Eugene Muzychenko
2016-11-07 21:40:44 UTC
* Originally in Ru.Internet
* Crossposted in Ru.Internet.Security
Привет!
Последние полтора месяца приходится работать в виндовой виртуалке под
VirtualBox на MacOS, но подобных глюков в ней не было. Hесколько дней назад
некоторые сайты перестали работать через HTTPS из виртуалки - браузер выдает
либо "connection was reset by server", либо "connection is not secure".
Среди отличившихся сайтов - gosuslugi.ru, mts.ru (только личный кабинет),
mysku.ru (после входа в учетную запись).
Все остальное прекрасно работает - yandex.ru, google.com, wikipedia.org, туча
разных форумов, где я зарегистрирован.
Браузеры - старая опера 12.18 и свежий файрфокс 49.0.2.
Однако, те же сайты, открываемые на хосте (под MacOS) или с других компьютеров
той же сети, работают нормально.
Сравнив параметры соединения, которое устанавливают работающие и неработающие
сайты, сразу заметил, что у работающих сайтов в cipher suites присутствует
ECDHE:
Сбербанк: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA348,256 bit keys,TLS 1.2
Яндекс: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,128 bit keys,TLS 1.2
Википедия: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,256 bit keys,TLS 1.2
А у неработающих его нет:
Госуслуги, МТС: TLS_RSA_WITH_AES_256_CBC_SHA,256 bit keys,TLS 1.2
В подробностях систем шифрования я совершенно не разбираюсь - понял лишь, что
сервер и браузер предлагают друг другу наборы разных вариантов, и пытаются
выбрать взаимно подходящий. Раньше они все договаривались, а теперь часть
перестала.
В российском интернете снова какая-то кампания за повышение безопасности, и
какие-то параметры шифрования исключили из поддержки? Или поменяли какие-то
протоколы, и проявляется это только при работе через NAT VirtualBox'а?
VirtualBox последний (5.1.8), обновлялся в октябре, после обновления этих
глюков не было.
Единственное изменение обстановки, которое удалось отследить - вернулся из-за
границы в родную деревню, теперь работаю через модем с симкой МТС и
маршрутизатор. Те же модем, симка и маршрутизатор раньше проблем не создавали.
Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)
* Crossposted in Ru.Internet.Security
Привет!
Последние полтора месяца приходится работать в виндовой виртуалке под
VirtualBox на MacOS, но подобных глюков в ней не было. Hесколько дней назад
некоторые сайты перестали работать через HTTPS из виртуалки - браузер выдает
либо "connection was reset by server", либо "connection is not secure".
Среди отличившихся сайтов - gosuslugi.ru, mts.ru (только личный кабинет),
mysku.ru (после входа в учетную запись).
Все остальное прекрасно работает - yandex.ru, google.com, wikipedia.org, туча
разных форумов, где я зарегистрирован.
Браузеры - старая опера 12.18 и свежий файрфокс 49.0.2.
Однако, те же сайты, открываемые на хосте (под MacOS) или с других компьютеров
той же сети, работают нормально.
Сравнив параметры соединения, которое устанавливают работающие и неработающие
сайты, сразу заметил, что у работающих сайтов в cipher suites присутствует
ECDHE:
Сбербанк: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA348,256 bit keys,TLS 1.2
Яндекс: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,128 bit keys,TLS 1.2
Википедия: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,256 bit keys,TLS 1.2
А у неработающих его нет:
Госуслуги, МТС: TLS_RSA_WITH_AES_256_CBC_SHA,256 bit keys,TLS 1.2
В подробностях систем шифрования я совершенно не разбираюсь - понял лишь, что
сервер и браузер предлагают друг другу наборы разных вариантов, и пытаются
выбрать взаимно подходящий. Раньше они все договаривались, а теперь часть
перестала.
В российском интернете снова какая-то кампания за повышение безопасности, и
какие-то параметры шифрования исключили из поддержки? Или поменяли какие-то
протоколы, и проявляется это только при работе через NAT VirtualBox'а?
VirtualBox последний (5.1.8), обновлялся в октябре, после обновления этих
глюков не было.
Единственное изменение обстановки, которое удалось отследить - вернулся из-за
границы в родную деревню, теперь работаю через модем с симкой МТС и
маршрутизатор. Те же модем, симка и маршрутизатор раньше проблем не создавали.
Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)