Да вряд ли, взломать сертификат = подобрать каким-то чудом приватный ключ. Квантовые компьютеры ещё не появились в широком доступе, чтобы настиг такой страховой случай :)

Ну или как-то стыбзить приватный ключ с сервера. Но я почти уверен, что издатель скажет, что это покупатель дурак, и будет прав.

Всё равно не понимаю, какие именно страховые случаи бывают с TLS-сертами. Вон внизу shai_hulud хорошие вещи предположил, но это опять-таки догадки хабровчан.

navferty Oct 26 2021 at 14:16

Если сертификат взломают, то почти наверняка из-за раздолбайства администратора, а не подобрав ключ на суперкомпьютере

Как в известном комиксе

shai_hulud Oct 26 2021 at 13:04

Это догадки, но возможно они отвечают за OV и EV информацию, что юридическое лицо существует и именно оно запросило сертификат.

Тогда получается обычные сертификаты должны стоит около нуля. А это не так.

Возможно они такие дорогие, по тому что, кто-то очень жадный.

unsignedchar Oct 26 2021 at 21:26

Сколько было прецедентов с выплатами?

Сначала хотелось бы взглянуть на договор, на основании которого можно претендовать на какие то выплаты. КМК, автор с переводчиком подверглись грубому насилию ssl сертификатом.

ifap Oct 26 2021 at 13:16

Wildcard – на домен и поддомены
DV – подтверждает доменное имя
OV – проверка организации, адреса и расположения
EV – дает наибольшую защиту

Смешались в кучу кони, люди, TLS-сертификаты… Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru. DV/OV/EV — тип сертификата, различающийся только уровнем проверки заявителя со стороны CA. Защиту они все дают одну и ту же. Т.е. TLS-сертификат может быть одновременно, например, self-signed, wildcard и DV.

+11

Comraddm Oct 27 2021 at 10:17

Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru.

Строго говоря, Wildcard это только *.domain.ru. Сам домен domain.ru в него не входит, но может быть включен дополнительно.

ifap Oct 27 2021 at 13:07

Даже нестрого говоря так и есть ;) Спасибо, это важное уточнение, про которое часто забывают (как я). И, чтоб два раза не вставать, напомню, что *.subdomain.domain.ru он тоже не покрывает.

Galperin_Mark Oct 27 2021 at 10:18

Должен признать, в этом случае попытался объять необъятное. 280 символов для этого вопроса недостаточно.

Veter44k Oct 26 2021 at 14:58

13. Как браузер может понять, корректен ли сертификат?
Операционная система компьютера хранит список корневых сертификатов, составляющих цепочку доверия.

Не только, некоторые браузеры уже хранят список корневых сертификатов в себе, например Firefox.

David_Osipov Oct 26 2021 at 15:26

А вот с проверкой отзыва сертификатов у браузеров проблемы, особенно у Chrome.

Komrus Oct 26 2021 at 15:56

Вот у меня, когда приходится настраивать что-то с сертификатами (unified communication), постоянно всплывает вопрос: ~~«а куда лошадь-то запрягать?»~~ :) как правильнее настроить сертификаты для взаимодействие внешних и внутренних сервисов?
Давным-давно, когда мудрые гайды советовали внутри поднимать домен company.local, а снаружи — company.com, всё было просто и понятно. Для «внутри» — свой CA с самоподписанным сертификатом. И для всех внутри — генеришь сертификаты, подписанные этим своим CA. Для «снаружи» — покупной wildcard (или несколько отдельных сертификатов) для сервисов, торчащих наружу.
А сейчас, когда BYOD и везде рекомендуется company.com?
Логичным казалось бы — создать свой CA, подписать его купленным wildcard и раздавать клиентам сертификаты, заверенные своим CA, но с цепочкой доверия, подтвержденной корневым сертификатом.
Но так (в общем случае, без мегаусилий и затрат) — не положено.
Другие варианты — тоже мне как-то не особо удобными представляются…
Направьте на путь истинный — как правильно идеологию сертификации выстраивать нонче?

desertkun Oct 26 2021 at 17:03

А сейчас, когда BYOD и везде рекомендуется company.com?

Внутри корпоративной сети вы продолжаете пользоваться company.local, просто, не смотря на работу дома, попадаете во внутреннюю сеть через VPN. Также доменное имя недоступно публично, т. к. внутренний DNS доступен только через тот же VPN. Ну и поверх всего этог TLS со своим CA который администраторы устанавливают на ваше устройство.

Но так (в общем случае, без мегаусилий и затрат) — не положено.

Также попытаюсь ответить, почему не положено: PKI это в каком-то роде "false security", потому что на рынке сотни игроков, каждый из которых имеет возможность сгенерировать сертификат на ваш домен, но их останавливает лишь жадность, но это не значит, что этим не занимаются. По этому если цепочка доверия начинается с вас (свой CA), то и доверять проще.

Komrus Oct 26 2021 at 17:41

Ситуация, которую хотелось бы обсудить — несколько более частная…
Развертывания unified communication в существующей (и управляемой кем-то другим) сети. Когда УЖЕ принято (и реализовано) решение об использовании company.com и снаружи, и внутри…
Вот и вопрос — как правильно раскорячиться с сертификатами? ;)

AlexGluck Oct 27 2021 at 00:34

https://habr.com/ru/company/southbridge/blog/546220/#comment_22790390

John1969 Oct 27 2021 at 11:00

Извините за вопрос не совсем по теме, но я не могу понять, как домен компании может смотреть вовне, то есть быть внешним? Например, thttgtgg.net

Как при этом обойти совершенно предсказуемый спам dns, от которого просто все ляжет?

slonpts Oct 27 2021 at 17:43

Несколько удивлен тем, что не упомянут letsencrypt

Это бесплатные сертификаты для доменов (пишут, что 250M+ доменов используют его)
Через год надо продлевать и устанавливать новый сертификат. letsencrypt же заставляет автоматизировать процесс перевыпуска. Разумеется, есть куча плагинов для самых разных хостингов, ОС, облаков и т.д.

kovserg Oct 27 2021 at 18:33

С ним есть некоторые проблемы у части клиентов, после окончания срока корневого сертификата.

-1

kovserg Nov 1 2021 at 17:15

И зачем минусовать, если проблемы действительно есть.
www.cnews.ru/news/top/2021-09-29_sotni_millionov_iphoneandroidsmartfonov

selivanov_pavel Oct 28 2021 at 15:44

EV – дает наибольшую защиту

25 твитов с шутками об SSL-сертификатах

Galperin_Mark Oct 28 2021 at 15:51

Так скажем - для общего развития тем, кто хочет подступиться к теме SSL-сертификатов. Не так уж и редко звучит вопрос от заказчиков сайтов: "Сертификат? А что это?".

osmam Nov 10 2021 at 13:32

Если я правильно понял, SSl сертификат нужен, чтобы мошенники не получили базу данных сайта, защитили владельца от взлома. Хм, у меня ни на одном сайте его нет. Может быть поэтому мне приходится периодически чистить сайт от всяческого спама?

Galperin_Mark Nov 10 2021 at 13:40

Не совсем так, SSL сертификат дает подтверждение, что сайт не мошеннический и канал связи до него защищен шифрованием. К сожалению сам сайт от взлома сертификат не защищает. Тем не менее если замочка в строке браузера не видно, то передавать персональные данные, например при заведении личного кабинета на сайте, лучше не стоит.

osmam Nov 10 2021 at 13:59

Благодарю за разъяснение.

nitro80 Dec 12 2021 at 13:03

Затем вышли версии TLS 1.1, 1.2 и 1.3, а применяются только две последние.

ЕМНИП, то некоторые рекомендации по настройке АРМ для работы с госсайтами начинаются со слов, что надо включить TLS 1.1

kovserg Dec 12 2021 at 13:50

И поставить браузер который может или старый firefox или yandex-браузер, корневых сертификатов пачку и вообще сплошные ритуалы, причем для разных сайтов разные. Вместо того чтобы сделать нормальное приложение почему-то ужоснахнаяваскиптах с расширения к браузерам плюс криптопровайдер, скрепленное синей изолентой, считается предпочтительнее.

nitro80 Dec 12 2021 at 16:03

К сожалению так.

И иногда не знаешь, настраивая одно, не сломать бы что-то другое.

К счастью, хромиум-гост + настройка через help.kontur.ru очень упрощает настройку.