacy странички и, до кучи, набор скринов.
Сие надо предоставить для приложения, которого еще не существует, так как не прошли тесты, так как нет доступа к АПИ. Казалось бы бред, ан нет, так работает готовый сервис мордакниги.
Так что пусть фейсбук там себе развивается, только это больше напоминает китайскую штамповку, чем создания готового продукта.
На тему http2+ALPN — можно скачать исходники nginx и собрать «правильный».
ssl_prefer_server_ciphers по дефолту off;, но я никогда не видел конфига nginx из пакетов, так как никогда его из пакетов не ставил, тут спорит не буду.
Хотя у вас в статье не указано, что последний из пакетов.
Как ни крути, есть динозавры, которые по TLSv1.2 просто не работают, в итоге нужно указывать 1/1.1/1.2. Если цель была показать цену 100% результата, то вы таки добились этого (мне статья понравилась, в частности того, что я пропустил как-то мимо ушей
ssl_ecdh_curveи у вас хорошо расписаны шифры).И немного вопросов:
ssl_prefer_server_ciphers on;?ssl_dhparam, по логике ECDHE вылезают из DHE, и должны использовать этот файл.Первый домен у них купил:
Creation Date: 2011-02-21. Цены они увеличивают и уведомляют, если глобально. Если же вы купили .co домен за пару баксов, а на след год должны 30 — надо внимательно читать, да и не только у них.Я же говорю про основные домены (com/net/org) — там
7-9 евро11-12€ в год. Национальные зависят от страны. Индусы стоят дороже Франции к примеру.Private whois — из коробки, и не надо платить как у говдедди сверху + последний (godaddy) при просрочне оплаты ЛОЧИТ домен у себя на пару лет и… снимает privace whois.
dnssec тоже есть, в том числе и для space (этим после моего багрепорта).
С тех пор и ипользую их для общих и национальных доменов.
RU домены одно время держал у друга (он работает у руцентре), сейчас ru проектов нет.
upd: обновил цены
В моем случае был лимит на 25к фотоснимов и эти 25к очень и очень мало, но у гугла отличное качество со спутника, что позволяет строить шикарные карты (скачал 20к фоток и склеил постер).
internet.bs :facepalm:
Налоги в Ирландии меньше. Поэтому все американские компании, которые хотят вести бизнес в европе работают там.
Те же товары от гугла приходят из Дублина.
А на кой черт идти на 3й сайт, когда можно все сделать с сервера через «certbot certonly»?
Только свой собственный хостинг на дедике будет гарантированно защищенным, когда дедик отрубает питание при открытии корпуса сервера.
tutanota.com
com + net — под контролем Verisign = USA, DNS в Германии, где тотальная слежка.
protonmail.com
com — под контролем Verisign = USA, так что новый главный домен взамен .ch отпадает. Следом швейцария… с осени 2016 года в швейцарии новый закон, который должен свести на нет плюшки швейцарии и врыть их хостинг ее в одну яму с германией.
Кто же остался?
Прогнившийевросоюз. Законы и доступе к информации очень и очень классные и гарантируют удар по жбану, если кто-то получает доступ к вашим данным. Не все страны, конечно следуют ему. Домен — .eu/.fr, сервера во франции или румынии.Там поднимается почтовый сервис, которые через `blablabla sieve gpg` шифрует письма паблик ключами, которые были залиты на сервер, благо гайдов полно. На диске используется ecryptfs.
А вот факт утечки — его еще надо установить.
Брутфорс ограничивается рейтами сервера и настройками плюшек безопасности, которые там работают, но вот шутка про 550 лет побора при 1000 в секунду… на новых тесла от nvidia там около 9 миллиардов в секунду.
Только он пытается сидеть задницей сразу на нескольких слульях и охватить как можно больше, совершенно игнорируя проблемы уже запущенных сервисов и откровенный маразм (так как их по большому счету больше не контролируют адекватно и полноценно сверху).
Например приложения фейсбука. По умолчанию доступен минимальный объем функций, всего 3. Если пишется приложение, которое постит контент на страницы групп, то необхожимо его валидировать.
Валидация приложения (после которое дают доступ к этим функциям АПИ) представляет собой запись видео как ваш софт работает, ToS+Privacy странички и, до кучи, набор скринов.
Сие надо предоставить для приложения, которого еще не существует, так как не прошли тесты, так как нет доступа к АПИ. Казалось бы бред, ан нет, так работает готовый сервис мордакниги.
Так что пусть фейсбук там себе развивается, только это больше напоминает китайскую штамповку, чем создания готового продукта.
Да, в начале 2000х был вирус, который в конце месяца открывал рандомный порносайт. Ничем не вредил.