Проблемы с https (SSL/TLS) и teredo

Discussion in 'Общие вопросы по AdGuard для Windows' started by theophan, Dec 10, 2014.

  1. theophan

    theophan New Member

    Joined:
    Mar 16, 2013
    Messages:
    7
    Взгляните на скриншоты, ничего не замечаете?
    Фильтрация https в Adguard включена:
    SSL_client_test_1.png

    и выключена:
    SSL_client_test_3.png

    В связи с этим возникает вопрос к ООО "Перформикс", где хотя бы предупреждение, что включенная (по умолчанию!) фильтрация https может вызвать проблемы с подключением к серверам и безопасностью? Ребята, вы подставляетесь и подставляете пользователей. Правьте EULA/ДПО (начиная с орфографии), вносите пункт об отказе от ответственности, а то можно подумать, что ваш продукт безопасен. Расширяйте список исключений фильтра https. Включите проверку сертификатов фильтруемых https-сайтов через OCSP, и не советуйте пользователям установить ваш сертификат в систему, вы не представляете, к чему это может привести при современном положении дел.

    ---

    О teredo: зачем вы его отключаете, не спросив у пользователя и не предупредив его? Представьте себе, некоторые его используют.
     
  2. avatar

    avatar Administrator Staff Member Administrator

    Joined:
    Oct 26, 2010
    Messages:
    12,891
    Добрый день!

    Эту уязвимость (Poodle) можно использовать только в том случае, если на сервере включена поддержка SSLv3, и браузер использует этот же протокол. Если
    на сервере этот протокол отключен, будет использоваться TLS без уязвимости. SSL фильтр определяет с каким протоколом обращается браузер, и использует его же для создания соединения с сервером. Я не в курсе какой способ используется для тестирования на уязвимость, но тестировать клиентскую часть тут смысла нет. Потому что SSL фильтр не меняет самостоятельно протокол, а использует то что ему указывают сервер и клиент.

    TLS 1.2 - добавим поддержку в будущем, но ничего критичного в отсутствии его поддержки нет.

    Смотрите, в последней бета-версии работаем следующим образом:
    Если используется WFP-драйвер, то Teredo отключается.
    Если используется TDI-драйвер, то Teredo не отключается.

    Почему так делаем: потому что teredo является очень частым источником проблем и у большой части пользователей работает не стабильно. Причем системы мы выявить не можем, у некоторых при активном использовании Teredo в сочетании с сетевым драйвером, лезут BSOD'ы, у остальных все в порядке.

    В будущих версиях можем добавить галку, которая регулирует статус Teredo.
     
  3. theophan

    theophan New Member

    Joined:
    Mar 16, 2013
    Messages:
    7
    Критичного? У моего клиента, например, на полдня отвалилась биллинговая система после обновления серверной части, именно из-за отсутствия поддержки TLS 1.2. Вы украли мое время, силы и нервы. А купить Adguard на машины операторов посоветовал именно я. Купи себе проблем?

    Так посоветовали бы пользователям, у которых возникают проблемы, отключить teredo, или в самом деле, поставили галку в настройках: "Отключить teredo (при проблемах)". Какого черта вы вмешиваетесь в системные настройки без уведомления пользователя и его согласия? Это порочная практика. Представьте, что вы заказали дверь, и вам при установке заколотили окно. Без спроса, молча, так как считают, что при открытом окне сквозняк может помешать работе доводчика на двери.
    Не с краткими прилагательными пишется так же, как с полными. Стабильный -- нестабильный (слитно, т. к. образуется слово с противоположным значением). Heil Grammar! :)

    Относительно установки корневого сертификата Adguard в систему. Я наблюдал при этом чудные вещи: https:// сайты со смешанным содержимым отображались, как полностью безопасные, а сайты с просроченным сертификатом были подписаны валидным Adguard CA. И даже при отключенном Adguard. Это открывает некоторые возможности для криминально одаренных айтишников и технически грамотных мошенников.

    Жду исправлений. С наилучшими пожеланиями, Феофан.
     
    Last edited: Dec 11, 2014
  4. avatar

    avatar Administrator Staff Member Administrator

    Joined:
    Oct 26, 2010
    Messages:
    12,891
    Принято, прошу прощения за силы и нервы.

    Люблю аналогии:). 99.9% пользователей о Teredo знать не знают, и он им никогда не понадобится (в отличие от окна).
    Нужно какое-то компромиссное решение. Ну да разберемся думаю.

    Можете пример привести? Особенно про сайты с просроченным сертификатом.

    Вообще я таких проблем не встречал. Сертификаты мы валидируем, а сайт со смешанным содержимым (в теории) превратить в валидный мы не можем. Мы же не заменяет http ссылки на https.

    Если подобное встречается, очень хочется посмотреть, где и как.
     
  5. avatar

    avatar Administrator Staff Member Administrator

    Joined:
    Oct 26, 2010
    Messages:
    12,891
    Можете дополнительно прислать информацию по биллиноговой системе? Чтобы мы протестить могли.
     
  6. theophan

    theophan New Member

    Joined:
    Mar 16, 2013
    Messages:
    7
    Извинения приняты.

    За примерами не пойду. Если располагаете временем -- https://www.ssllabs.com/ssltest/, списки Recent Best и Recent Worst, в одном встречаются сайты со смешанным содержимым и слабым шифрованием, в другом с кривыми сертификатами и алгоритмами аутентификации. Там и насмотрелся чудес. Браузеры тестирую там же. (https://www.ssllabs.com/ssltest/viewMyClient.html)
     
  7. avatar

    avatar Administrator Staff Member Administrator

    Joined:
    Oct 26, 2010
    Messages:
    12,891
    Ага, спасибо за ссылочку.

    Если про биллинговую систему расскажете, тоже буду благодарен.
     
  8. theophan

    theophan New Member

    Joined:
    Mar 16, 2013
    Messages:
    7
    UniFi Controller. http://www.ubnt.com/download/
    Виртуальный сервер на Яве. Конфигурирует точки доступа WiFi через SSH, операторы подключаются через безопасный веб-интерфейс. После обновления все, у кого был установлен Adguard, получили ERR_CONNECTION_RESET. Кроме меня, блин, потому, что рабочая машина на лине.

    ---------- Post added at 19:47 ---------- Previous post was at 19:33 ----------

    BTW, вы, случайно, VPN отключить на корню не собираетесь, так, на всякий случай? А то ей тоже 99% не пользуются... ;)