>> поэтому отрывайте руки улучшателям систем безопасности, пока они маленькие.
> А типа без SNI догадаться на какой сайт ты идёшь было нельзя,
> если учесть что в этом случае 1 сайт == 1 IP 1 сертификат. Иметь за ним мильен сайтов ничто не мешало - ценой либо звездочек, либо воплей браузера, что шел на одессу а вышло что наxер. Мы вообще-то так и делали в начале 2000х, ip были дороги, wildcard еще не изобрели вовсе, юзера на автопилоте жали ok, все норм.
Но это больше был намек для пиoнeров, что они при этом еще и палятся (там домен - клиртекстом в самом начале хэндшейка идет, это тоже для них).
>> P.S. "оборудование" я тебе на коленке выпилю гораздо дешевле полутора лямов. (правда,
>> подозреваю, давно уже кто-нибудь выпилил) Обращайся, если что.
> 1) провайдерам нужна бумажка в дополнении к оборудованию.
не, что ты. Это ж не сорм, ему сертификаты не нужны. Провайдер ставит у себя тплинк-за-300-лямов (гугли), он сертифицированный, но тебе его дают пока вроде как бесплатно, и тот по командам из РКНа сам проверяет, как хорошо ты его защитил от интернета. Если защитил плохо - у товарищей к тебе возникают ВОПРОСЫ. До штрафов обычно дело не доходит.
А чем и как - верчу как хочу. (ну, еще есть претензии к наклейке ростеста, но это все и на цисках переклеивают еще с той самой 2500 снятые, на которой того провайдера подняли в 2000м году, или при налете прячут под фальшполом, это отдельная от РКН история и люди придут другие)
> 2) у тебя есть завод и ты волочешь в дизайне микроэлектроники? на
не, ржавый сервер с линуксом. Сотни гигабайт на него не придут, если только у тебя вся сеть не на тупoлинках и серверах с линуксом (впрочем, второе-то можно, первое может и лопнуть).
За небольшие деньги я тебя не только проконсультирую, как, но и помогу настроить ;-) Будет где-то 10-40rps на большой сетке, не больше. У нас народ законопослушный.
> линуксе то любой дурак файрвол настроит, только сотни гигабайт трафика он
Ну это будет очень дурацкий файрвол - в лучшем случае у пользователя будет просто виснуть сессия, и он будет звонить в техподдержку (которой доступ к выгрузкам не положен по штату, поэтому она не факт что вообще вкурит как его правильно послать)
Правильно это дело все же проксить (лучше бы через user-таргет iptables), но аккуратно - чтоб любителей обоев к mate не пугали вопли о tampered session от нынешних где-не-надо параноящих браузеров.
Вот у моего провайдера, например, почти нормально (почти, потому что sni он, конечно, не разбирает - я даже догадываюсь, чем) - при попытке открыть не сессия виснет, а высовывается товарищ майор и говорит "щас ты у меня допереключаешься!".
