Как стать автором
Обновить

Комментарии 32

Если что-то пойдет не так, то поставщик сертификатов SSL выплатит конечному пользователю, пострадавшему от сбоя SSL страховую сумму

Сколько было прецедентов с выплатами?

Если не ошибаюсь, то это более чем редкое явление.

Если явление редкое то:
Почему SSL сертификаты такие дорогие?
То может выплаты астрономические.

Похоже, что таких выплат не было вообще.

I am not aware of any case where any CA has paid out on warranty.

(с) Andy Gambles TLS Certificate Reseller

https://www.quora.com/Has-any-company-ever-benefited-from-an-SSL-certificates-warranty

Но это было 5 лет назад, может уже кто то, когда то и заплатил, не нагуглилось...

А что именно может пойти не так к примеру? Сертификат битый или корневой сертификат издателя протух?

Битый или протухший сертификат - проблема пользователя, это так скажем не "страховой" случай. Вот если сертификат взломают, то тогда будут выплаты.

Да вряд ли, взломать сертификат = подобрать каким-то чудом приватный ключ. Квантовые компьютеры ещё не появились в широком доступе, чтобы настиг такой страховой случай :)

Ну или как-то стыбзить приватный ключ с сервера. Но я почти уверен, что издатель скажет, что это покупатель дурак, и будет прав.

Всё равно не понимаю, какие именно страховые случаи бывают с TLS-сертами. Вон внизу shai_hulud хорошие вещи предположил, но это опять-таки догадки хабровчан.

Если сертификат взломают, то почти наверняка из-за раздолбайства администратора, а не подобрав ключ на суперкомпьютере

Как в известном комиксе

Это догадки, но возможно они отвечают за OV и EV информацию, что юридическое лицо существует и именно оно запросило сертификат.


Тогда получается обычные сертификаты должны стоит около нуля. А это не так.

Возможно они такие дорогие, по тому что, кто-то очень жадный.

Сколько было прецедентов с выплатами?

Сначала хотелось бы взглянуть на договор, на основании которого можно претендовать на какие то выплаты. КМК, автор с переводчиком подверглись грубому насилию ssl сертификатом.

Wildcard – на домен и поддомены
DV – подтверждает доменное имя
OV – проверка организации, адреса и расположения
EV – дает наибольшую защиту

Смешались в кучу кони, люди, TLS-сертификаты… Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru. DV/OV/EV — тип сертификата, различающийся только уровнем проверки заявителя со стороны CA. Защиту они все дают одну и ту же. Т.е. TLS-сертификат может быть одновременно, например, self-signed, wildcard и DV.

Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru.

Строго говоря, Wildcard это только *.domain.ru. Сам домен domain.ru в него не входит, но может быть включен дополнительно.

Даже нестрого говоря так и есть ;) Спасибо, это важное уточнение, про которое часто забывают (как я). И, чтоб два раза не вставать, напомню, что *.subdomain.domain.ru он тоже не покрывает.

Должен признать, в этом случае попытался объять необъятное. 280 символов для этого вопроса недостаточно.

13. Как браузер может понять, корректен ли сертификат? 

Операционная система компьютера хранит список корневых сертификатов, составляющих цепочку доверия

Не только, некоторые браузеры уже хранят список корневых сертификатов в себе, например Firefox.

А вот с проверкой отзыва сертификатов у браузеров проблемы, особенно у Chrome.

Вот у меня, когда приходится настраивать что-то с сертификатами (unified communication), постоянно всплывает вопрос: «а куда лошадь-то запрягать?» :) как правильнее настроить сертификаты для взаимодействие внешних и внутренних сервисов?
Давным-давно, когда мудрые гайды советовали внутри поднимать домен company.local, а снаружи — company.com, всё было просто и понятно. Для «внутри» — свой CA с самоподписанным сертификатом. И для всех внутри — генеришь сертификаты, подписанные этим своим CA. Для «снаружи» — покупной wildcard (или несколько отдельных сертификатов) для сервисов, торчащих наружу.
А сейчас, когда BYOD и везде рекомендуется company.com?
Логичным казалось бы — создать свой CA, подписать его купленным wildcard и раздавать клиентам сертификаты, заверенные своим CA, но с цепочкой доверия, подтвержденной корневым сертификатом.
Но так (в общем случае, без мегаусилий и затрат) — не положено.
Другие варианты — тоже мне как-то не особо удобными представляются…
Направьте на путь истинный — как правильно идеологию сертификации выстраивать нонче?

А сейчас, когда BYOD и везде рекомендуется company.com?

Внутри корпоративной сети вы продолжаете пользоваться company.local, просто, не смотря на работу дома, попадаете во внутреннюю сеть через VPN. Также доменное имя недоступно публично, т. к. внутренний DNS доступен только через тот же VPN. Ну и поверх всего этог TLS со своим CA который администраторы устанавливают на ваше устройство.

Но так (в общем случае, без мегаусилий и затрат) — не положено.

Также попытаюсь ответить, почему не положено: PKI это в каком-то роде "false security", потому что на рынке сотни игроков, каждый из которых имеет возможность сгенерировать сертификат на ваш домен, но их останавливает лишь жадность, но это не значит, что этим не занимаются. По этому если цепочка доверия начинается с вас (свой CA), то и доверять проще.

Ситуация, которую хотелось бы обсудить — несколько более частная…
Развертывания unified communication в существующей (и управляемой кем-то другим) сети. Когда УЖЕ принято (и реализовано) решение об использовании company.com и снаружи, и внутри…
Вот и вопрос — как правильно раскорячиться с сертификатами? ;)

Извините за вопрос не совсем по теме, но я не могу понять, как домен компании может смотреть вовне, то есть быть внешним? Например, thttgtgg.net

Как при этом обойти совершенно предсказуемый спам dns, от которого просто все ляжет?

Несколько удивлен тем, что не упомянут letsencrypt

  1. Это бесплатные сертификаты для доменов (пишут, что 250M+ доменов используют его)
  2. Через год надо продлевать и устанавливать новый сертификат. letsencrypt же заставляет автоматизировать процесс перевыпуска. Разумеется, есть куча плагинов для самых разных хостингов, ОС, облаков и т.д.
С ним есть некоторые проблемы у части клиентов, после окончания срока корневого сертификата.

EV – дает наибольшую защиту

25 твитов с шутками об SSL-сертификатах

Так скажем - для общего развития тем, кто хочет подступиться к теме SSL-сертификатов. Не так уж и редко звучит вопрос от заказчиков сайтов: "Сертификат? А что это?".

Если я правильно понял, SSl сертификат нужен, чтобы мошенники не получили базу данных сайта, защитили владельца от взлома. Хм, у меня ни на одном сайте его нет. Может быть поэтому мне приходится периодически чистить сайт от всяческого спама?

Не совсем так, SSL сертификат дает подтверждение, что сайт не мошеннический и канал связи до него защищен шифрованием. К сожалению сам сайт от взлома сертификат не защищает. Тем не менее если замочка в строке браузера не видно, то передавать персональные данные, например при заведении личного кабинета на сайте, лучше не стоит.

Благодарю за разъяснение.

Затем вышли версии TLS 1.1, 1.2 и 1.3, а применяются только две последние.

ЕМНИП, то некоторые рекомендации по настройке АРМ для работы с госсайтами начинаются со слов, что надо включить TLS 1.1

И поставить браузер который может или старый firefox или yandex-браузер, корневых сертификатов пачку и вообще сплошные ритуалы, причем для разных сайтов разные. Вместо того чтобы сделать нормальное приложение почему-то ужоснахнаяваскиптах с расширения к браузерам плюс криптопровайдер, скрепленное синей изолентой, считается предпочтительнее.

К сожалению так.

И иногда не знаешь, настраивая одно, не сломать бы что-то другое.

К счастью, хромиум-гост + настройка через help.kontur.ru очень упрощает настройку.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории