StartSSL или как избавиться от самоподписанных сертификатов

[bondbig]

пользуюсь с год наверное. Замечательный сервис. Как-то странно, что тут его не пропиарил еще никто )

[syncer]

Сам удивился, но вот собрался и написал, думаю многим пригодится. Несколько лет назад искал что-то подобное но тогда такого не было. Сейчас довольный как слон :)

[polosatij]

Встрелил странную особенность с ними. Бывает что нет-нет попадаются клиенты/ жалобы, о том что сертификат в том же Google Chrome не поддерживается. Хотя на моей машине работает. Не попадалось?

[syncer]

пока не попадалось. Не уверен, но может быть хром не использует своей базы CA, а использует системную, и если там нет Starcom CA, то может быть такой вот косяк. Как я сказал это только мои догадки

[kljaver]

Так, наверное.

[syncer]

В линуксе я так вставлял сертификат для вебмани, работает.
Их сертификат я тоже поставил таким образом, но не работает

[Naddaka]

Пытался зарегится и мне сразу сказали, что на Хроме это не получится.

[syncer]

да есть такое дело, у хрома туго пока с авторизацией по клиентским сертификатам.
хотя вебмани лайт работает, и на том спасибо

[Naddaka]

И так, по-доброму: «...please use an alternative browser!»

[ColorPrint]

под линухом не работает авторизация по сертификатам (и в частности в WM Light) в хроме…
под виндой когда проверял с год назад вроде тоже не работало, может уже и сделали…

[librarian]

Работает нормально, просто сертификат нужно импортировать в базу сертификатов

[Anton_Shevtsov]

4 года под линухом сижу — все работает

[ColorPrint]

насколько я помню про этот баг писали и даже не один багрепорт )
раньше ошибку просто выдавало при попытке зайти в кипер лайт по сертификату, сейчас проверил — просто обратно на страницу логина возвращает

[ColorPrint]

о, а с хромиума зашел сейчас ) отлично.

[EKrava]

работает все под linux норм.
работало еще 2007-2008 году.

[alrond]

Бесплатный вариант привлекателен, но зачем полтинник, когда есть rapidssl почти в два раза дешевле

[syncer]

Если не ошибаюсь, то там за каждый сертификат надо платить. А тут за проверку личности. сертификатов можно заказать сколько надо.

[alrond]

А вот это отличие! спасибо :)

[farcaller]

Кстати их менюшки в Safari не работают, приходится свой ключик из кейчейна в фф перегонять. А вообще – замечательный сервис для заворачивания в ssl всяческий внутренних сервисов.

[habraname]

zanuda mode on
«самоподписанный» пишется слитно
zanuda mode off

[syncer]

Спасибо, поправил, спеллчекер хрома, думал иначе

[wholeman]

Не полагайтесь на спеллчекеры — вот ещё несколько примеров: вообщем, навозиться, нетривиально… ;)

[syncer]

Ну в этом вопросе только на них полагаться и приходиться. Мои познания в русской грамматике минимальны

[k0t0vich]

туда же:
на возиться

[k0t0vich]

Вот напишет кто-нибудь, то же самое, позже, но веткой повыше, сразу минуса. Господа минусующие, рядом сником комментатора стоит дата и время поста. Просто обидно в который раз получать минуса, якобы за баян.

[Sergey1]

А есть ли бесплатные сертификаты, которые воспринимаются Java?

[syncer]

Вроде бы они подходят
forum.startcom.org/viewtopic.php?t=1390
Но я не пробивал, врать не буду.

[Sergey1]

возиться на пользовательских машинах с keytool'ом?.. а как-нибудь это можно обойти?

[syncer]

почитал я тот тред про яву, для подписи апплетов надо пройти проверку личности, таковы требования.
Code signing certificates which are used to sign applications require by the software vendors to be identity or organization validated. For more information see for example the Mozilla CA Policy section 7. For this reason Code Signing certificates are only available in the Class 2 settings and higher.

[silvergh0st]

Хм… Поставил их серт на nginx на свой сервер. Хром и ФФ под Убунтой 10.04 ругаются на него, что не известный CA. Так и должно быть или я чего-то из статьи не понял?

[syncer]

до nginx у меня руки еще не дошли.
Но думаю вы что-то не то сделали.

[syncer]

Специально для Вас
установил на nginx
https://ifolder.iuns.at/
у меня хром и фф в opensuse 11.3 все как надо.

[kljaver]

Chromium 6 в Ubuntu 10.04 тоже нормально. Здорово. Попробую.

[subn0wa]

На Win7 и Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10

ifolder.iuns.at использует недействительный сертификат безопасности.
К сертификату нет доверия, так как сертификат его издателя неизвестен.
(Код ошибки: sec_error_unknown_issuer)

[syncer]

наверное это тот случай о котором говорилось ранее.
линукс все ок, что конечно странно

[DLag]

Та же проблема.

Это главный минус всех новых центров сертификации, многие браузеры их не знают.

[syncer]

Только вот странно что один и тот же браузер ведет себя иначе в зависимости от платформы.
Надо буде покопать на эту тему

[DLag]

Видимо в разных релизах сертификаты центров могут различатся, где-то добавили где-то нет.
К томуже Chromium довольносильно отошел от Chrome для Windows.
Да, марка одна, но фактически это разные браузеры, которыми занимаются разные люди.

[syncer]

Ну да для хромиума понятно, я про фаерфокс говорю.
В линуксе то он считает этот сертификат валидным.

[ni4]

Браузер проверят сертификаты по системным наборам рутовых сертификатов. Т.е. все зависит от системы.

[syncer]

Извиняюсь. Я натупил с конфигурацией nginx(спать надо а не ссл по ночам к nginx прикручивать :)).
Дело в том что в nginx нет отдельной директивы для подключения ca-bundle(цепочки сертификации).
и надо конкатенировать сертификат и файл цепочки.

[alrond]

XP + safari = ok
XP + chrome = ok
XP + IE6 = ok
XP + firefox = bad
XP + firefox = ok для самого сайта https://startssl.com
Ubuntu + firefox = ok
Ubuntu + opera = ok
Ubuntu + reconq = bad
Ubuntu + reconq = bad для https://startssl.com

[kmua]

Opera Linux

[syncer]

тоже опера и тоже линукс


у вас просто ошыбка ocsp, заглючило их ocsp видать

[ProstoTyoma]

Когда в первый раз ставил сертификат с этого сайта на апач, забыл прописать в конфигах два сертификата самого StartSSL. Без этого не работало.

[syncer]

ca-bundle как правило везде надо, ну как минимум тот же godaddy требует указать его в конфиге апача.
Как я писал, сначала оно вовсе не очевидно все, но как разберешься, то ставиться все достаточно быстро

[nshopik]

Они еще выдают сертификаты для подписи/шифрования почты (S/MIME).

[lestatbbk]

а где взять их ca-bundle?

[syncer]

www.startssl.com/certs/
почитайте инструкции по установке у них на сайте.
там вроде все понятно

[StrangeAttractor]

некоторый процент обязательно позвонит к вам что бы сообщить что у них ошибка «что-то про сертификат».

И хорошо. Это тот процент юзеров, которые не жмут тупо «да» во всех всплывающих сообщениях.

По существу, IMHO, поднять свой CA и импортировать один раз на всех машинах. Наверняка можно сделать MSI/DEB/RPM пакеты для этого и автоматизировать.

[syncer]

Согласен с вами по поводу юзеров.
По поводу собственного CA, это правильно и приемлемо в пределах одной организации.

[CLaiN]

А где купить нормальный вайлдкард по вменяемой цене?

[ColorPrint]

www.namecheap.com/learn/other-services/cheap-comodo-ssl-certificates.asp
тут за 120$ есть например

[alrond]

Ну так у этих же и есть за 49$

[catharsis]

у godaddy собирались купить wildcard, но потом забили и купили на один домен, стоило где-то $25 за год.

[syncer]

25$ за один сертификат.
у этих 49$ за проверку личности, и можете себе наделать хоть wildcard хоть multi-domain. сколько надо.

[Nastradamus]

Информация мега-полезная для меня! Автору огромное спасибо.

А кто-нибудь проверял на postix, courier с клиентами Thunderbird, Outlook под разными виндами?
И кто знает, в почтовых клиентах при SSL шифровании пароль шифруется?
Просто никогда не прикручивал шифроване к почте…

[syncer]

я проверял dovecot+postfix правда только c Thunderbird

[4vanger]

Использую их. Про позитивное уже много раз сказали. Из негатива — один раз не мог зайти за свой сайт по https, потому что их центр проверки (не знаю как правильно называется) не откликался. Прошло часа через полтора.

[syncer]

OCSP заглючило. Выше есть скриншот из оперы с этой ошибкой. но это не критично.
Так или иначе за халяву приходиться платить :)

[TiGR]

Эмм… А продление — тоже бесплатное?

[syncer]

Ну по идее да. по крайней мере ничего об его оплате я не нашел.
Сертификат валиден 1 год, если прошли проверку личности то 2

[catharsis]

продления как такового нет, выдается новый сертификат, никак не связанный с прежним.
Другое дело, они могли бы на один домен давать только один бесплатный сертификат, так например делает COMODO со своим трехмесячным триалом

[syncer]

[catharsis]

однозначно хороший сервис, даже если бы он был без продления :)

[catharsis]

не охота там сейчас регистрироваться, расскажите, они так же делают проверку по Administrative contact email домена? я только в godaddy покупал сертификат, и там обработка запроса заняла несколько часов. Вероятно, они вручную проверяли, не прошу ли я сертификат для чего-то типа m1cros0ft.com.

Также можно упомянуть, что Extended validation (зеленая адресная строка) доступен в StartSSL за $150 за два года, что вроде бы тоже недорого. А дополнительные сертификаты расширенной проверки всего по $50 за штуку (не знаю много людей, которым может понадобиться несколько EV сертификатов, кроме мошенников, конечно)

[syncer]

Сначала проверяют домен, письмом на емейл hostmaster@ postmaster@ или Administrative contact email.
При выпуске самого сертификата, там есть ручная проверка, до 3 часов, но как правило больше 1 часа у меня она не продолжалась. по поводу EV — проверяют компанию, а компания может уже выпускать сколько надо сертификатов.

[gnomeby]

>> Нельзя создавать wildcard сертификаты а также сертификаты валидные для нескольких доменов/субдоменов.

А в чём у них разница?

[syncer]

wildcard валиден для *.example.com
multi domain валиден например для www.example.com, webmail.example.net, my.example.org

[bezgubov]

а почему мне во всех браузерах при переходе на https://auth.startssl.com/ почти каждый раз отвечает
«Ошибка 117 (net::ERR_BAD_SSL_CLIENT_AUTH_CERT): Недопустимый сертификат SSL для аутентификации клиента»

это временная проблема или что-то не так у меня?

[syncer]

У Вас установлен клиентский сертификат?

[bezgubov]

видимо нет, я просто прошел регистрацию и пытаюсь авторизоваться. можете ткнуть где написано, что мне нужно сделать чтобы не получать такую ошибку?

[syncer]

какой браузер вы использовали для регистрации?
После валидации вам должны были выдать клиентский сертификат, как на webmoney light например.
его надо установить в браузер.

[bezgubov]

регистрируюсь в firefox'е (Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10) в какой момент мне должны выдать этот сертификат? просто мне сейчас пришел отлуп регистрации, видимо из-за того, что я попытался зарегистрировать свою контору :) хотя кроме как по имени/фамилии определить нельзя, довольно странно, вдруг у меня не стандартные фио :)

[syncer]

После регистрации должны выслать код, после ввода этого кода, должна быть процедура создания клиентского сертификата. Смутно помню если честно, но как-то так.

[bezgubov]

да, спасибо разобрался, сертификат устанавливается после подтверждения реги. все настроил, все работает, клево.

[macik]

Народ, подскажите где искать ошибку.
мне на команду openssl s_client -starttls smtp -showcerts -connect localhost:25 выдает ошибку:
7320:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:601:

Где искать причину?