SSL сертификаты. Помогите отыскать тропинку в дремучем лесу

    imageПривет.
    Столкнулся с проблемой выбора SSL сертификата для своего проекта. Тема оказалась обширная для меня на столько, что я просто не знаю с какой стороны подойти к её решению и поэтому хотел бы попросить знающих хабрапрактиков разжевать мне и коллегам по хабра-цеху (с подобным интересом) о всех тонкостях SSL сертификатах.

    «Что же с ними в действительности такое?»
    «Почему так велика разница в стоимости? От чего она зависит?»
    «Стоит ли уповать исключительно на цену, или есть серьёзные технические аспекты?»
    «Если я перейду от одного хостера к другому, сертификат потеряет силу?»

    К примеру, мой хостер предлагает несколько на выбор (цена за год):

    GeoTrust QuickSSL Premium Certificate — 5000 рублей
    RapidSSL Certificate — 800 рублей
    RapidSSL Wildcard Certificate — 8000 рублей
    Thawte SSL123 Certificate — 3000 рублей

    какой к примеру брать и почему?

    Заранее всех благодарю за понимание и содействие.
    Поделиться публикацией

    Комментарии 84

      +1
      А этот не пробовали?
      https://www.startssl.com/?lang=ru
        0
        Спасибо. У меня сразу упал взгляд на Free сертификат)) ушел вчитываться в остальные…
          0
          У меня этот сайт выдает окно с просьбой подтвердить сертификат. Т.е. у них самих он не подписанный )
          Я такими пользоваться не буду. Не подписанный я себе и сам сгенерю.
            0
            Их CA сертификат есть только в новых браузерах, вот и результат.
              0
              Opera 10 — совсем уже старая значит?..
                0
                Ну видимо таки да :)))
                  0
                  В файрфоксе все нормально.
                  0
                  В Google Chrome тоже ошибку выдаёт
                    0
                    В IE8 ошибка.
                      –2
                      Используйте FF :]
                        +2
                        используйте кривые сертификаты, используйте FF… что дальше?
                          –1
                          Сообщите свой адрес мы вышлем вам мыло и веревку.
                    0
                    У вас сертификат будет подписаный. Просто юзерам нужно будет импортировать их CA себе в компьютер.
                      +3
                      С тем-же успехом можно свой СА открыть, и попросить юзеров импортировать его сертификат в браузер. Бессмысленно.
                        0
                        Ну степень доверия больше. Если ваш сайт взломают, то могут дать ссылку на фейковый сертификат. А если подписан у кого-то, то уже так не сделаешь.
                          0
                          Да это так, но согласитесь, Элле Карловне из бухгалтерии глубоко все-равно. «Ой, тут у меня что-то вылезло!»
                            0
                            Ага, именно поэтому то что творится с сертификатами кроме как бардак назвать нельзя.
                  +1
                  Как тут подписаться на каменты? Только не смейся, но «Дремучий Лес» тоже хотел бы это узнать.
                    0
                    vodka-ru.habrahabr.ru/rss/blog/69079/cd715a7d88b7118d4fbfff742c2e32ee/
                    +7
                    Я брал <a href=«ssl.ru/ru/certificates/standart/'>тут. Конкретно RBC HC Gold на два года.
                    SSL сертификаты грубо можно разделить на три части:

                    Простой SSL сертификат — этот сертификат обычно знают все браузеры, но верху не пишется что мол такой-то компании пренадлежит (см. к примеру https://godaddy.com)

                    SSL сертификат расширенной проверки — так же знают все браузеры, но проводятся дополнительные проверки и в строке начинает писаться ваша компания как к примеру у godaddy.

                    wildcard SSL сертификат — выдается на *.domain т.е. может использоваться для всех поддоменов на домене.

                    Разница в цене на эти сертификаты зависит от авторизационного центра, но обычно все что дешевле 50 долларов не поддерживает все сертификаты. Вам лучше всего взять простой SSL сертификат. Он является самым дешевым и достаточнным вариантом

                    Из перечисленных вами это
                    RapidSSL Certificate — 800 рублей
                    Thawte SSL123 Certificate — 3000 рублей

                    Но первый у самого RapidSSL стоит 79 долларов, так что стоит уточнить, что это за сертификат такой.
                      +9
                      Знаю про SSL сертификаты все
                      Задавайте вопросы

                      По теме:

                      «Что же с ними в действительности такое?» — с ними все ок, минимальная цена сертификата — ~15$, дальше идут тупо накрутки

                      «Почему так велика разница в стоимости? От чего она зависит?» — от типа сертификата и бренда.

                      «Стоит ли уповать исключительно на цену, или есть серьёзные технические аспекты?» — технические. Например для мультисабдоменов как на хабре нужен wildcard сертификат, который дороже раз в 10-20, чем обычный

                      «Если я перейду от одного хостера к другому, сертификат потеряет силу?» — нет, сертификат принадлежит домену, common name
                        0
                        Где продаются самые недорогие и надежные?)
                        А сколько этих самых типов сертификатов?
                          +2
                          Самые недорогие — rapid ssl
                          Самые надежные — в чем измерять надежность — в битах или в сумме выплаты страховки за взлом?

                          Типов много — начиная от ssl для сайта, заканчивая для цифровых подписей официальных документов конторы (не в Этой Стране конечно)
                          Чем серьезнее серт — тем серьезнее проверка
                            0
                            А какие ресурсы или может быть книги посоветуете для ознакомления?
                            Поисковики не в счет)
                              +1
                              Вот, совсем просто, в виде FAQ.
                              –2
                              я где-то на Хабре читал, будто RapidSSL не очень безопасен
                                0
                                Ссылку в студию… Чтобы не быть голословным
                                  +2
                                    0
                                    Господа. Кто-то может прокомментировать это подробнее? Я недостатчно компетентен чтобы понять суть уязвимоси :(
                                      0
                                      Хэш-функция MD5 признана недостаточно надёжной для «серьёзного» применения. Доказано, что можно за относительно разумное время подобрать коллизию для этого хэша и на её основе подделать сертификат RapidSSL.
                                  –1
                                  Расскажите как на безопасность влияет название конторы.
                              0
                              Рекомендую ukrnames.com/certs/ssl_certificates.jsp
                              Сейчас акция на Thawte SSL123 — по 60 usd — вда такая цена только запросом через icq
                              Можно пополнить баланс на 50 usd и будут скидки и на домены и на ssl серты. Тот же RapidSSL по 20 usd сразу.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                Посмотрел — ошибка есть в FF. Просто предположу: что-то неладно с Certificate Authority 'YandexExternalCA' у сертификата на Яндекс.Деньгах. Конкретнее — сервер Яндекс.Денег не отдаёт CA-сертификат, в браузере YandexExternalCA вряд ли импортирован, вот оно и матюкается. НО! Яндекс.Почта этот самый YandexExternalCA предоставляет, он кэшируется в браузере и при следующем заходе на Яндекс.Деньги предупреждение видно скорее всего не будет (в FF по крайней мере так, поэтому у вас предупреждения и не видно — ваш FF уже знает про YandexExternalCA).

                                Детектил при помощи curl:
                                vk@cooper:~$ curl https://mail.yandex.ru/ -v
                                * About to connect() to mail.yandex.ru port 443 (#0)
                                * Trying 87.250.251.25... connected
                                * Connected to mail.yandex.ru (87.250.251.25) port 443 (#0)
                                * successfully set certificate verify locations:
                                * CAfile: none
                                CApath: /etc/ssl/certs
                                ...skip...
                                * Server certificate:
                                * subject: /C=RU/ST=Russian Federation/L=Moscow/O=OOO Yandex/OU=ITO/CN=mail.yandex.ru/emailAddress=mail-root@yandex-team.ru
                                * start date: 2008-10-29 11:29:46 GMT
                                * expire date: 2010-10-29 11:29:46 GMT
                                * common name: mail.yandex.ru (matched)
                                * issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
                                * SSL certificate verify ok.


                                curl попытался найти CA-сертификат локально в /etc/ssl/certs/, обломался и запросил Яндекс.Почту «А дайко мне свой CA, я его счас буду верифицировать». Сервер Яндекс.Почты отдал серт, всё ок, все рады.

                                Теперь Яндекс.Деньги:
                                vk@cooper:~$ curl https://money.yandex.ru/ -v --insecure
                                * About to connect() to money.yandex.ru port 443 (#0)
                                * Trying 213.180.204.32... connected
                                * Connected to money.yandex.ru (213.180.204.32) port 443 (#0)
                                * successfully set certificate verify locations:
                                * CAfile: none
                                CApath: /etc/ssl/certs
                                ...skip...
                                * Server certificate:
                                * subject: /C=RU/L=Moscow/O=OOO Yandex/OU=money.yandex.ru/CN=Yandex.Money
                                * start date: 2009-08-25 11:55:37 GMT
                                * expire date: 2011-08-25 11:55:37 GMT
                                * subjectAltName: money.yandex.ru matched
                                * issuer: /DC=ru/DC=yandex/DC=ld/CN=YandexExternalCA
                                * SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.


                                То же самое, локально сертификат не нашли, просим сервер нам дать — не даёт. Браузер тут выдаёт ошибку, curl идёт дальше ибо был пущен с опцией --insecure.

                                Вот как то так.
                                +1
                                вопрос 1: у кого покупать? так чтобы «браузер не ругался»

                                вопрос 2: почему такое большое количество коммерческих сайтов имеют сертификат на который ругается браузер? обычно это связано с вариациями www. и без него. Неужто всем владельцам сатов так плевать на то какой сертификат стоит, как он прописан и что за окна выскочат у пользователя, или есть какие то более серьезные причины?
                                  0
                                  1. Geotrust, поддерживается всеми доменами
                                  2. Да, им плевать на это, серьезных причин для редиректа с/на www — нет, а еще можно 2 сертификата или widcard
                                  0
                                  Я хочу чтоб
                                  1. На сертификат не ругались _современные_ браузера.
                                  2. Мобильные платформы мне не важны.
                                  3. Субдомены мне не нужны.
                                  4. Самое главное: Я хочу чтоб в адресной строки зелененьким светилось имя компании или название сервиса.
                                  Какой сертификат и у кого купить для этого? Сколько это стоит по минимуму? Как много документов и каких нужно будет собрать?
                                  Спасибо!!1
                                  +1
                                  startssl com дает бесплатный SSL-серт на год.
                                    0
                                    Любой из предложенных или только free?
                                      0
                                      Ну а почитать то? ;) Я себе сделал на сайт бесплатно SSLный серт. Работает ;) только при создании внимательно задавай host header, чтобы потом браузеры не ругались на несоответствие.
                                    0
                                    Я рекомендую сертификаты от GoDaddy.com. 13 долларов в год от authority, признанной практически всеми, весьма неплохая цена — тут скидка в правой колонке.
                                      0
                                      Они не воспринимаются IE6 и IE7
                                        +1
                                        Да ну? Никогда не видел проблем с ними. Официальный browser compatibility list начинается с IE 5.01. Пруф. У самого эти сертификаты установлены на нескольких сайтов. Чтобы проверить совместимость, на самОм godaddy.com поставьте https вместо http на любой странице.
                                          0
                                          Значит за год уже что-то поменялось.
                                            0
                                            Не вижу пояснения на самом сайте, это цена за первый год онли?
                                              0
                                              В выпадающем списке сертификатов для single domain показано, что цена $12.99 акционная, действует при любом сроке действия сертификата, т.е. от 1 до 5 лет. Скидка — $17 в год.

                                              По опыту рекомендую первый сертификат купить на 2 года. Год — мало, больше двух лет может быть неоправданно :)
                                            0
                                            Пример сервера с сертификатом GoDaddy:
                                            https://secure.snop.ru/
                                            проверил сейчас с IE8, FF3.5,Opera10,Safari4,Chrome2 (под Вистой) — никто не ругается.
                                            И это при том, что на сервере используется новая (относительно) фишка SSL — SNI (http://en.wikipedia.org/wiki/Server_Name_Indication), т.е. поддержка нескольких SSL-серверов на одном IP. Собственно для испытания этой возможности сертификат там и поставлен (а сервер на базе Eserv/4).

                                            В XP SNI не работает, и в линуксах не во всех, соответственно клиент не будет при установке SSL-соединения передавать имя хоста, поэтому сервер будет давать другой сертификат (который по умолчанию для того IP), и браузер будет ругаться.
                                              0
                                              Попробуйте зайти на этот сервер из Safari под Mac OS, там GoDaddy не котируется
                                          +3
                                          rapidsslonline.com 18 долларов в год за полноценный сертификат от Geotrust. Все, что дороже — развод на бабки.
                                          +2
                                          Непонятно, умеют ли сертификаты поддерживать не только www.mysite.com но и mysite.com? Кто нибудь сталкивался с таким вопросом?
                                            +1
                                            Поддерживает. Указывать надо именно mysite.com
                                            0
                                            Есть ещё один критерий, по которому большинство недорогих сертификатов имеют хорошие шансы пролететь — это поддержка их мобильными платформами.
                                              0
                                              А по code sign сертификатам есть у кого чего рассказать? Оно действительно надо? Когда? Поможет допустим «обойти» (в хорошем смысле этого слова) firewalls или UAC?
                                                0
                                                Нет не поможет. Оно нужно чтобы показывать что ваше ПО хорошее и троянов не содержит.
                                                  0
                                                  эм, а где связь?
                                                    0
                                                    Подписывание кода необходимо для избежания внедрения чего либо. Т.е. в ваш эталонный инсталлятор нельзя будет внедрить что-то без вашего ведома, так-как поменяется подпись. Ну и вместо желтой таблички это не известная штука, будет показываться имя компании в зеленой табличке.
                                                      0
                                                      ну например антивирусы не проверяют по умолчанию подписанный софт. ибо троянам сложно (но можно, помнится был скандал по поводу сертов от комодо в троянах) получить сертификат))
                                                      от UAC и firewalls это точно не спасет? там общие правила для всех
                                                      0
                                                      Не правда, например манифест для Vista/Win7 содержащий uiAccess=true будет работать если приложение имееет действительную цифровую подпись. И сертификат не доказывает что «ПО хорошее и троянов не содержит», он показывает что ПО от определенного производителя не изменилось ни кем пока дошло до вашего ПК, но что там внутри за код, никто не проверяет и за это отвечает только разработчики.
                                                        0
                                                        Я как бе дальше написал ага :)
                                                          0
                                                          Да я не обновил страницу перед ответом :). Но в том же вашем ответе: «так-как поменяется подпись» — что значит поменяется? Она станет не действительной.
                                                            0
                                                            Я могу запаковать с другой подписью :]
                                                              0
                                                              Да в этом случае подпись будет не от производителя, т.е. подпись поменяется :)
                                                                0
                                                                мне кажется 99% не смотрят на подпись, нет? т.е. нужно специально проверить, а не чужая ли подпись у файла?
                                                                  0
                                                                  Не знаю, возможно есть какие-то хаки, но по-моему никто в здравом уме не будет подписывать чужое, да еще и с трояном, приложение.
                                                                    +1
                                                                    Ну почему же. Можно настроить политики так что ПО с недоверенными подписями ставится не будет. Опять же в случае запаковки легетимным сертификатом какого либо вредностного ПО, его отзовут по первой жалобе.
                                                                      0
                                                                      но ведь 99% не настраивают политики?
                                                                        0
                                                                        99% процентов переходя с XP отключают UAC.
                                                                          0
                                                                          позвольте не согласиться. разве что пост-советское пространство. забугорщиков не так-то просто убедить отключить UAC, антивирус или файервол. Да и по логике вещей кто будет ставить защиту, а по каждой просьбе её отключать?
                                                                            0
                                                                            Я как раз про постсоветское пространство :)
                                                                              0
                                                                              ну, для постсоветского и подпись не так важна и сертификаты — половина софта крякнута, какие уж тут подписи…
                                                            0
                                                            т.е. я правильно понял, что подписывание софта избавляет пользователей от необходимости внесения исключений в файерволы, разрешает писать в Program Files и исключает прочие тупые вопросы в поддержку?
                                                          +1
                                                          С UAC может помочь — ищите инфу о манифестах, например вот для начала www.restuner.com/howto-insert-trust-info-manifest.htm
                                                            +1
                                                            0
                                                            ооо, очень больная тема и нормальных статей для чайников я не видел.
                                                            Так же интересует где брать?
                                                            Можно ли как то организовать подписку писем? (домена ?) щас связка postfix+dovecot Но планирую оставить postfix и MS Exchange (да знаю, а что делать ?)
                                                            Клиенты Outlook и Evolution

                                                            И если у кого то есть время, осветите это все!
                                                              0
                                                              Господа, пожалуйста, подскажите.
                                                              Я хочу сделать на своем сайте авторизацию по сертификату.
                                                              Для этого:
                                                              я генерирую сертификат организации;
                                                              генерирую сертификат http сервера;
                                                              подписываю сертификат сервера сертификатом организации (как я понимаю, эту часть и должны делать внешние CA);
                                                              генерю сертификаты клиентов;
                                                              и подписываю их сертификатом организации;

                                                              Все отлично, но браузер ругается на то, что сертификат самоподписанный.

                                                              В какое место этой цепочки необходимо вставить подпись CA?
                                                              Правильно ли я понимаю, что рассчитывать на сертификаты за 13-18 долларов для реализации этой схемы – не стоит?
                                                                0
                                                                не стоит. За 18 баксов сертификаты только для проверки доменного имени.
                                                                  +1
                                                                  Всё правильно делаете.
                                                                  Браузер и будет ругаться на то, что сертификат самоподписанный — потому что он ничего про ваш CA не знает (и никто из вышестоящих CA ему об этом не расскажет — тут, думаю, обьяснять не надо). При этом, несмотря на маты — соединение всё равно будет шифрованным.

                                                                  На самом деле вся эта пляска с сертификатами — выкачивание бабла, если интересует исключительно зашифрованное соединение — можно и самоподписанным обойтись. А всё остальное — понты в виде «зелёненькой надписи» и т.п. ИМХО излишне уже. По крайней мере для мелкого сервиса, который ломать никому в голову не придёт.
                                                                  Резюмируя: всё, что мельче какого нибудь Gmail или PayPal прекрасно обойдётся обычным self-signed сертификатом.
                                                                    0
                                                                    Вообще self-signed сертификат не защищает достаточно надёжно от man in the middle атаки, поэтому ценность для определенных применений равна 0. Для личного исопльзования такие сертификаты годятся, для остальных целй лучше потратиться и купить нормальный сертификат. Мы на своих проектах например используем сертификаты выписанные Thawte и пока никаких проблем не было.
                                                                  0
                                                                  Непоследний по известности сервис выдачи и поддержки сертификатов: CAcert.org.
                                                                    0
                                                                    Опять же неподдерживается ни одним браузером, и при этом отсутсвует проверка при выдаче сертификата.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое