Pull to refresh

Comments 27

В современном мире все сложнее продавать сертификаты (из-за LE и т.п.).
Лучше бы как раз добавили абзац (или статью написали), почему все еще стоит покупать SSL сертификаты, а не использовать бесплатные (типа того же LE). Причин то хватает, хоть их и становится меньше, но для крупных сайтов они слишком существенны.
или статью написали

Спасибо за комментарий. Рассмотрим как вариант, для следующих статей.
LE не работает на старых системах, а пользователи старых систем — очень платежеспособные клиенты в целом.
(и я не только про ХР, но и про мобильники).
Да, я в курсе :) Хоть на ХР можно работать через FF.
Тут еще и CF и другие. Сам использую их сертификаты на своих проектах.
И на одном прямо пришлось отказаться (интернет магазин, на который люди заходят с работы, на которых старые ПК с ХР).
На одном проекте использовал для API мобильного приложения — пришли люди с Android 2.x и тоже все накрылось.
Это даже винде апдейты накатывать не нужно? )
ну, для WindowsXP апдейты больше и не выходят. Если посмотреть в ссылке, что я дал, дальше, то там советуют использовать «старые» настройки TLS/SSL (https://mozilla.github.io/server-side-tls/ssl-config-generator/) с целью совместимости с разным старьём, но у меня проблема на ХР решилась просто обновлением сертификата (так что разбираться дальше я не стал).
Еще не хватает описания того, как выяснить, какие CA подконтрольны государственным и/или мафиозным структурам и где в браузере их посмотреть/выключить.
Всегда было интересно, как образуются цены на сертификаты. Цены на тот же сертификат от того же центра в разных компаниях-продавцах отличаются сильно, при этом, очевидно, выпуск сертификата, сколько бы он не стоил, произойдет в том же CA.

В России цены на подобный товар вообще образуются как-то неожиданно. Беру любой сертификат: Symantec Secure Site. На сайте Symantec за него просят https://www.symantec.com/ssl-certificates/ $399 за год, на моем любимом GoGetSSL https://www.gogetssl.com/business-validation/symantec-secure-site-ssl/ — $282 за год, reg.ru просит https://www.reg.ru/ssl-certificate/Symantec/ 28080 руб. за год — т.е. около $415. Разница только в том, что российский посредник/партнер сможет нарисовать документы для бухгалтерии. На что-то посолиднее, скажем, на Symantec Secure Site Pro with EV SSL, цены будут $1499, $659 и 97110 руб (т.е. $1428). В общем, «формула» мне так и не понятна.

Могу, правда, сказать, что у reg.ru цены на фоне иных российских «товарищей» еще адекватны.
Заранее извиняюсь.
Я так понял, картинки — 5, материал — 2, текст красиво побито на абзацы — 5, в среднем оценка — 4, особенно веселая баба с сертификатом и грустный мужик без сертификата.
Интересно, а SSL-сертификат влияет на ранжирование сайта?
В августе 2014 года Google в своём блоге заявил, что наличие SSL-сертификата будет являться одним из факторов, который влияет на ранжирование сайта: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
Некоторое время спустя, в этом же блоге появилась статья о том, что HTTPS версии страниц получают преимущество в индексации поисковой системой Google: https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html
Подскажите пожалуйста, если нужны действительные сертификаты для целей эксплуатации личного кабинета клиентов внутри локальной сети, то обязательно их покупать или достаточно будет бесплатных? Кабинет никак не отображается во внешний интернет.
Если передача данных происходит исключительно внутри локальной сети и отсутствует доступ в личный кабинет из Интернет, то вам подойдёт бесплатный или самоподписной сертификат. Бесплатный SSL-сертификат DomainSSL от GlobalSign выдаётся сроком на один год. В дальнейшем, его продление будет платным.
или самоподписной сертификат

Приучать пользователей игнорировать предупреждения браузера — очень плохая практика. Из бесплатных есть StartCom, перевыпуск которого не будет стоить ничего, а из недорогих GGSSL за 4 бакса в год.
Это и обидно, что у вас только «первая порция бесплатно». На фоне Let's Encrypt и других, надо как-то политику завлекания менять.

Тем более что сертификат — не домен, не обязательно платить тому же регистратору за него при продлении. Никто не мешает на свой домен получить сертификат другого типа/цены у другого CA, если CA или его партнер, где поначалу взяли, не особо порадует.
Смотря что вы под этим подразумеваете. Если клиенты внутри одной организации, то можно использовать CA организации. Если это независимые люди, которым невозможно автоматически добавить CA через те же GPO — то лучше взять нормальный, а коммерческий или, например, LE — вопрос предпочтений.
LE не подойдёт, для выпуска и продления придётся открывать сайт наружу или мухлевать с DNS.
Почему мухлевать? Если есть доступ к DNSу то выпустить и продлить сертификат можно через TXT записи.
Возможно, но по вашей ссылке(в 3м сообщении) есть рабочее решение.
И правда, спасибо за наводку!
«Тем самым гарантируется сохранность данных, соблюдение закона о персональных данных»
Соблюдение ФЗ «О персональных данных» требует наличие лицензии ФСТЭК.
А ФСТЭК требует использование российских криптоалгоритмов.
Т.ч. данное утверждение некорректно
Благодарим за уточнение, исправили публикацию.
А может быть что в результате сбоя/атаки сертификаты отозвутся для региона/страны и каковы возможные последствия?
Sign up to leave a comment.