Топ-5 причин, почему стоит выбрать Adopt me! для торговли валютами 
..Великая Суббота, вечер. В доме тихо, все прилегли перед заутреней. 
Утреннее 
Фестиваль граффити в Одинцово – 3 
Волошин Іван народився у 1995 році в 
Быкующий вождь суперотбитых эльфов обламывается с ремейком Plaza Accord 
Посол 
Сингапур как Солнечный город из "Незнайки". 
Контекстный тигр
25.10.2024 —
Глюкодром
TLS-сертификаты и некрофилия
klink0v — 25.10.2024
... На одном из сервисов у одного из заказчиков подошел к концу срок действия TLS-сертфиката (X509). По штатной процедуре он купил новый сертификат, прислал, мы обновили. Вроде бы, что могло пойти не так? Через пару дней партнер прибегает с криками "шеф, усё пропало". Клиенты с совсем старыми мобилками и внезапно новыми понтовыми Samsung-ами наподобие S23 Ultra почему-то больше не могут пользоваться этим сервисом. У остальных всё нормально.
Полез разбираться. Новый сертификат они купили у AlphaSSL, который подписан корнем GlobalSign Root CA - R6. А дальше идем
Ладно, кто виноват понятно. Осталось выяснить что делать. К счастью, именно вот Global Sign ">кросс-сертификаты". Можно увеличить цепочку доверия на один хоп, но придти не к R6, а например к R3, который уже есть в ондроедах начиная с 3-ей версии. Так мы и поступили, happy end. А если бы такого кросс-сертификата не было бы? Тогда всё, приехали, ж...а.
И ещё жирный тяжелый камень в гнусмасовский огород. Он связан с eSIM. В поддерживающих оную технологию смартфонах предусмотрена специальная софтина под названием LPA: Local Profile Assistant. В числе прочего она загружает в eSIM-чип операторские профили и отправляет ОПСОСам разновсяческие нотификации (то бишь "стучит", ага) на тему "загрузил", "удалил", "активировал", "деактивировал" и тому подобное применительно к виртуальной SIMке.
Если LPA по какой-то причине не смог отправить событие "здесь и сейчас", то ставит его в очередь, чтобы отослать его когда-нибудь потом. Как правило, это случится при следующей перезагрузке аппарата. Но бывает и так, что по разным причинам какое-то событие "застревает" надолго и не может добраться до оператора-адресата. "Нормальный" телефон выждет какой-то тайм-аут и попробует послать следующее событие из очереди. Но не Samsung. Он будет как тупой баран пытаться обработать первое событие в списке и уже никогда не доберется до всех остальных. Всё бы ничего, но это полностью ломает бизнес-логику работы с eSIM у некоторых операторов. В такой ситуации спасает только Hard Reset трубки до заводских установок с удалением всего и вся, других вариантов нет.
Отсюда мораль.
- Перед тем как покупать "честный" X509-сертификат, не поленитесь посмотреть какими "корнями" он подписан и наличествуют ли оные в интересующих вас клиентах. Иначе можно попасть в неловкую ситуацию, особенно если сервис публичный и возможно нашествие некрофилов.
- Телефоны Samsung — шлак и гнильё с тоннами багов внутри. По возможности избегайте их.
Сохранено
|
|
</> |
TLS-сертификаты и некрофилия
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
22.10.2024 —
T2 & VoLTE
21.10.2024 —
Спутнеги
17.10.2024 —
Порок воли
15.10.2024 —
Загадочный компрессор: отгадка
13.10.2024 —
Загадочный компрессор
Архив записей в блогах:
Breaking news. Президент США : 700,000 ballots were not allowed to be viewed in Philadelphia and Pittsburgh which means, based on our great Constitution, we win the State of Pennsylvania! Поздравляю всех тех, кто приближал этот день. Кстати, в Пенсильвании Трамп сегодня проиграл, ...
...
Вот что значит – кто не успел, тот опоздал . А немцы, конечно, красавцы. На словах бунтовали против американских санкций в отношении строительства «Северного потока–2», завершённого практически на 90% . А на деле… Федеральное сетевое агентство Германии (Bundesnetzagentur, BNetzA) ...
10 июня 2012 года, перед входом в парк Гагарина проходил сбор подписей против ювенальной юстиции. Подписи собирают и по храмам русской православной церкви, не только в Самаре. Для желающих узнать об этом (ю.ю.) предлагаю посмотреть фильм: "Стена. ...
