www.nsoft-s.com

При смене сертификата на сервере с одного на другой домен (с привязкой к одному и тому же IP), это никак не отражается на подключенных и подключающихся пользователях. Это в корне неправильно. Смысл тогда приобретать дорогостоящие сертификаты и убеждать удаленных пользователей, что их переписка защищена, если они продолжают свято верить в это глядя на галочку в приложении (защищенное соединение) и подключаться к домену, не имеющему более установленного на сервере сертификата.
Просьба ввести проверку на существование актуального сертификата на сервере для домена, указанного в профиле подключения клиентского приложения (у нас это Андроид в частности). Даже некрасивое решение с использованием проверки наличия файла-флага на сервере с именем домена (имеющим на сервере действующий сертификат) - уже будет хоть каким-то решением проблемы. Соединения с пользователями продолжающими долбиться на домен без сертификата с галкой "защищенное подключение" - надо рвать. Конечно же с сообщением, типа "Домен в ваших настройках не связан с сертификатом на сервере". Ну это грубо конечно..

*Я не проверял, но что-то мне подсказывает, что и по IP сервера с галкой "шифрование" - клиент успешно подключится.
**В разделе админки "Онлайн пользователи" у подключившегося по старому домену без SSL, в разделе "Шифрование" гордо красуется TLSv1.2. Как мы все понимаем - это мягко говоря не правда. Было бы очень здорово, если бы мы в данном разделе видели, какой целевой адрес сервера указан у клиента в настройках.

Добрый день.

Вот честно, я не понял, что конкретно, по пунктам, вы предлагаете, куча всего намешано

Могу внести пояснения:
1) сертификаты никак не влияют на подключения линукс, мак, виндовс и андроид приложений;
2) сертификаты нужны для веб-чата (и других веб-сервисов, но это не обязательно), звонков, скачивания файлов и картинок на андроиде (!!) (для компьютеров это не имеет значения), потому что политики гугла не разрешают подключаться к серверам без валидных сертификатов.

Из перечисленного выше, делаем вывод — нужно ли покупать дорогостоящие сертификаты (не так уж они и дороги, если брать только для домена, есть и вовсе бесплатные).

Отображение даты валиднсти сертификата в админке — да, согласен, нужно сделать.

В админке, в списке пользователей онлайн, отображается шифрование внутренне, по 2004 порту, не нужно его путать с 443 для веб-сервера.

Список портов, и как они используются, описано вот тут:
https://nsoft-s.com/mcserverhelp/index. ... tports.htm

Мы видима по разному для себя понимаем суть использования сертификатов. В первую очередь это проверка легитимности того сервера к которому подключается клиент на основании в первую очередь его имени. Т.е. клиент должен проверить подписи на предоставляемых сервером сертификатах, выстроив цепочку доверия. Вы же мне говорите, что все нормально, мы сделали так, что можно подключаться чем угодно и все будет работать.
Касательно стоимости сертификатов, предлагаю этот вопрос вообще опустить, дабы не в даваться в полемику, сколько стоят сертификаты например lets encrypt (верно, ни сколько) и сертификаты OrganizationSSL (от 100 уёв).
По факту ту ситуацию, которая у нас сложилась, можно описать другими словами, а именно произошла подмена сервера злоумышленниками, на что мобильные клиенты никак не отреагировали. Это называется дырой в безопасности.

Не путайте мухи с котлетами. Какие цепочки, какие подмены, о чем вы вообще говорите????

Подключение и авторизация клиента к серверу происходит не по https. Легитимность клиента проверяет сервер на основе логина и пароля.

По факту ту ситуацию, которая у нас сложилась, можно описать другими словами, а именно произошла подмена сервера злоумышленниками, на что мобильные клиенты никак не отреагировали.

Поясните, пожалуйста, я не понимаю вашу ситуацию.

Так. У кого-то точно мухи наркоманы, надо разбираться..

Общепринятый принцип действия защищенного шифрованного канала:
Клиент получает сертификат в сообщении Certificate и проверяет подписи и соответствие имени из серверного сертификата имени сервера, с которым планирует установить соединение.

Так должны по логике работать все клиенты, у которых в опциях есть "включить HTTPS". Во втором нашем мессенджере даже при банальном перевыпуске/продлении сертификата на сервере, все клиенты тут же выводят сообщение "на сервере изменился сертификат.. вот данные нового сертификата.. будем ему доверять? Да/Нет."

Вы же мне сейчас, Алексей, пытаетесь сказать, что "мы дали вам галку Зашифрованное соединение. Теперь вы должны спать спокойно. Но это просто галка, а на самом деле нам кроме проверки логина/пароля ничего не надо. А свои сертификаты можете засунуть куда подальше в дальнюю папку"

Вы путаете фундаментальные понятия протокола и способа шифрования трафика этого протокола.

У нас в опциях MyChat клиентов есть галка для включения шифрования. И это не https (протокол) а tls (алгоритмы шифрования, протокол наш). Сертификатов там никаких нет, а есть ключи динамические, обмен по диффи-хелману, каждый коннект.

Https используется только при работе с web-сервером, в браузере, когда вы пользуетесь админкой, веб-чатом, форумом, канбаном и передачей файлов между клиентом и сервером.

Верить никому не надо, берете Wireshark и снифите трафик по TCP 2004.

Ну вот! Другое дело! Спасибо, Алексей
Действительно произошла путаница в понятиях.
Спасибо за разъяснение. Сразу все встало на свои места

Ок, переношу тему в раздел с вопросами.