Как защитить абсолютно всё при помощи одного лишь SSL-сертификата

    Сегодня существует агромное кол-во разных SSL-сертификатов, но может ли один сертификат обеспечить практически все Ваши нужды? Оказывается, да! И это большая редкость, лишь единицы знают о сущещствование такого продукта как Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов (Multi-Domain Wildcard SSL Certificate). Но давайте обо всём по порядку.

    Обычно люди пользуются такими сертификатами как:


    • SSL-сертификат с проверкой домена (Domain Validation)

      SSL-сертификаты с проверкой домена, или как их некоторые называют, сертификаты начального уровня, являются самыми распространёнными в мире, и это не удивительно, ведь скорость выдачи таких сертификатов варьируется от 2-10 минут, зависит от бренда. Что бы получить такой сертификат не требуются какие либо документы, весь процесс предельно прост, Вам нужно подтвердить владение доменом, а для этого существует 3 способа, один основной и два альтернативных.

      SSL-сертификаты начального уровня с проверкой домена один из самых быстро-выдаваемых типов сертификатов, т.к. не требуют каких либо документов. Мы рекомендуем данные сертификаты для небольших сайтов и маленьких проектов, когда у Вас нет необходимости в большом доверии со стороны клиентов и посетителей сайта, проекта. С таким сертификатом чаще идут статичные логотипы безопасности, однако есть некоторые которые предлагают и динамические, например: Thawte SSL 123, Comodo SSL Certificate

      1. Проверка через э-почту (DCV Email)

        Данный метод описан на многих сайтах и блогах, вся суть в том, что центр сертификации вышлет Вам верификационное письмо, в котором будет ссылка для подтверждения владением домена. Выслать такое письмо могут либо на э-почту указанную во Whois вашего домена, либо на один из золотой пятёрки: admin@, administrator@, hostmaster@, postmaster@,webmaster@

      2. Проверка при помощи DNS записи (DNS CNAME)

        Достаточно популярный метод, для тех у кого может не быть настроен майл-сервер, а э-почта во Whois закрыты приватной регистрацией. Суть проста, вы должны сделать особую запись в Вашем DNS, и центр сертификации его проверит. Метод полностью автоматический.

      3. Проверка при помощи хеш-файла (HTTP CSR Hash)

        Ещё более простой метод, Вам будет предоставлен специальный .txt файл, который вы должны будите загрузить на Ваш сервер, центр сертификации убедится в его наличии и сертификат будет выдан. Метод полностью автоматический.

    • SSL-сертификаты с проверкой компании (Business Validation)

      Данные сертификаты актуальны для тех, кто думает о доверии к своим продуктам, компании и сервисам, так как центр сертификации проводит более тщательную проверку Вашей компании. Вас попросят выслать документы компании, пройти процесс «отзвона» на корпоративный телефон и некоторые другие процессы. Однако результат использования на порядок выше, чем в случае с начальными сертификатами, т.к. на Вашем сайте будет динамическое Лого с информацией о Вашей компании. Люди это ценят и легче расстаются с деньгами оплачиваю услуги и товары на вашем сайте.

    • С расширенной проверкой (Extended validation)

      Престиж и доверие — вот основа сертификатов с расширенной проверкой. Только EV сертификаты обеспечат Ваш сайт зелёной адресной строкой в браузере, а это пожалуй самый простой способ доказать Вашим посетителям, что вы думаете об их безопасности, шифруете данные, а самое главное, Вам можно доверять. Чаще всего такие сертификаты можно встретить у банков, онлайн систем с большим кол-во посетителей, практически во всех Интернет магазинах и других сайтов через которые проходят потоки важной информации. Получить такой сертификат не просто, процесс трудоёмкий, но результат не заставит себя ждать.

    • SSL c поддержкой субдоменов (Wildcard)

      Очень удобный сертификат, когда речь идёт о защите большого кол-во субдоменов в рамках одного домена. Он может защитить любое кол-во субдоменов, на неограниченном кол-ве серверов. Больше не нужно устанавливать 5-10-20 разных сертификатов, иметь столько же IP адресов (если не использовать технологию SNI), всё в рамках одного продукта. Часто их так же используют для обеспечения безопасности хостинг панелей, таких как Plesk, cPanel.

    • SAN SSL-сертификаты

      Единые сертификаты связи (UCC), Мульт-доменные сертификаты, SAN SSL-сертификаты, как их только не называют, но всех их объединяет одно свойство, способность защищать множество доменов, субдоменов, локальных доменов (.local), сервера (server name: 'myserver01'), они идеальны для продуктов Microsoft Exchange. Данные сертификаты работают как с внешними, так и внутренними доменными именами.

    • SGC SSL-сертификаты

      Сегодня, о данных сертификатах уже можно забыть, хотя их продолжают использовать, т.к. они принудительно увеличивают уровень шифрования для старых браузеров с 40-бит до полноценных 256-бит. Ваш сайт или онлайн система будет защищена и получит высочайшее доверие от всех Ваших пользователей. Лучшие сайты используют 128/256-битное шифрование.

    • SSL-cертификаты для ПО (CodeSigning SSL)

      Этот сертификат Вам понадобится, когда ваши пользователи получают предупреждения и ошибки при скачивании программного кода с ваших ресурсов.Идеальный продукт для разработчиков программного обеспечения (ПО), он используется для защиты программных продуктов распространяемых в сети. Ваши пользователи будут уверены что код скачанный на вашем сайте действительно принадлежит Вам, а не является умышленно испорченным или изменённым


    Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов

    И вот, медленно, мы подошли к чудо сертификату, которому под силу почти всё. Это смесь сертификата с поддержкой субдоменов и мультидоменного сертификата, так как он способен защищать неограниченное кол-во субдоменов на более чем 100 доменах, совместим с MS Exchange, работает на всех типах платформ и при этом выданный сертификат может одновременно работать как на Linux, так и Windows серверах. Вот что не может данный сертификат, так это обеспечить ресурсы зелёной адресной строкой.

    Продукт не из дешёвых, он больше подходит для тех, у кого много своих сайтов или множество сертификатов с поддержкой субдоменов (Wildcard)

    image

    Вот что можно защитить:

    • *.domain.com, *.domain2.com, *.domain3.com
    • yourname.com or www.yourname.com
    • mail.yourname.com;
    • server name, example: myserver01
    • autodiscover.yourname.com;
    • exchange1.yourname.local
    • и многое другое

    Мы будем рады ответить на любой Ваш вопрос, дать консультацию и совет. Приятного всем дня.
    EnVers Group SIA
    19,00
    Компания
    Поделиться публикацией

    Комментарии 54

      +13
      Тот же Startssl после валидации персоны позволяет создавать неограниченное количество сертификатов с:
      • Web server certificates (SSL/TLS)
      • Wild cards (*.domain.com)
      • Multiple domains (DNS Alt Names)
      • 128/256-bit encryption
      • Object Code Signing
      • Client and mail certificates (S/MIME)
      • US $ 10,000 insurance guaranteed
      • Certificates 2 or 3 Years valid


      А обычные Domain Validation и того бесплатно…
      Не понимаю, зачем люди платят за то, что можно получить бесплатно?

      P.S. Наверное, не совсем хорошо писать о конкурентах в комментарии к рекламной корпоративной записи, но все же интересно…
        –6
        Хммм… платят за тем, что очень важно кто подписал сертификат, когда его подписал StartSSL, то для конечного пользователя с кредиткой в руках это не аргумент, он скорее вспомнит о Thawte, Symantec, это более узнаваемые бренды. Второй момент, если всё так хорошо с бесплатными сертификатами, то почему доля рынка StartSSL всего 3%? Это ведь не много не мало, но тенденция показывает что все за платные сертификаты :)
          +13
          Думаю, что пользователи не часто заглядывают в сертификат и смотрят «А кто же его подписал?».
          Главное — чтобы браузер доверял ЦС, с этим, вроде как, у StartSSL проблем нет.

          Или я ошибаюсь в чем-то?
            –4
            Лукавить не буду, есть те кто не заглядывают, есть кто заглядывает. Просто говоря об Интернет магазинах, банках, они скорее смотрят есть ли зелёная строка или нет… Вообще Symantec провели исследование и выявили, что при наличии EV сертификата транзакции увеличиваются на 17%. Плюс так же брендовые сертификаты предлагают динамическое Лого с данными вашего сайта и компании, есть сканирование на уязвимости и многое другое…

            Ещё раз упомяну факт о 3% процентах рынка, которые пользуются StartCom. На практике скажу, у нас заказывают тысячами триальные сертификаты на 90-дней, делают тесты, и потом покупают нормальные сертификаты. Скажем 4$ за Comodo сертификат, это дешёво… Но Comodo более популярен, чем StartSSL
              +7
              Мне кажется, или в России пользователи не знают, чем отличается StartSSL от Thawte? В том то и дело, что всем без разницы, лишь бы https был без алерта о недостоверном сертификате.

              А генерируемые логотипы? Когда встречал их, мне казалось что это избыток 2000 года, когда все делали свои счетчики с циферками. Да и сейчас такой нарисовать не проблема. Опять же, разве пользователь полезет сравнивать URL картинки с эталонным?

              А вот EV — клёвая вещь, но дорогая. Хотя, что такое 19000 рублей для многомиллионного бизнеса…
                –1
                Да вот при нажатии на такое Лого Вас перекинет на центр сертификации где будет информация о Вас, а с простой картинкой фокус не удастся

                А откуда 19,000 рублей? :) Когда EV сертификаты стоят от 1,800 рублей?
                  0
                  19000 рублей — это способность впарить за эту цену, перепродавая с 1800 руб. Это талант, видимо. Я тоже повёлся, простите :)
                    –3
                    На самом деле нет, 19000 рублей это цена за Symantec (VeriSign) сертификаты, самые надёжные и качественные. Comodo, Thawte, GeoTrust на порядок дешевле
                      +6
                      Что означают термины «надежные» и «качественные»? то, что они везде включены в список root CA?
                        0
                        1) Да, они включены во все root CA

                        2) этот бренд знают все, ему верят и доверяют, на этом и базируется понятие надёжный. Symantec реже других был участником скандалов связанных с уязвимостями, это факт.

                        3) Их сертификаты дают гарантию компенсации до 1,500,000$, и мало кто будет сомневаться что они не выплатят их, а вот мелкие CA могут и не выплатить, и кстати мелкие обычно предлагают не больше 10,000$, StartSSL даёт 10,000$, Comodo до 500,000$, и это тоже о многом говорит. Если StartSSL уверен в своей надежности, то почему только 10,000$? Значит ли это, что они не уверены что могут обеспечить достойную защиту?
                          +3
                          Напишите подробнее о гарантии — в каких случаях выплачивается компенсация и кому?
                            0
                            Сумма гарантии SSL сертификата варьируется от 10.000$ до 1.500.000$, данная гарантия существует не для владельца сертификата, а для конечных пользователей/покупателей. Если посетитель/клиент пострадает от мошенничество (фрауда) и потеряет деньги, то центр сертификации обязуется выплатить компенсацию, вплоть до максимальной суммы гарантии. Тем самым посетитель получает гарантию, что находится не на «левом» домене.
                              +2
                              Дописывайте предложение до конца. Данная гарантия покрывает не фрод в принципе, а фрод, когда причиной этого фрода оказалась копмпроментация ца. Простыми словами. Вы провели транзакцию на ссл странице, соединение было зашифровано сертификатом верисайна, злоумышленник перехватил траффик, расшифровал данные и совершил с полученной информацией какое-либо незаконное действие, вот тогда да, вам выплатят компенсацию, когда докажите. Т.е. все эти денежные гарантии не более, чем маркетинг ))) В то время как большинство считает, что если их обманут, то они защищены этим сертификатом. Если у меня верисанвский сертификат и вы передали какие-либо данные мне а я «фродю» безбожно, то никто вам ничего компенсирует )))
                              Преимущество верисайновского сертификата — это узнаваемое лого и то, что перед тем как выдать сертификат вам вынесут мозг. Мошенники обычно на такое не заморачиваются )))
                                0
                                Всё это конечно так, но вы забываете о простой связи между степенью узнаваемости бренда сертификата и уровнем продаж.

                                На самом деле, никто Вас не заставляет покупать тот или иной сертификат, если Вы в этом не видите смысла, то он вам и не нужен.

                                Статья была опубликована для тех, кто пользуется сертификатами и у кого есть в этом необходимость. Очень много людей к примеру у которых 5-6 своих сайтов и везде используют Wildcard, вот и проще использовать 1, а не 5. Мы не поднимали вопрос необходимости сертификата, и не приследывали идею пиарить SSL бизнес. Мы могли смело сказать что мы продаём сертификаты Comodo за 3 доллара в год и всё, вот и пиар, но речь шла именно об оптимизации своих сертификатов.

                                  0
                                  Так о чем вопрос. Зеленая строка, лого симантек красивое, везде написано, что транзакция 100% безопасная. Так конверсия и повышается.
                            0
                            Странно, а какие у меня (допустим рядового пользователя) основания доверять StartSSL больше или меньше чем Thawte, Symantec и иже с ними? Только на основании того, что они берут больше денег за выпуск сертификата? Или их бренд более узнаваем? Как мы знаем, самый узнаваемый бренд среди ОС — это Microsoft, следует ли, что ему нужно или можно доверять?

                            Вы тут какие-то вещи рассказываете, в которых логика, по крайней мере на первый взгляд, нарушена.
                      +1
                      У StartSSL тоже можно поставить картинку которая перекинет на страницу с детальной информацией сертификата (для бесплатного варианта).
                    0
                    Сейчас проверил, ни у одного банка, которым я пользуюсь, нет зеленой адрессной строки. У paypal кстати тоже. Или просто хром перестал зеленую строку показывать?
                      0
                      Это у вас что-то с Chrome:
                      screencast.com/t/MH7KPWn0nnxP
                        0
                        Такое то есть, зеленая адрессная строка раньше была вся строка яркозеленым болдом же.
                          0
                          Это раньше, очень давно и то больше в Internet Explorer 6.0, сейчас это выглядит именно так.
                    +1
                    StartSSL относительно совсем недавно в трастовых корневых. Некоторые мобилки, например Нокии, до сих пор не доверяют.
                    А вообще да, отличные ребята, заняли нишу красиво.
                      0
                      Всё относительно, на рынке они уже 10 лет.
                        0
                        Да, но
                        In contrast to CAcert.org, which also offers free Class 1 SSL certificates, the StartSSL certificate is included by default in Mozilla Firefox 2.x and higher, in Apple Mac OS X since version 10.5 (Leopard), all Microsoft operating systems since 24 September 2009,[5][6] and Opera since 27 July 2010.[7] Since Google Chrome, Apple Safari and Internet Explorer use the certificate store of the operating system, all major browsers include support for StartSSL certificates.
                        источник
                          +1
                          На всё нужны инвестиции. Грубо говоря, вам нужно заплатить всем владельцам браузеров, мобильных телефонов, разработчикам/владельцам серверного обеспечения, чтобы они принимали Ваши сертификаты. Там фантастические деньги. А самое интересное, вам могут оказать, скажем Firefox скажет, с вами не хотим, и всё…

                          Поэтому боюсь у StartSSL не всё очень хорошо, вложений много, а вот отдача скромная. Хотя у меня лично вызывают уважение, за то что обошли Digicert, Entrust, Unizeto, у которых и история богаче, да и финансирование другое.
                      0
                      Например в оракловую java корневой сертификат от StartSSL не включён.
                        0
                        Прошу прощения за некропост, но спустя 3 года StartSSL вместе с WoSign перестали доверять. И это делает GoGetSSL отчасти правыми в своих рассуждениях. Однако появился Let's Encrypt, но он никогда не получит SAN или Wildcard.
                    0
                    А как вы отличаете локальные домены от «глобальных», с учетом того что gTLD сейчас появляются как грибы после дождя?
                      0
                      А очень просто, локальный домены идут как .test, .example, .invalid, .localhost, .local, .lan, .priv, .localdomain
                      Можно так же выдать сертификат для IP адреса, для Интранета например
                        –1
                        Что именно вы имели ввиду под локальными? .ru, .lv,. kz,. ua? кстати для.рф сертификат тоже не проблема получить
                          0
                          Это из текста, там где про
                          SAN SSL-сертификаты
                            0
                            Так ведь там написано: «локальных доменов (.local)». Клиенты берут для Ms Exchange очень часто с .local, однако .local домены будут поддерживаться до 31 Октября 2015 года, после этого периода получить сертификат для них будет невозможно
                        0
                        Что это за сертификат https://nialtoservices.co.uk
                        Сколько здесь доменов? Плюс вайлдкард на поддомены. Как он при этом не EV?

                        Расскажите сколько у вас стоит EV-сертификат и какие требования. Как будет происходит верификация физического размещения компании в Москве? Достаточно ли юридического адреса и абонентского ящика, или это должен быть полноценный офис? Что если это компания из одного человека и юридический адрес это его квартира?

                          0
                          В нем вроде как перечисленны все алиасы…
                            0
                            Существуют Мульти-доменные EV сертификаты, они поддерживают до 200 доменов/субдоменов, но цены очень дорогие.

                            EV сертификаты у нас от 1700 рублей, а вот список требований:

                            1) Вам нужно будет заполнить два таких документа и отправить в центр сертификации
                            support.comodo.com/index.php?_m=downloads&_a=viewdownload&downloaditemid=59
                            support.comodo.com/index.php?_m=downloads&_a=viewdownload&downloaditemid=69

                            2) Если всё в порядке, то нужно будет пройти валидацию для адреса и телефона. Если в регистрационном удостоверении есть адрес вашей компании, то особых проблем не будет, если его там нет, то нужен будет например счет за электричество или за воду, при этом в счёте должно быть название Вашей компании. Так же название компании и все данные должны совпадать с Whois данными.

                            3) Для телефона, тут скорее всего попросят зарегистрировать Вашу компанию на одном из сайтов жёлтых страниц:
                            www.numberway.com/phone-numbers/7/
                            world.192.com/europe/russia

                            Так же они могут запросить данные о вашей компании в Регистре предприятий.
                            Если ваша компания зарегистрирована тут: www.dnb.com и имеет DUNS номер, то процесс всегда в 2 раза проще и легче.

                            В самом крайнем случае, Вас попросят заполнить специальный документ с данными Вашего сертификата и заверить подпись (!) нотариально, только подпись, а не текст.

                            Офис у вас или квартира, это уже не имеет значение, главное что вы существуете, фирма, существует и они за это ручаются.
                              0
                              Спасибо.

                              Как вы считаете, скоро ли умрет бизнес SSL-сертификатов? Когда, например, в браузерах появится поддержка DANE или других средств подписать сертификат через DNSSEC, или еще как-то?

                              Насколько, по вашему, безопасно существование CA, которым выдается такой кредит доверия? Сильно ли лобби крупных CA в части давления на разработчиков браузеров?
                                0
                                Пару месяцев назад, мы задавали себе такой же вопрос, ведь по сути, когда вы регистрируете свою компанию, Вас уже проверяет регистр предприятий, и он же мог бы выдать сертификат, но тут возникает вопрос к доверию, одно дело сертификат выданный Московским регистром предприятий, и другое дело Колыма :)

                                DANE и DNSSEC, вещи интересные, посмотрим как они будут работать на деле… Но у сертификатов есть преимущество перед всеми другими способами борьбы, это проверка вашего бизнеса, ведь EV сертификат, проверяет многое, наличие адреса, иногда банковского счёта, наличие телефона, тем самым помимо протокола безопасности и https://, конечный пользователь, может сделать выбор в пользу того сайта, где установлен сертификат, его наличие говорит, что вы как минимум потратились, у вас действительно есть фирма, это даёт минимальную но уверенность что с Вами можно иметь дело.

                                Так же, поступают новости что в HTTP 2.0 использованию SSL уделено не малое внимание

                                По опыту скажу, 99% всех случаев когда SSL скомпрометирован происходят по халатности владельцев сертификатов, разбрасываются ключами где-попало, плюс основные публичные скандалы, это ни что иное как любимые игры американских гигантов, это их любимое оружие, сначала вылить грязи, попытаться обесценить компанию и купить её.

                                Ведь тот факт что Symantec (Verising) владеет такими брендами как GeoTrust, Thawte, RapidSSL тоже не оставляет равнодушным.
                                  0
                                  одно дело сертификат выданный Московским регистром предприятий, и другое дело Колыма :)

                                  Предприятия в России регистрирует Федеральная налоговая служба. Какая разница какое его региональное управление зарегистрирует?
                                    0
                                    Везде люди, причём живые. В каждой стране свои стандарты, свой уровень коррупции. В этом плане, хороший пример это ЕГЭ, т.к. не важно где вы учились, стандарт оценки знаний един, но в рамках РФ. В Латвии, Конго, Китае он будет отличаться, именно поэтому нельзя будет всё привести к единому знаменателю. Сертификация SSL как раз и знанимается тем, что независемо от страны, требования едины.
                              0
                              Вайлдкад ЕВ быть не может по определению
                                0
                                Wildcard EV — да не существует, но есть Multi-Domain EV SSL которые способны защищать до 200 доменов или субдоменов
                              0
                              только мне кажется, что о необходимости SSL-сертификатов нужно рассказывать простым людям, а не специалистам IT?
                              Что бы именно они, пользователи, переставили открывать сайты по http, критически относились к сайтам с простыми сертификатами и так далее и тому подобное?

                              Сейчас (по моим нерепрезентативным наблюдениям), бизнес сертификатов — это междусобойчик из серии «о, круто, у него золотая цепь на шее, а вон у того — цепь толще, и плетение другое». И как уже озвучили пример paypal и прочих известных — никаких излишеств. Видимо, практического смысла в EV для бизнеса не так много, как это может показаться и могут преподносить. Практического, выраженного в «клиент ушел потому, что увидел, что доступ к сайту защищен простым сертификатом».
                                0
                                Зачастую, даже специалисты ИТ не имеют должного понимания. Очень часто сталкиваемся с реселерами, которые предлагают хостинг, домены и прочее. и просят нас установить им сертификат, и приходится обучать.

                                Пример с PayPal вы поняли не верно, сам PayPal и банки того человека используют EV сертификаты. А как же сертификаты для ПО? В случае, если цифровая подпись не найдена, Windows выдаст предупреждение, что у этой программы «Неизвестный издатель» и запускать её не рекомендуется. А это уже бьёт по карману, кто-то проигнорирует, а средние пользователи увидев предупреждение скорее не будут устанавливать.
                                  0
                                  К сожалению, сам не исследовал понимание специалистов IT и таких исследований не видел (может быть мимо меня прошли?).

                                  Но я убежден, что всё это должно идти под реальным давлением рынка (снизу) и подкрепляться деньгами. Если есть хостинг без ssl, значит его кто-то покупает? Кто? Почему он это делает? Почему пользователи не «голосуют рублём»?

                                  Ок, у www.paypal.com не просто замочек, а зелененький. Пример paypal снимаем.

                                  Не уводите, пожалуйста, диалог в удобную для вас тему.
                                  Покажите, как наличие EV-сертификата влияет на доход компании, в сравнении с простым сертификатом. Есть опубликованные исследования российского рынка?

                                  Пока нет цифр в деньгах, все такие рассказы воспринимаются и будут восприниматься как «маркетинговое бла-бла-бла».
                                  Кстати, при чтении статьи, у меня именно такое ощущение было. Но я, очевидно, не целевая аудитория, я эти различия понимаю.

                                  Еще раз хочу акцентировать о чем я пытаюсь сказать — вот эту разницу сертификатов нужно рассказывать в первую очередь людям, которые всем этим пользуются. Объяснять, почему на сайте PayPal и Озон и прочих замочек зеленый, а у каких-то онлайн магазинов или просто замочек или вообще нет. Почему платить через PayPal и Озон безопаснее, чем в непонятно куда. Поняв это, простые люди должны спрашивать у магазинов (или разворачиваться, и покупать на 100 рублей дороже, но в Озоне), магазины должны спршаивать комплексную услугу у хостинг-провайдеров, а хостинг-провайдеры уже становиться в очередь к вам на обучение, как составить типовые договора на свои услуги, какие проверки в каких реестрах осуществить, что бы для их клиента процедура получения EV-сертификата была не сложнее чем получение простого.

                                  Текущее «давление сверху» воспринимается скорее как «купите у нас крутую штуку, всем будет круто».

                                  И под занавае
                                  1. обратите внимание на сертификаты сайтов money.yandex.ru, money.mail.ru, visa.qiwi.com, check.webmoney.ru
                                  2. почему добавление сайта яндекса — суть «небольшой троллинг» :)
                                    0
                                    Ну это как такси с шашечками и просто бомбила )))
                                      0
                                      2. троллинг про то, почему яндекс сам себе не выдал EV?
                                        0
                                        тоже прекрасный вопрос, да
                                          0
                                          Тут как раз очень просто ответить. с 99% гарантией можно сказать, что Yandex не является регистратором первого уровня, тоесть они взяли суб-CA, от какого либо центра сертификации, например Comodo, Symantec, Unizeto, а при суб-CA, в большенстве случаев они разрешают подписывать только DV/OV SSL сертификаты, но не EV.

                                          Любой желающий, заплатив скажем 30,000 у.е. сможет выдавать собственные SSL сертификаты, на базе известных вендоров. Стоимость обычно от 30,000 — 500,000 у.е., всё зависит от цен на сами сертификаты, чем больше ваш взнос, тем ниже цены.

                                          Думаю Yandex взяли PKI management для своего бренда.
                                            0
                                            В дополнение скажу, возможно таким компаниям как Yandex, Webmoney и вовсе ненужны EV сертификаты, так как они более чем узнаваемы на рынке, и с точки зрения маркетинга EV им не даст ничего, никакого прироста.

                                            Однако, возможно (!), повторюсь, возможно… тем же Webmoney не дали EV сертификат, т.к. насколько я помню головная компания у Webmoney была в оффшоре, а для оффшора получить EV крайне сложно, лишь единицам это удаётся.
                                              0
                                              Да, у Яндекса идет от GTE CyberTrust Global Root.
                                              А при суб-CA, в большенстве случаев они разрешают подписывать только DV/OV SSL сертификаты, но не EV.

                                              Хм, это ограничивается какими-то параметрами сертификатов, т.е. например браузер не признает EV, если вышестоящий не имеет метки EV (по аналогии с Basic Constraints где нужно CA:True), или как?
                                                0
                                                В случае с Comodo, для работы EV нужен «COMODOExtendedValidationSecureServerCA.crt» а он подписан самим Comodo, тоесть на самом деле работать будет и с вашим брендом, но можно будет просто узнать что вы SUB-CA.

                                                но это у Comodo, Symantec же всегда более жёстко относился к таким вещам, но более маленькие бренды, думаю позволят вам иметь свой EV.
                                                  0
                                                  Добавлю, они используют вот это: www.tbs-certificates.co.uk/index.html.en

                                                  Common name: YandexExternalCA
                                                  Valid from January 17, 2007 to January 17, 2014
                                                  Serial Number: 120001525 (0x72713f5)
                                                  Signature Algorithm: sha1WithRSAEncryption
                                                  Issuer: GTE CyberTrust Global Root

                                      0
                                      Мне не очень понятно, каким образом вы продаёте, скажем, Comodo EV SSL за $139 вместо официальных $449? Откуда такая скидка?
                                        0
                                        Мы являемся стратегическим партнёром Комодо, а по факту крупнейшим реселлером их продукции. Мы продаём Comodo DV сертификаты всего зв 3.75$ в год, а EV можно попробывать на 1 год всего за 46.85$

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое