StartCOM: Certificate Transparency, бесплатные* EV SSL сертификаты

    * (сама проверка до уровня EV остается платной)



    Либерализация глобальной инфраструктуры PKI не прошла мимо шестого по величине удостоверяющего центра StartCOM, любимого многими за «нетрадиционную» ценовую политику.

    Как известно, бизнес-модель израильской компании StartCOM отличается от других центров сертификации: клиент платит только за человеческий труд, при этом машинный труд (автоматизированные процессы) для клиента бесплатны. Также у StartCOM существуют 4 уровня идентификации, при этом выдача сертификатов «внутри» уровня сертификации неограничена и бесплатна (т.к. сама выдача сертификата — полностью автоматический процесс, а вот проверку данных клиента не во всех случаях удается поручить машине).

    Ранее эти правила распространялись на все классы идентификации, кроме EV: за каждый новый сертификат было необходимо доплатить еще 49.90 US$. Теперь этот сбор отменен, при достижении уровня EV клиент может выпустить неограниченное количество сертификатов, соответствующих данным EV. Цена EV-идентификации осталась неизменной и составляет 199.90 US$.

    По словам CEO StartCOM Eddy Nigg:
    HTTPS с «низкоуровневыми» DV SSL становится новым стандартом интернета, постепенно заменяя plain text ‘HTTP’; соответственно, новый ‘HTTPS’ (который должен выделяться, как 15 лет назад выделялся сам факт SSL-соединения — прим. перев.) должен быть защищен EV SSL. Мы осознаем важность EV SSL как стандарта для большинства коммерческих сайтов и ресурсов, работающих с критичной для пользователя информацией.


    Другой важной новостью стало внедрение Certificate Transparency — нового стандарта, исправляющего недочеты в системе PKI и предназначенного для борьбы с выдачей поддельных сертификатов для доменов путем ведения логов выдачи. Информация о записи в публичном журнале внедряется в сертификат; браузер (на текущий момент только Chrome) не отобразит «зеленую строку» без этой информации даже для EV-сертификата.
    При этом, в отличие от требований Google/Chrome, StartCOM будет вести логи для всех выданных сертификатов (а не только EV) на 3 различных серверах.

    Также — на случай если кто-то из хабровчан пропустил — у StartSSL теперь новый современный дизайн и появилась возможность получать сертификаты Class 1 на поддомены.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Какие бесплатные УЦ вы УЖЕ использовали на практике?

    Поделиться публикацией

    Комментарии 25

      0
      Какие бесплатные УЦ вы УЖЕ использовали на практике?

      CACert?
        0
        Корневой сертификат CACert не является общепризнанным (читай: не работает на 99% устройств), поэтому он не рассматривается.
          0
          Голосование в мобильной версии не увидел… https://letsencrypt.org/
          0
          А вы по-прежнему не выдаете бесплатные сертификаты для доменов третьего уровня?
            0
            Я не выдаю общепризнанные сертификаты :) и со StartCOM, кроме симпатии, никак не связан.
            Касательно доменов 3го уровня — об этом написано в статье, с недавних пор это стало возможным (я лично заметил в декабре, ЕМНИП). Для широко распространенных доменов вида domain.co.uk, domain.pp.ua, domain.org.ru сертификаты выдавались с самого начала.
            +2
            Я правильно понимаю, что Class 1 (Domain Validated) теперь можно выпускать для любых целей, в том числе для сайта компании?
              0
              Не уверен. В ноябре я хотел получить сертификат для "начинающего" интернет-магазина, в выдаче было отказано с мотивацией "коммерческий сайт". Пришлось использовать WoSign.
              В ближайшее время я опубликую статью со сравнением бесплатных сертификатов, там этот вопрос постараюсь раскрыть подробнее.
                0
                CPS обновлён 23.03.2016 и в нём это прямо не запрещено, но есть подозрительная фраза про выпуск Class 1 для individual и его определение можно трактовать по-разному.
                  0
                  интересный документ, надо изучить подробнее.
                  По теме — нужно будет проверить, иначе остается только гадать.
                    0
                    upd: мне выдали без проблем для явно коммерческого сайта.
                    + теперь допускается 4 субдомена в дополнение к основному домену, можно самому выбрать common name (о чем уже писали ниже).
                +6
                Давным давно вел жаркий спор с Эдди Нигом по поводу чересчур хитроумно закрученных услуг (тогда до валидации EV надо было пройти еще две последовательные платные валидации физлица и юрлица), после чего навсегда вычеркнул StarCOM из своего списка. Да, в определенной конфигурации их сертификаты выходят сильно дешевле, но практически любое утверждение этого сервиса не являлось правдой на 100%. И про "неограниченность" не ложь, но и не совсем правда, и про "бесплатность", и про "только машинный труд" хотя бы потому, что валидации физлица, юрлица и EV надо подтверждать за деньги каждый год. Еще, помнится, я возмущался одним возможным code signing сертификатом, который, спасибо громадное, действительно дешевле чем у других СА, но почему бы честно не написать "Выдаем 1 (один) code signing сертификат"? Зачем писать "неограниченно", когда ограничения есть?
                Бизнес-модель StarCOM совершенно легитимна, не поймите превратно. $199 за EV, плюс попутно доменные wildcards, плюс code signing и персональные сертификаты — отличнейшая цена! Но они должны открыто, внятно, без продирания через FAQ и разночтений, написать, что это цена услуги за один год сервиса, а не нести пургу про полную неограниченность. Что "немашинного" случится на следующий год, когда Васе Пупкину потребуется ре-валидация? Я уже не спрашиваю зачем она, собственно, нужна вместо взимания честной абонентской платы.
                  +1
                  С появлением GoGetSSL по ценам всё не так однозначно и верификация у Comodo проще.
                    0
                    https://www.gogetssl.com/extended-validation/comodo-trial-ev-ssl/ за 46$ — в чем подвох? слишком дешево для EV
                    Вообще я у GoGet чаще всего беру коммерческие сертификаты, когда надо быть уверенным в том, что завтра серт не отзовут...
                      0
                      На один год и один домен.
                        0
                        а продление по такой же цене? и в чем тогда отличие от https://www.gogetssl.com/extended-validation/comodo-ev-ssl/, кроме 2 лет?
                        Так-то есть смысл брать EV для более-менее серьезных проектов по такой цене...
                          0
                          Существенной разницы скорее всего нет. Comodo демпенгует и выпускает идентичные сертификаты под разными брендами (PositiveSSL, InstantSSL, GGSSL). Почитайте посты и комментарии gogetssl, он писал много интересного.
                        +2
                        Подвох достаточно простой. Данный сертификат можно получить лишь один раз для одного домена и на один год. Продление идет по обычной цене, около 100$. Продлевать или нет решать клиенту, это не обязательно. Задумка простая, начинающие проекты и сайты могут получить полноценный сертификат на первый год за весьма низкую цену. Как правило, процентов 90% продлевают потом обычным :)
                      0
                      согласен с вами. Хотя сейчас у них на главной все расписано более подробно, подводные камни все же есть.
                      0
                      То есть в сертификатах от startssl.com уже можно указать и поддомены? Помню ранше давали только для www
                        0
                        Да. Там вроде можно 1 любой подменен. Я так ещё года 2 назад получал сертификат на site.ru и app.site.ru
                          0
                          теперь еще в дополнение к сертификату на site.ru и app.site.ru можно получить второй сертификат на mobile.site.ru, правда для субдомена необходимо прописать МХ-записи для валидации через почту.
                            +1
                            Только сегодня продлевал, можно 5 поддоменов указать:

                            The first entry domain will be the common name of the certificate.
                            You can enter up to 5 hostnames, one line one hostname with «Enter» or separate each hostname with a comma.
                          0
                          Раньше вроде бы StartCOM-овский корневой серт знали не все браузеры/устройства, сейчас таких косяков нет?
                            0
                            Насколько я знаю — ~99% современных ОС/Браузеров считают его доверенным. Часть legacy-устройств могут еще работать в сети.
                            Для особо важных проектов лучше взять VeriSign/Comodo.

                            Лично у меня лишь один раз iPhone не захотел принимать сертификат «от StartCom» при попытке аутентификации в WPA2Enterprise Wi-Fi — сети (пишу в кавычках, т.к. не уверен, что это не был какой-то «похожий» самоподписанный сертификат). При обычном браузинге проблем никогда не возникало ни на одном устройстве/ОС.
                              0
                              Файрвол в одном из банков его не принимал (Palo Alto, Blue Coat или что-то этого класса), но там сложно понять сам банк удалил CA из доверенных или производитель железки не добавил.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое