Hacker News Digest

Во время 12-часового перелёта из Канады в Гонконг на борту Air Canada автор обнаружил, что бесплатный Wi-Fi ограничен только мессенджерами. Вместо того, чтобы заплатить 30 CAD за полный доступ, он решил «взломать» систему. С помощью эксперта по безопасности сетей они попробовали три подхода: самоподписанный SSL-сертификат, маскировка DNS-запросов и туннелирование DNS. Первые два метода провалились из-за жёсткой фильтрации IP и отсутствия UDP. Третий подход оказался рабочим: туннель через DNS позволил обойти ограничения и получить полный доступ к GitHub и другим сайтам.

• Пользователи обсуждают, что если ICMP-запросы не проходят, это не обязательно означает блокировку IP-адреса — возможно, просто блокируется ICMP.
• Участники обсуждают, что если DNS-запросы проходят, то можно использовать DNS-туннель, чтобы обойти ограничения.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.

Самостоятельный хостинг почтового сервера — это практичный и почти бесплатный способ автоматизировать рассылки и верификацию, если вы готовы мириться с рисками доставки. Основная сложность — не настройка, а обеспечение того, чтобы письма не попадали в спам у крупных провайдеров вроде Gmail. Для этого достаточно Postfix как SMTP-сервера и OpenDKIM для цифровой подписи писем, плюс правильная конфигурация TLS на порту 25.

Ключевые шаги — выпуск SSL-сертификата для MX-записи, настройка DKIM, SPF и DMARC в DNS. Это разовые действия, но они критичны для репутации домена. Автор отказался от многопользовательского веб-интерфейса, упростив задачу до работы через SSH и консольные утилиты вроде Mutt, что свело затраты времени к минимуму.

• Самостоятельный хостинг почты возможен и практикуется десятилетиями, но требует технических знаний и постоянного обслуживания для обеспечения доставки и безопасности.
• Основные проблемы: репутация IP-адресов, блокировки крупными провайдерами (Gmail, Outlook), uptime и сложность борьбы со спамом.
• Ключевые технологии для успешной доставки: правильная настройка SPF, DKIM, DMARC и PTR-записей.
• Рекомендуются готовые решения (Mail-in-a-Box, Stalwart) для упрощения начальной настройки.
• Рассматривается как хобби для технических специалистов, а не как решение для рядового пользователя.

OCSP-сервис Let's Encrypt отключён

С 6 августа 2025 года Let's Encrypt полностью выключил OCSP-ресурдер.
Все выпущенные после марта сертификаты уже не содержали ссылок на OCSP, и старые истекли. Отныне отзывы публикуются только через CRL.

Причины отказа

• Конфиденциальность: OCSP раскрывает посещаемые сайты и IP-адрес запрашивающего.
• Простота: CRL теперь полноценно поддерживаются, а OCSP требовал значительных ресурсов.

Факты

• Пик нагрузки: 340 млрд запросов/мес (~140 000 зап/с).
• CDN предоставлял Akamai безвозмездно последние 10 лет.

Что дальше
Клиенты, требующие проверки отзыва, должны использовать CRL.

• Участники обсуждают отказ от OCSP и переход на CRL: оба механизма называют «костылями» — CRL слишком тяжёлые и медленно обновляются, OCSP требует онлайна и уязвима к MITM/DoS.
• Chrome вообще не проверяет ни OCSP, ни CRL, а пользуется собственным CRLSets-фильтром от Google; большинства пользователей это не знают.
• Проблема OCSP в «fail-open»-режиме: если ответ заблокирован, сертификат считается валидным, что делает систему бесполезной против активной атаки.
• Предложенные замены — stapling и короткоживущие (24-часовые) сертификаты — тоже критикуют: stapling почти никто не делает, а массовый выпуск 24-часовых certs перегрузит CT-логи и превратит любые проблемы валидации в немедленный аутейдж.
• Итог: отзыв по-прежнему нерешённая проблема; сообщество склоняется к «просто живём с короткими сертами» и считает OCSP/CRL устаревшими.

Проблема: при входе на f-droid.org браузеры Edge и Chrome выдают «Ваше соединение не защищено» из-за просроченного сертификата.

• У F-Droid сбой при ротации сертификатов, из-за чего сайт и репозиторий временно недоступны.
• Обходной путь — использовать Cloudflare-зеркало https://cloudflare.f-droid.org/.
• Пользователи жаловались на ошибки в dfroidcl и необходимость переустановки приложения.
• Проблема уже исправлена, но участники обсуждают, насколько надёжны короткоживущие LE-сертификаты.

SSL-сертификаты превратились в головную боль
Я утверждаю SSL для компании: процесс отлажен, но частота задач выросла с «раз в квартал» до «еженедельно». Сертификаты критичны, но их администрирование уже даёт обратный эффект.

Методы валидации
Издатель отказался от файловой проверки для wildcard и усложнил её для обычных сертификатов. Остались TXT-записи и email, но почту для test.lab.corp.example.com никто не создаёт, так что фактически выбор один — DNS.

Новые защиты
Следующий месяц принесёт MPIC: CA будет проверять домен с нескольких географических точек, чтобы победить BGP-hijacking.

• Сколько компаний ограничивают доступ по регионам?
• Сколько сертификатов реально выдали злоумышленники? В Википедии один случай за 2021 год — $1,9 млн ущерба. Стоит ли оно внедрения?

Сроки и коммуникации
О «прорывных» изменениях узнаю за пару недель. Приходится смущённо просить коллег «проверьте, не сломается ли прод» — это подтачивает доверие.

Срок жизни сертификатов
Самая мерзкая новинка — постепенное сокращение сроков валидации…

• Современные инструменты (Let’s Encrypt, ACME, Caddy) уже автоматизировали SSL для большинства сайтов, оставляя минимум ручной работы.
• Сокращение срока жизни сертификатов до 47 дней сознательно заставляет команды автоматизировать процесс и снижает риски отзыва.
• В крупных и регулируемых компаниях всё ещё много ручных процессов: аудиты, внутренние CA, специфические требования к сертификатам.
• Для старых устройств, вендорских продуктов и внутренней инфраструктуры автоматизация остаётся нетривиальной или невозможной.
• Некоторые считают, что всё это — способ «контроля» и вытеснения пользователей в облачные платформы.

Миллион скриншотов
Увеличьте главные страницы интернета.
Поиск сайта: ⌘K или случайный выбор.

• Проект OneMillionScreenshots показывает скриншоты топ-1 000 000 сайтов в виде интерактивной «карты».
• Часть пользователей жалуется на SSL-ошибки, блокировку DNS и поломку кнопки «Назад».
• Большинство отмечает однообразие современного веб-дизайна и коммерциализацию интернета.
• Некоторые просят фильтров по нишевым или старым сайтам, а также API-фич и мозаичных раскладок.
• Создатели подтвердили, что визуализация устарела, но данные обновляются ежемесячно и доступны через ScreenshotOf.com.