Comments 84
А этот не пробовали?
https://www.startssl.com/?lang=ru
https://www.startssl.com/?lang=ru
Спасибо. У меня сразу упал взгляд на Free сертификат)) ушел вчитываться в остальные…
У меня этот сайт выдает окно с просьбой подтвердить сертификат. Т.е. у них самих он не подписанный )
Я такими пользоваться не буду. Не подписанный я себе и сам сгенерю.
Я такими пользоваться не буду. Не подписанный я себе и сам сгенерю.
Их CA сертификат есть только в новых браузерах, вот и результат.
У вас сертификат будет подписаный. Просто юзерам нужно будет импортировать их CA себе в компьютер.
Как тут подписаться на каменты? Только не смейся, но «Дремучий Лес» тоже хотел бы это узнать.
Я брал <a href=«ssl.ru/ru/certificates/standart/'>тут. Конкретно RBC HC Gold на два года.
SSL сертификаты грубо можно разделить на три части:
Простой SSL сертификат — этот сертификат обычно знают все браузеры, но верху не пишется что мол такой-то компании пренадлежит (см. к примеру https://godaddy.com)
SSL сертификат расширенной проверки — так же знают все браузеры, но проводятся дополнительные проверки и в строке начинает писаться ваша компания как к примеру у godaddy.
wildcard SSL сертификат — выдается на *.domain т.е. может использоваться для всех поддоменов на домене.
Разница в цене на эти сертификаты зависит от авторизационного центра, но обычно все что дешевле 50 долларов не поддерживает все сертификаты. Вам лучше всего взять простой SSL сертификат. Он является самым дешевым и достаточнным вариантом
Из перечисленных вами это
Но первый у самого RapidSSL стоит 79 долларов, так что стоит уточнить, что это за сертификат такой.
SSL сертификаты грубо можно разделить на три части:
Простой SSL сертификат — этот сертификат обычно знают все браузеры, но верху не пишется что мол такой-то компании пренадлежит (см. к примеру https://godaddy.com)
SSL сертификат расширенной проверки — так же знают все браузеры, но проводятся дополнительные проверки и в строке начинает писаться ваша компания как к примеру у godaddy.
wildcard SSL сертификат — выдается на *.domain т.е. может использоваться для всех поддоменов на домене.
Разница в цене на эти сертификаты зависит от авторизационного центра, но обычно все что дешевле 50 долларов не поддерживает все сертификаты. Вам лучше всего взять простой SSL сертификат. Он является самым дешевым и достаточнным вариантом
Из перечисленных вами это
RapidSSL Certificate — 800 рублей
Thawte SSL123 Certificate — 3000 рублей
Но первый у самого RapidSSL стоит 79 долларов, так что стоит уточнить, что это за сертификат такой.
Знаю про SSL сертификаты все
Задавайте вопросы
По теме:
«Что же с ними в действительности такое?» — с ними все ок, минимальная цена сертификата — ~15$, дальше идут тупо накрутки
«Почему так велика разница в стоимости? От чего она зависит?» — от типа сертификата и бренда.
«Стоит ли уповать исключительно на цену, или есть серьёзные технические аспекты?» — технические. Например для мультисабдоменов как на хабре нужен wildcard сертификат, который дороже раз в 10-20, чем обычный
«Если я перейду от одного хостера к другому, сертификат потеряет силу?» — нет, сертификат принадлежит домену, common name
Задавайте вопросы
По теме:
«Что же с ними в действительности такое?» — с ними все ок, минимальная цена сертификата — ~15$, дальше идут тупо накрутки
«Почему так велика разница в стоимости? От чего она зависит?» — от типа сертификата и бренда.
«Стоит ли уповать исключительно на цену, или есть серьёзные технические аспекты?» — технические. Например для мультисабдоменов как на хабре нужен wildcard сертификат, который дороже раз в 10-20, чем обычный
«Если я перейду от одного хостера к другому, сертификат потеряет силу?» — нет, сертификат принадлежит домену, common name
Где продаются самые недорогие и надежные?)
А сколько этих самых типов сертификатов?
А сколько этих самых типов сертификатов?
Самые недорогие — rapid ssl
Самые надежные — в чем измерять надежность — в битах или в сумме выплаты страховки за взлом?
Типов много — начиная от ssl для сайта, заканчивая для цифровых подписей официальных документов конторы (не в Этой Стране конечно)
Чем серьезнее серт — тем серьезнее проверка
Самые надежные — в чем измерять надежность — в битах или в сумме выплаты страховки за взлом?
Типов много — начиная от ssl для сайта, заканчивая для цифровых подписей официальных документов конторы (не в Этой Стране конечно)
Чем серьезнее серт — тем серьезнее проверка
А какие ресурсы или может быть книги посоветуете для ознакомления?
Поисковики не в счет)
Поисковики не в счет)
Вот, совсем просто, в виде FAQ.
я где-то на Хабре читал, будто RapidSSL не очень безопасен
Ссылку в студию… Чтобы не быть голословным
Расскажите как на безопасность влияет название конторы.
Собственно не название конторы, а используемый алгоритм. Опять же, просто спросил на основе данного коммента:
habrahabr.ru/blogs/infosecurity/51315/#comment_1356962
habrahabr.ru/blogs/infosecurity/51315/#comment_1356962
Рекомендую ukrnames.com/certs/ssl_certificates.jsp
Сейчас акция на Thawte SSL123 — по 60 usd — вда такая цена только запросом через icq
Можно пополнить баланс на 50 usd и будут скидки и на домены и на ssl серты. Тот же RapidSSL по 20 usd сразу.
Сейчас акция на Thawte SSL123 — по 60 usd — вда такая цена только запросом через icq
Можно пополнить баланс на 50 usd и будут скидки и на домены и на ssl серты. Тот же RapidSSL по 20 usd сразу.
Посмотрел — ошибка есть в FF. Просто предположу: что-то неладно с Certificate Authority 'YandexExternalCA' у сертификата на Яндекс.Деньгах. Конкретнее — сервер Яндекс.Денег не отдаёт CA-сертификат, в браузере YandexExternalCA вряд ли импортирован, вот оно и матюкается. НО! Яндекс.Почта этот самый YandexExternalCA предоставляет, он кэшируется в браузере и при следующем заходе на Яндекс.Деньги предупреждение видно скорее всего не будет (в FF по крайней мере так, поэтому у вас предупреждения и не видно — ваш FF уже знает про YandexExternalCA).
Детектил при помощи curl:
curl попытался найти CA-сертификат локально в /etc/ssl/certs/, обломался и запросил Яндекс.Почту «А дайко мне свой CA, я его счас буду верифицировать». Сервер Яндекс.Почты отдал серт, всё ок, все рады.
Теперь Яндекс.Деньги:
То же самое, локально сертификат не нашли, просим сервер нам дать — не даёт. Браузер тут выдаёт ошибку, curl идёт дальше ибо был пущен с опцией --insecure.
Вот как то так.
Детектил при помощи curl:
vk@cooper:~$ curl https://mail.yandex.ru/ -v
* About to connect() to mail.yandex.ru port 443 (#0)
* Trying 87.250.251.25... connected
* Connected to mail.yandex.ru (87.250.251.25) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
...skip...
* Server certificate:
* subject: /C=RU/ST=Russian Federation/L=Moscow/O=OOO Yandex/OU=ITO/CN=mail.yandex.ru/emailAddress=mail-root@yandex-team.ru
* start date: 2008-10-29 11:29:46 GMT
* expire date: 2010-10-29 11:29:46 GMT
* common name: mail.yandex.ru (matched)
* issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
* SSL certificate verify ok.
curl попытался найти CA-сертификат локально в /etc/ssl/certs/, обломался и запросил Яндекс.Почту «А дайко мне свой CA, я его счас буду верифицировать». Сервер Яндекс.Почты отдал серт, всё ок, все рады.
Теперь Яндекс.Деньги:
vk@cooper:~$ curl https://money.yandex.ru/ -v --insecure
* About to connect() to money.yandex.ru port 443 (#0)
* Trying 213.180.204.32... connected
* Connected to money.yandex.ru (213.180.204.32) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
...skip...
* Server certificate:
* subject: /C=RU/L=Moscow/O=OOO Yandex/OU=money.yandex.ru/CN=Yandex.Money
* start date: 2009-08-25 11:55:37 GMT
* expire date: 2011-08-25 11:55:37 GMT
* subjectAltName: money.yandex.ru matched
* issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
То же самое, локально сертификат не нашли, просим сервер нам дать — не даёт. Браузер тут выдаёт ошибку, curl идёт дальше ибо был пущен с опцией --insecure.
Вот как то так.
вопрос 1: у кого покупать? так чтобы «браузер не ругался»
вопрос 2: почему такое большое количество коммерческих сайтов имеют сертификат на который ругается браузер? обычно это связано с вариациями www. и без него. Неужто всем владельцам сатов так плевать на то какой сертификат стоит, как он прописан и что за окна выскочат у пользователя, или есть какие то более серьезные причины?
вопрос 2: почему такое большое количество коммерческих сайтов имеют сертификат на который ругается браузер? обычно это связано с вариациями www. и без него. Неужто всем владельцам сатов так плевать на то какой сертификат стоит, как он прописан и что за окна выскочат у пользователя, или есть какие то более серьезные причины?
Я хочу чтоб
1. На сертификат не ругались _современные_ браузера.
2. Мобильные платформы мне не важны.
3. Субдомены мне не нужны.
4. Самое главное: Я хочу чтоб в адресной строки зелененьким светилось имя компании или название сервиса.
Какой сертификат и у кого купить для этого? Сколько это стоит по минимуму? Как много документов и каких нужно будет собрать?
Спасибо!!1
1. На сертификат не ругались _современные_ браузера.
2. Мобильные платформы мне не важны.
3. Субдомены мне не нужны.
4. Самое главное: Я хочу чтоб в адресной строки зелененьким светилось имя компании или название сервиса.
Какой сертификат и у кого купить для этого? Сколько это стоит по минимуму? Как много документов и каких нужно будет собрать?
Спасибо!!1
Я рекомендую сертификаты от GoDaddy.com. 13 долларов в год от authority, признанной практически всеми, весьма неплохая цена — тут скидка в правой колонке.
Они не воспринимаются IE6 и IE7
Да ну? Никогда не видел проблем с ними. Официальный browser compatibility list начинается с IE 5.01. Пруф. У самого эти сертификаты установлены на нескольких сайтов. Чтобы проверить совместимость, на самОм godaddy.com поставьте https вместо http на любой странице.
Пример сервера с сертификатом GoDaddy:
https://secure.snop.ru/
проверил сейчас с IE8, FF3.5,Opera10,Safari4,Chrome2 (под Вистой) — никто не ругается.
И это при том, что на сервере используется новая (относительно) фишка SSL — SNI (http://en.wikipedia.org/wiki/Server_Name_Indication), т.е. поддержка нескольких SSL-серверов на одном IP. Собственно для испытания этой возможности сертификат там и поставлен (а сервер на базе Eserv/4).
В XP SNI не работает, и в линуксах не во всех, соответственно клиент не будет при установке SSL-соединения передавать имя хоста, поэтому сервер будет давать другой сертификат (который по умолчанию для того IP), и браузер будет ругаться.
https://secure.snop.ru/
проверил сейчас с IE8, FF3.5,Opera10,Safari4,Chrome2 (под Вистой) — никто не ругается.
И это при том, что на сервере используется новая (относительно) фишка SSL — SNI (http://en.wikipedia.org/wiki/Server_Name_Indication), т.е. поддержка нескольких SSL-серверов на одном IP. Собственно для испытания этой возможности сертификат там и поставлен (а сервер на базе Eserv/4).
В XP SNI не работает, и в линуксах не во всех, соответственно клиент не будет при установке SSL-соединения передавать имя хоста, поэтому сервер будет давать другой сертификат (который по умолчанию для того IP), и браузер будет ругаться.
rapidsslonline.com 18 долларов в год за полноценный сертификат от Geotrust. Все, что дороже — развод на бабки.
Непонятно, умеют ли сертификаты поддерживать не только www.mysite.com но и mysite.com? Кто нибудь сталкивался с таким вопросом?
Есть ещё один критерий, по которому большинство недорогих сертификатов имеют хорошие шансы пролететь — это поддержка их мобильными платформами.
А по code sign сертификатам есть у кого чего рассказать? Оно действительно надо? Когда? Поможет допустим «обойти» (в хорошем смысле этого слова) firewalls или UAC?
Нет не поможет. Оно нужно чтобы показывать что ваше ПО хорошее и троянов не содержит.
эм, а где связь?
Подписывание кода необходимо для избежания внедрения чего либо. Т.е. в ваш эталонный инсталлятор нельзя будет внедрить что-то без вашего ведома, так-как поменяется подпись. Ну и вместо желтой таблички это не известная штука, будет показываться имя компании в зеленой табличке.
ну например антивирусы не проверяют по умолчанию подписанный софт. ибо троянам сложно (но можно, помнится был скандал по поводу сертов от комодо в троянах) получить сертификат))
от UAC и firewalls это точно не спасет? там общие правила для всех
от UAC и firewalls это точно не спасет? там общие правила для всех
Не правда, например манифест для Vista/Win7 содержащий uiAccess=true будет работать если приложение имееет действительную цифровую подпись. И сертификат не доказывает что «ПО хорошее и троянов не содержит», он показывает что ПО от определенного производителя не изменилось ни кем пока дошло до вашего ПК, но что там внутри за код, никто не проверяет и за это отвечает только разработчики.
Я как бе дальше написал ага :)
Да я не обновил страницу перед ответом :). Но в том же вашем ответе: «так-как поменяется подпись» — что значит поменяется? Она станет не действительной.
Я могу запаковать с другой подписью :]
Да в этом случае подпись будет не от производителя, т.е. подпись поменяется :)
мне кажется 99% не смотрят на подпись, нет? т.е. нужно специально проверить, а не чужая ли подпись у файла?
Не знаю, возможно есть какие-то хаки, но по-моему никто в здравом уме не будет подписывать чужое, да еще и с трояном, приложение.
Ну почему же. Можно настроить политики так что ПО с недоверенными подписями ставится не будет. Опять же в случае запаковки легетимным сертификатом какого либо вредностного ПО, его отзовут по первой жалобе.
но ведь 99% не настраивают политики?
т.е. я правильно понял, что подписывание софта избавляет пользователей от необходимости внесения исключений в файерволы, разрешает писать в Program Files и исключает прочие тупые вопросы в поддержку?
С UAC может помочь — ищите инфу о манифестах, например вот для начала www.restuner.com/howto-insert-trust-info-manifest.htm
ооо, очень больная тема и нормальных статей для чайников я не видел.
Так же интересует где брать?
Можно ли как то организовать подписку писем? (домена ?) щас связка postfix+dovecot Но планирую оставить postfix и MS Exchange (да знаю, а что делать ?)
Клиенты Outlook и Evolution
И если у кого то есть время, осветите это все!
Так же интересует где брать?
Можно ли как то организовать подписку писем? (домена ?) щас связка postfix+dovecot Но планирую оставить postfix и MS Exchange (да знаю, а что делать ?)
Клиенты Outlook и Evolution
И если у кого то есть время, осветите это все!
Господа, пожалуйста, подскажите.
Я хочу сделать на своем сайте авторизацию по сертификату.
Для этого:
я генерирую сертификат организации;
генерирую сертификат http сервера;
подписываю сертификат сервера сертификатом организации (как я понимаю, эту часть и должны делать внешние CA);
генерю сертификаты клиентов;
и подписываю их сертификатом организации;
Все отлично, но браузер ругается на то, что сертификат самоподписанный.
В какое место этой цепочки необходимо вставить подпись CA?
Правильно ли я понимаю, что рассчитывать на сертификаты за 13-18 долларов для реализации этой схемы – не стоит?
Я хочу сделать на своем сайте авторизацию по сертификату.
Для этого:
я генерирую сертификат организации;
генерирую сертификат http сервера;
подписываю сертификат сервера сертификатом организации (как я понимаю, эту часть и должны делать внешние CA);
генерю сертификаты клиентов;
и подписываю их сертификатом организации;
Все отлично, но браузер ругается на то, что сертификат самоподписанный.
В какое место этой цепочки необходимо вставить подпись CA?
Правильно ли я понимаю, что рассчитывать на сертификаты за 13-18 долларов для реализации этой схемы – не стоит?
не стоит. За 18 баксов сертификаты только для проверки доменного имени.
Всё правильно делаете.
Браузер и будет ругаться на то, что сертификат самоподписанный — потому что он ничего про ваш CA не знает (и никто из вышестоящих CA ему об этом не расскажет — тут, думаю, обьяснять не надо). При этом, несмотря на маты — соединение всё равно будет шифрованным.
На самом деле вся эта пляска с сертификатами — выкачивание бабла, если интересует исключительно зашифрованное соединение — можно и самоподписанным обойтись. А всё остальное — понты в виде «зелёненькой надписи» и т.п. ИМХО излишне уже. По крайней мере для мелкого сервиса, который ломать никому в голову не придёт.
Резюмируя: всё, что мельче какого нибудь Gmail или PayPal прекрасно обойдётся обычным self-signed сертификатом.
Браузер и будет ругаться на то, что сертификат самоподписанный — потому что он ничего про ваш CA не знает (и никто из вышестоящих CA ему об этом не расскажет — тут, думаю, обьяснять не надо). При этом, несмотря на маты — соединение всё равно будет шифрованным.
На самом деле вся эта пляска с сертификатами — выкачивание бабла, если интересует исключительно зашифрованное соединение — можно и самоподписанным обойтись. А всё остальное — понты в виде «зелёненькой надписи» и т.п. ИМХО излишне уже. По крайней мере для мелкого сервиса, который ломать никому в голову не придёт.
Резюмируя: всё, что мельче какого нибудь Gmail или PayPal прекрасно обойдётся обычным self-signed сертификатом.
Вообще self-signed сертификат не защищает достаточно надёжно от man in the middle атаки, поэтому ценность для определенных применений равна 0. Для личного исопльзования такие сертификаты годятся, для остальных целй лучше потратиться и купить нормальный сертификат. Мы на своих проектах например используем сертификаты выписанные Thawte и пока никаких проблем не было.
Непоследний по известности сервис выдачи и поддержки сертификатов: CAcert.org.
Sign up to leave a comment.
SSL сертификаты. Помогите отыскать тропинку в дремучем лесу