<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">23 февраля 2016 г., 17:10 пользователь Igor Zubkov написал:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
</span><a href="https://www.ssllabs.com/ssltest/analyze.html?d=packages.altlinux.org" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/analyze.html?d=packages.altlinux.org</a> так лучше?<br></blockquote><div><br></div><div>Ага, хотя часть пользователей с древним ПО и не достучится. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Осталось настроить OCSP Stapling и HTTP Public Key Pinning Extension.<br>
Я пока не знаю что это, но там это тоже вроде рекомендуют настроить.</blockquote><div><br></div><div>Это вещи хорошие, но опциональные. Особенно осторожно нужно быть с HPKP - не делать большой период пининга, иначе в случае переезда на новый сертификат от другого CA будут проблемы с доступом.</div><div><br></div></div>-- <br><div class="gmail_signature">С уважением,<br>Владимир.</div>
</div></div>