Комментарии 32
Если что-то пойдет не так, то поставщик сертификатов SSL выплатит конечному пользователю, пострадавшему от сбоя SSL страховую сумму
Сколько было прецедентов с выплатами?
Если не ошибаюсь, то это более чем редкое явление.
Почему SSL сертификаты такие дорогие?То может выплаты астрономические.
Похоже, что таких выплат не было вообще.
I am not aware of any case where any CA has paid out on warranty.
(с) Andy Gambles TLS Certificate Reseller
https://www.quora.com/Has-any-company-ever-benefited-from-an-SSL-certificates-warranty
Но это было 5 лет назад, может уже кто то, когда то и заплатил, не нагуглилось...
А что именно может пойти не так к примеру? Сертификат битый или корневой сертификат издателя протух?
Битый или протухший сертификат - проблема пользователя, это так скажем не "страховой" случай. Вот если сертификат взломают, то тогда будут выплаты.
Да вряд ли, взломать сертификат = подобрать каким-то чудом приватный ключ. Квантовые компьютеры ещё не появились в широком доступе, чтобы настиг такой страховой случай :)
Ну или как-то стыбзить приватный ключ с сервера. Но я почти уверен, что издатель скажет, что это покупатель дурак, и будет прав.
Всё равно не понимаю, какие именно страховые случаи бывают с TLS-сертами. Вон внизу shai_hulud хорошие вещи предположил, но это опять-таки догадки хабровчан.
Это догадки, но возможно они отвечают за OV и EV информацию, что юридическое лицо существует и именно оно запросило сертификат.
Тогда получается обычные сертификаты должны стоит около нуля. А это не так.
Возможно они такие дорогие, по тому что, кто-то очень жадный.
Сколько было прецедентов с выплатами?
Сначала хотелось бы взглянуть на договор, на основании которого можно претендовать на какие то выплаты. КМК, автор с переводчиком подверглись грубому насилию ssl сертификатом.
Wildcard – на домен и поддомены
DV – подтверждает доменное имя
OV – проверка организации, адреса и расположения
EV – дает наибольшую защиту
Смешались в кучу кони, люди, TLS-сертификаты… Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru. DV/OV/EV — тип сертификата, различающийся только уровнем проверки заявителя со стороны CA. Защиту они все дают одну и ту же. Т.е. TLS-сертификат может быть одновременно, например, self-signed, wildcard и DV.
Wildcard — это «область», покрываемая сертификатом, т.е. не только domain.ru, но и *.domain.ru.
Строго говоря, Wildcard это только *.domain.ru. Сам домен domain.ru в него не входит, но может быть включен дополнительно.
Должен признать, в этом случае попытался объять необъятное. 280 символов для этого вопроса недостаточно.
13. Как браузер может понять, корректен ли сертификат?
Операционная система компьютера хранит список корневых сертификатов, составляющих цепочку доверия.
Не только, некоторые браузеры уже хранят список корневых сертификатов в себе, например Firefox.
Давным-давно, когда мудрые гайды советовали внутри поднимать домен company.local, а снаружи — company.com, всё было просто и понятно. Для «внутри» — свой CA с самоподписанным сертификатом. И для всех внутри — генеришь сертификаты, подписанные этим своим CA. Для «снаружи» — покупной wildcard (или несколько отдельных сертификатов) для сервисов, торчащих наружу.
А сейчас, когда BYOD и везде рекомендуется company.com?
Логичным казалось бы — создать свой CA, подписать его купленным wildcard и раздавать клиентам сертификаты, заверенные своим CA, но с цепочкой доверия, подтвержденной корневым сертификатом.
Но так (в общем случае, без мегаусилий и затрат) — не положено.
Другие варианты — тоже мне как-то не особо удобными представляются…
Направьте на путь истинный — как правильно идеологию сертификации выстраивать нонче?
А сейчас, когда BYOD и везде рекомендуется company.com?
Внутри корпоративной сети вы продолжаете пользоваться company.local, просто, не смотря на работу дома, попадаете во внутреннюю сеть через VPN. Также доменное имя недоступно публично, т. к. внутренний DNS доступен только через тот же VPN. Ну и поверх всего этог TLS со своим CA который администраторы устанавливают на ваше устройство.
Но так (в общем случае, без мегаусилий и затрат) — не положено.
Также попытаюсь ответить, почему не положено: PKI это в каком-то роде "false security", потому что на рынке сотни игроков, каждый из которых имеет возможность сгенерировать сертификат на ваш домен, но их останавливает лишь жадность, но это не значит, что этим не занимаются. По этому если цепочка доверия начинается с вас (свой CA), то и доверять проще.
Развертывания unified communication в существующей (и управляемой кем-то другим) сети. Когда УЖЕ принято (и реализовано) решение об использовании company.com и снаружи, и внутри…
Вот и вопрос — как правильно раскорячиться с сертификатами? ;)
Извините за вопрос не совсем по теме, но я не могу понять, как домен компании может смотреть вовне, то есть быть внешним? Например, thttgtgg.net
Как при этом обойти совершенно предсказуемый спам dns, от которого просто все ляжет?
- Это бесплатные сертификаты для доменов (пишут, что 250M+ доменов используют его)
- Через год надо продлевать и устанавливать новый сертификат. letsencrypt же заставляет автоматизировать процесс перевыпуска. Разумеется, есть куча плагинов для самых разных хостингов, ОС, облаков и т.д.
www.cnews.ru/news/top/2021-09-29_sotni_millionov_iphoneandroidsmartfonov
EV – дает наибольшую защиту
25 твитов с шутками об SSL-сертификатах
Если я правильно понял, SSl сертификат нужен, чтобы мошенники не получили базу данных сайта, защитили владельца от взлома. Хм, у меня ни на одном сайте его нет. Может быть поэтому мне приходится периодически чистить сайт от всяческого спама?
Не совсем так, SSL сертификат дает подтверждение, что сайт не мошеннический и канал связи до него защищен шифрованием. К сожалению сам сайт от взлома сертификат не защищает. Тем не менее если замочка в строке браузера не видно, то передавать персональные данные, например при заведении личного кабинета на сайте, лучше не стоит.
Затем вышли версии TLS 1.1, 1.2 и 1.3, а применяются только две последние.
ЕМНИП, то некоторые рекомендации по настройке АРМ для работы с госсайтами начинаются со слов, что надо включить TLS 1.1
25 твитов об SSL-сертификатах