SSL сертификаты. Помогите отыскать тропинку в дремучем лесу

[Markovnin]

А этот не пробовали?
https://www.startssl.com/?lang=ru

[vodka_ru]

Спасибо. У меня сразу упал взгляд на Free сертификат)) ушел вчитываться в остальные…

[Zada]

У меня этот сайт выдает окно с просьбой подтвердить сертификат. Т.е. у них самих он не подписанный )
Я такими пользоваться не буду. Не подписанный я себе и сам сгенерю.

[norguhtar]

Их CA сертификат есть только в новых браузерах, вот и результат.

[s5656]

Opera 10 — совсем уже старая значит?..

[norguhtar]

Ну видимо таки да :)))

[citius]

В файрфоксе все нормально.

[Altzgamer]

В Google Chrome тоже ошибку выдаёт

[dmach]

В IE8 ошибка.

[norguhtar]

Используйте FF :]

[s5656]

используйте кривые сертификаты, используйте FF… что дальше?

[norguhtar]

Сообщите свой адрес мы вышлем вам мыло и веревку.

[ivlis]

У вас сертификат будет подписаный. Просто юзерам нужно будет импортировать их CA себе в компьютер.

[trak]

С тем-же успехом можно свой СА открыть, и попросить юзеров импортировать его сертификат в браузер. Бессмысленно.

[ivlis]

Ну степень доверия больше. Если ваш сайт взломают, то могут дать ссылку на фейковый сертификат. А если подписан у кого-то, то уже так не сделаешь.

[trak]

Да это так, но согласитесь, Элле Карловне из бухгалтерии глубоко все-равно. «Ой, тут у меня что-то вылезло!»

[ivlis]

Ага, именно поэтому то что творится с сертификатами кроме как бардак назвать нельзя.

[schors]

Как тут подписаться на каменты? Только не смейся, но «Дремучий Лес» тоже хотел бы это узнать.

[max7]

vodka-ru.habrahabr.ru/rss/blog/69079/cd715a7d88b7118d4fbfff742c2e32ee/

[norguhtar]

Я брал <a href=«ssl.ru/ru/certificates/standart/'>тут. Конкретно RBC HC Gold на два года.
SSL сертификаты грубо можно разделить на три части:

Простой SSL сертификат — этот сертификат обычно знают все браузеры, но верху не пишется что мол такой-то компании пренадлежит (см. к примеру https://godaddy.com)

SSL сертификат расширенной проверки — так же знают все браузеры, но проводятся дополнительные проверки и в строке начинает писаться ваша компания как к примеру у godaddy.

wildcard SSL сертификат — выдается на *.domain т.е. может использоваться для всех поддоменов на домене.

Разница в цене на эти сертификаты зависит от авторизационного центра, но обычно все что дешевле 50 долларов не поддерживает все сертификаты. Вам лучше всего взять простой SSL сертификат. Он является самым дешевым и достаточнным вариантом

Из перечисленных вами это

RapidSSL Certificate — 800 рублей
Thawte SSL123 Certificate — 3000 рублей

Но первый у самого RapidSSL стоит 79 долларов, так что стоит уточнить, что это за сертификат такой.

[odessky]

Знаю про SSL сертификаты все
Задавайте вопросы

По теме:

«Что же с ними в действительности такое?» — с ними все ок, минимальная цена сертификата — ~15$, дальше идут тупо накрутки

«Почему так велика разница в стоимости? От чего она зависит?» — от типа сертификата и бренда.

«Стоит ли уповать исключительно на цену, или есть серьёзные технические аспекты?» — технические. Например для мультисабдоменов как на хабре нужен wildcard сертификат, который дороже раз в 10-20, чем обычный

«Если я перейду от одного хостера к другому, сертификат потеряет силу?» — нет, сертификат принадлежит домену, common name

[vodka_ru]

Где продаются самые недорогие и надежные?)
А сколько этих самых типов сертификатов?

[odessky]

Самые недорогие — rapid ssl
Самые надежные — в чем измерять надежность — в битах или в сумме выплаты страховки за взлом?

Типов много — начиная от ssl для сайта, заканчивая для цифровых подписей официальных документов конторы (не в Этой Стране конечно)
Чем серьезнее серт — тем серьезнее проверка

[vodka_ru]

А какие ресурсы или может быть книги посоветуете для ознакомления?
Поисковики не в счет)

[sev]

Вот, совсем просто, в виде FAQ.

[Altzgamer]

я где-то на Хабре читал, будто RapidSSL не очень безопасен

[vodka_ru]

Ссылку в студию… Чтобы не быть голословным

[Altzgamer]

Вот: habrahabr.ru/blogs/infosecurity/51315/#comment_1356962

[nnmkayf]

Господа. Кто-то может прокомментировать это подробнее? Я недостатчно компетентен чтобы понять суть уязвимоси :(

[cblp]

Хэш-функция MD5 признана недостаточно надёжной для «серьёзного» применения. Доказано, что можно за относительно разумное время подобрать коллизию для этого хэша и на её основе подделать сертификат RapidSSL.

[ivlis]

Расскажите как на безопасность влияет название конторы.

[Altzgamer]

Собственно не название конторы, а используемый алгоритм. Опять же, просто спросил на основе данного коммента:
habrahabr.ru/blogs/infosecurity/51315/#comment_1356962

[DLag]

Рекомендую ukrnames.com/certs/ssl_certificates.jsp
Сейчас акция на Thawte SSL123 — по 60 usd — вда такая цена только запросом через icq
Можно пополнить баланс на 50 usd и будут скидки и на домены и на ssl серты. Тот же RapidSSL по 20 usd сразу.

[br0ziliy]

Посмотрел — ошибка есть в FF. Просто предположу: что-то неладно с Certificate Authority 'YandexExternalCA' у сертификата на Яндекс.Деньгах. Конкретнее — сервер Яндекс.Денег не отдаёт CA-сертификат, в браузере YandexExternalCA вряд ли импортирован, вот оно и матюкается. НО! Яндекс.Почта этот самый YandexExternalCA предоставляет, он кэшируется в браузере и при следующем заходе на Яндекс.Деньги предупреждение видно скорее всего не будет (в FF по крайней мере так, поэтому у вас предупреждения и не видно — ваш FF уже знает про YandexExternalCA).

Детектил при помощи curl:
vk@cooper:~$ curl https://mail.yandex.ru/ -v
* About to connect() to mail.yandex.ru port 443 (#0)
* Trying 87.250.251.25... connected
* Connected to mail.yandex.ru (87.250.251.25) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
...skip...
* Server certificate:
* subject: /C=RU/ST=Russian Federation/L=Moscow/O=OOO Yandex/OU=ITO/CN=mail.yandex.ru/emailAddress=mail-root@yandex-team.ru
* start date: 2008-10-29 11:29:46 GMT
* expire date: 2010-10-29 11:29:46 GMT
* common name: mail.yandex.ru (matched)
* issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
* SSL certificate verify ok.

curl попытался найти CA-сертификат локально в /etc/ssl/certs/, обломался и запросил Яндекс.Почту «А дайко мне свой CA, я его счас буду верифицировать». Сервер Яндекс.Почты отдал серт, всё ок, все рады.

Теперь Яндекс.Деньги:
vk@cooper:~$ curl https://money.yandex.ru/ -v --insecure
* About to connect() to money.yandex.ru port 443 (#0)
* Trying 213.180.204.32... connected
* Connected to money.yandex.ru (213.180.204.32) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
...skip...
* Server certificate:
* subject: /C=RU/L=Moscow/O=OOO Yandex/OU=money.yandex.ru/CN=Yandex.Money
* start date: 2009-08-25 11:55:37 GMT
* expire date: 2011-08-25 11:55:37 GMT
* subjectAltName: money.yandex.ru matched
* issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

То же самое, локально сертификат не нашли, просим сервер нам дать — не даёт. Браузер тут выдаёт ошибку, curl идёт дальше ибо был пущен с опцией --insecure.

Вот как то так.

[splix]

вопрос 1: у кого покупать? так чтобы «браузер не ругался»

вопрос 2: почему такое большое количество коммерческих сайтов имеют сертификат на который ругается браузер? обычно это связано с вариациями www. и без него. Неужто всем владельцам сатов так плевать на то какой сертификат стоит, как он прописан и что за окна выскочат у пользователя, или есть какие то более серьезные причины?

[odessky]

1. Geotrust, поддерживается всеми доменами
2. Да, им плевать на это, серьезных причин для редиректа с/на www — нет, а еще можно 2 сертификата или widcard

[shergin]

Я хочу чтоб
1. На сертификат не ругались _современные_ браузера.
2. Мобильные платформы мне не важны.
3. Субдомены мне не нужны.
4. Самое главное: Я хочу чтоб в адресной строки зелененьким светилось имя компании или название сервиса.
Какой сертификат и у кого купить для этого? Сколько это стоит по минимуму? Как много документов и каких нужно будет собрать?
Спасибо!!1

[vodka_ru]

Любой из предложенных или только free?

[sev]

Я рекомендую сертификаты от GoDaddy.com. 13 долларов в год от authority, признанной практически всеми, весьма неплохая цена — тут скидка в правой колонке.

[norguhtar]

Они не воспринимаются IE6 и IE7

[sev]

Да ну? Никогда не видел проблем с ними. Официальный browser compatibility list начинается с IE 5.01. Пруф. У самого эти сертификаты установлены на нескольких сайтов. Чтобы проверить совместимость, на самОм godaddy.com поставьте https вместо http на любой странице.

[norguhtar]

Значит за год уже что-то поменялось.

[logout]

Не вижу пояснения на самом сайте, это цена за первый год онли?

[sev]

В выпадающем списке сертификатов для single domain показано, что цена $12.99 акционная, действует при любом сроке действия сертификата, т.е. от 1 до 5 лет. Скидка — $17 в год.

По опыту рекомендую первый сертификат купить на 2 года. Год — мало, больше двух лет может быть неоправданно :)

[ayc]

Пример сервера с сертификатом GoDaddy:
https://secure.snop.ru/
проверил сейчас с IE8, FF3.5,Opera10,Safari4,Chrome2 (под Вистой) — никто не ругается.
И это при том, что на сервере используется новая (относительно) фишка SSL — SNI (http://en.wikipedia.org/wiki/Server_Name_Indication), т.е. поддержка нескольких SSL-серверов на одном IP. Собственно для испытания этой возможности сертификат там и поставлен (а сервер на базе Eserv/4).

В XP SNI не работает, и в линуксах не во всех, соответственно клиент не будет при установке SSL-соединения передавать имя хоста, поэтому сервер будет давать другой сертификат (который по умолчанию для того IP), и браузер будет ругаться.

[Mentor]

Попробуйте зайти на этот сервер из Safari под Mac OS, там GoDaddy не котируется

[klesch]

rapidsslonline.com 18 долларов в год за полноценный сертификат от Geotrust. Все, что дороже — развод на бабки.

[norguhtar]

Не могли бы вы ткнуть где он там за 18 баксов.

[klesch]

www.rapidsslonline.com/rapidssl-certificates.php

[norguhtar]

Ога. В следующий раз подумаю насчет этого варианта.

[huksley]

Непонятно, умеют ли сертификаты поддерживать не только www.mysite.com но и mysite.com? Кто нибудь сталкивался с таким вопросом?

[norguhtar]

Поддерживает. Указывать надо именно mysite.com

[Pilat]

Есть ещё один критерий, по которому большинство недорогих сертификатов имеют хорошие шансы пролететь — это поддержка их мобильными платформами.

[savostin]

А по code sign сертификатам есть у кого чего рассказать? Оно действительно надо? Когда? Поможет допустим «обойти» (в хорошем смысле этого слова) firewalls или UAC?

[norguhtar]

Нет не поможет. Оно нужно чтобы показывать что ваше ПО хорошее и троянов не содержит.

[savostin]

эм, а где связь?

[norguhtar]

Подписывание кода необходимо для избежания внедрения чего либо. Т.е. в ваш эталонный инсталлятор нельзя будет внедрить что-то без вашего ведома, так-как поменяется подпись. Ну и вместо желтой таблички это не известная штука, будет показываться имя компании в зеленой табличке.

[SegaZero]

ну например антивирусы не проверяют по умолчанию подписанный софт. ибо троянам сложно (но можно, помнится был скандал по поводу сертов от комодо в троянах) получить сертификат))
от UAC и firewalls это точно не спасет? там общие правила для всех

[ruzzz]

Не правда, например манифест для Vista/Win7 содержащий uiAccess=true будет работать если приложение имееет действительную цифровую подпись. И сертификат не доказывает что «ПО хорошее и троянов не содержит», он показывает что ПО от определенного производителя не изменилось ни кем пока дошло до вашего ПК, но что там внутри за код, никто не проверяет и за это отвечает только разработчики.

[norguhtar]

Я как бе дальше написал ага :)

[ruzzz]

Да я не обновил страницу перед ответом :). Но в том же вашем ответе: «так-как поменяется подпись» — что значит поменяется? Она станет не действительной.

[norguhtar]

Я могу запаковать с другой подписью :]

[ruzzz]

Да в этом случае подпись будет не от производителя, т.е. подпись поменяется :)

[savostin]

мне кажется 99% не смотрят на подпись, нет? т.е. нужно специально проверить, а не чужая ли подпись у файла?

[ruzzz]

Не знаю, возможно есть какие-то хаки, но по-моему никто в здравом уме не будет подписывать чужое, да еще и с трояном, приложение.

[norguhtar]

Ну почему же. Можно настроить политики так что ПО с недоверенными подписями ставится не будет. Опять же в случае запаковки легетимным сертификатом какого либо вредностного ПО, его отзовут по первой жалобе.

[savostin]

но ведь 99% не настраивают политики?

[norguhtar]

99% процентов переходя с XP отключают UAC.

[savostin]

позвольте не согласиться. разве что пост-советское пространство. забугорщиков не так-то просто убедить отключить UAC, антивирус или файервол. Да и по логике вещей кто будет ставить защиту, а по каждой просьбе её отключать?

[norguhtar]

Я как раз про постсоветское пространство :)

[savostin]

ну, для постсоветского и подпись не так важна и сертификаты — половина софта крякнута, какие уж тут подписи…

[savostin]

т.е. я правильно понял, что подписывание софта избавляет пользователей от необходимости внесения исключений в файерволы, разрешает писать в Program Files и исключает прочие тупые вопросы в поддержку?

[ruzzz]

С UAC может помочь — ищите инфу о манифестах, например вот для начала www.restuner.com/howto-insert-trust-info-manifest.htm

[ruzzz]

Вот еще msdn.microsoft.com/en-us/library/bb756973.aspx

[icCE]

ооо, очень больная тема и нормальных статей для чайников я не видел.
Так же интересует где брать?
Можно ли как то организовать подписку писем? (домена ?) щас связка postfix+dovecot Но планирую оставить postfix и MS Exchange (да знаю, а что делать ?)
Клиенты Outlook и Evolution

И если у кого то есть время, осветите это все!

[nnmkayf]

Господа, пожалуйста, подскажите.
Я хочу сделать на своем сайте авторизацию по сертификату.
Для этого:
я генерирую сертификат организации;
генерирую сертификат http сервера;
подписываю сертификат сервера сертификатом организации (как я понимаю, эту часть и должны делать внешние CA);
генерю сертификаты клиентов;
и подписываю их сертификатом организации;

Все отлично, но браузер ругается на то, что сертификат самоподписанный.

В какое место этой цепочки необходимо вставить подпись CA?
Правильно ли я понимаю, что рассчитывать на сертификаты за 13-18 долларов для реализации этой схемы – не стоит?

[AstonMartin]

не стоит. За 18 баксов сертификаты только для проверки доменного имени.

[br0ziliy]

Всё правильно делаете.
Браузер и будет ругаться на то, что сертификат самоподписанный — потому что он ничего про ваш CA не знает (и никто из вышестоящих CA ему об этом не расскажет — тут, думаю, обьяснять не надо). При этом, несмотря на маты — соединение всё равно будет шифрованным.

На самом деле вся эта пляска с сертификатами — выкачивание бабла, если интересует исключительно зашифрованное соединение — можно и самоподписанным обойтись. А всё остальное — понты в виде «зелёненькой надписи» и т.п. ИМХО излишне уже. По крайней мере для мелкого сервиса, который ломать никому в голову не придёт.
Резюмируя: всё, что мельче какого нибудь Gmail или PayPal прекрасно обойдётся обычным self-signed сертификатом.

[Mentor]

Вообще self-signed сертификат не защищает достаточно надёжно от man in the middle атаки, поэтому ценность для определенных применений равна 0. Для личного исопльзования такие сертификаты годятся, для остальных целй лучше потратиться и купить нормальный сертификат. Мы на своих проектах например используем сертификаты выписанные Thawte и пока никаких проблем не было.

[unchqua]

Непоследний по известности сервис выдачи и поддержки сертификатов: CAcert.org.

[Mentor]

Опять же неподдерживается ни одним браузером, и при этом отсутсвует проверка при выдаче сертификата.