• Наведение порядка: в Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
    0
    Друзья!

    Попробуем и мы, вставить свои 5-ть копеек :)

    Идет достаточно «грязная» игра в стиле «Американских партнеров» по разделу рынка. Да, Symantec обвинили в том, что были выданы сертификаты без должной проверки, и в этом есть вина. Однако данные сертификаты выпускали их сторонние агенты, а не сам Symantec, хотя допускать к выдаче сертификаты без пере-проверки не грамотно.

    Напомним, что уже не раз центры сертификации попадают под раздачу, но в случае с Symantec идет реальная травля, с первого дня, многие центры сертификации активно «спамят» весь мир и пытаются уговорить перейти к ним, а это очень низко. Вся эта акция была спланирована, заметим, что на сайте Comodo, предложение о переходе от Symantec появилось в течение суток. Вот уже 7 лет мы стратегический партнер Comodo, и с удивлением смотрим, как быстро они отреагировали, когда иногда решение более простых задач занимает неделю. Такое же было замечено от GlobalSign. Это косвенные факты, ничего более, скорее наше мнение.

    Теперь самое интересное, Google сам использует SUB-CA от GeoTrust, вот реальность:

    С первого дня, все грозились что завтра перестанут доверять GeoTrust, но как факт, единственные сертификаты которые не будут доверены, это те, что были выданы до 1-о Июня 2016 года, и отзывать их начнут 17-го апреля 2018 года. При этом сделав бесплатный перевыпуск, сертификат будет активен и далее. Не все так просто господа…

    Так же Google попросил перестроить процедуры выдачи и инфраструктуры. Это прекрасно, Symantec система, очень устарела, только на пользу, и тут ход конем, вместо того чтобы тратить усилия, они просто взяли DigiCert, с уже современной системой. Напомним, DigiCert заплатил чуть меньше миллиарда долларов Symantec, при это Symantec получит так же 30% от самой DigiCert, что сделает их на треть владельцами.

    В мая 2017 года, в результате обвала системы Comodo, были утеряны свыше миллиона сертификатов, и это осталось вне поля зрения, а это факт очень серьезный.

    Symantec возродится через время, и займет свое место на рынке. Их сервис по верификации сертификатов с проверкой компании был и остается сам грамотным на рынке.

  • Устанавливаем бесплатный SSL–сертификат StartSSL на облачный VPS от Infobox
    0
    Русская версия уже скоро будет, заканчиваем. Да, описана процедупа EV. на habrahabr.ru обычные сертификат с проверкой домена и зеленым замком
  • Устанавливаем бесплатный SSL–сертификат StartSSL на облачный VPS от Infobox
    0
    Спасибо большое :)

    Адресная строка идет только с сертификатами расширенной проверки (EV). Все остальные предоставляют просто зеленый замок. Вот список всех EV сертификатов

    Для РФ, процесс проверки будет такой:
    1. нужен будет ИНН номер для проверки наличия регистрации в nalog.ru
    2. подтверждение владением домена через э-почту, или HTTP Hash файл или DNS СNAME
    3. заполнение двух стандартных форм на получение сертификата
    4. и самое сложное, стадия «отзвона», когда Comodo делают звонок на ваш телефон. с Октября 2016 Comodo НЕ принимают желтые страницы yell.ru, поэтому есть лишь два варианта:
      • либо регистрация DUNS номера на dnb.ru, это стоит около 200у.е., однако плата одноразовая, а DUNS позволит в будущем получать любые сертификаты без особых проблем
      • заверение документа о наличие телефонного номера у Вашей ООО у нотариуса

    Будем рады ответить на любые вопросы…
  • Как я получал сертификат Code Signing от Comodo
    0
    Да, но регистрация в DUNS сейчас не бесплатна, дешевле к нотариусу…
  • Как я получал сертификат Code Signing от Comodo
    +1
    Дополнение:

    Офшоры — Забудьте в 99% случаев. Проблема лишь в одном, владельца компании попросят дойти до нотариуса той страны, где у вас офшор, а так как вас там нет, то увы! Исключением являеися ситуация, когда вы купили офшор с местным представителем, тогда он сможет это сделать за вас, однако это не дешево. Услуга нотариуса будет стоить не менее 100 у.е., услуга представителя еще больше.
  • Как я получал сертификат Code Signing от Comodo
    +1
    Друзья!

    Очень печально, что в Интернете все еще встречаются компании, которые не удосуживаются все объяснить клиенту по заказу, и тут даже Comodo не причем.

    Не знаем актуально или нет, но попробуем поделиться некоторыми очень интересными особенностями :)
    1. Первое, и самое важное, тип компании на которую хотите получить сертификат разработчика ПО.
      • Самые простые требования для ООО, АО, ЗАО. Существование компании проверят по ИНН номеру, а проверку номера телефона произведут через желтые страницы yell.ru (список сайтов для других стран тут: numberway.com), и DUNS не потребуется. Нюансы, если компания младше 3-х лет, то иногда могут попросить поход к нотариусу, но об этом чуть позже.
      • Физические лица и ИП (Индивидуальные предприниматели), это всегда сложно, как было сказано в статье автора, будут нужны и сканы паспорта и счет за коммунальные чтобы подтвердить адрес. Поход к нотариусу будет нужен в 90% случаев.

    2. Второе, это нотариус, и тут есть одна маленькая деталь, о которой все молчат, а точнее не знают. Comodo, не просит заверять ТЕКСТ документа, им лишь нужно чтобы нотариус заверил подпись человека. Иными словами, заверяют что именно Вася Петров подписал эту бумагу, а что в этой бумаге, это никого не волнует. На практике именно этот нюанс мешает выдаче сертификата, ибо нотариусы как огня боятся заверять данные.
    3. Процесс звонка. Для всех заказов потребуется проверка номере телефона, однако, это сертификат с проверкой компании, именно поэтому проверку будет осуществлять робот, а не живой человек как на заказах сертификатов с зеленой строкой. Так вот робот, может от звонить и по-русски, а это сильно упрощает задачу для тех кто не знает английского
    4. Возврат средств — серьезная компания всегда вернет деньги в течение 30-дней, и снова нюанс, всегда уточняйте с какого момента считать 30-дней, с момента заказа, или с момента выдачи сертификта. Поясню, деньги должны возвращаться в течение 30-дней с момента выдачи сертификата (!), а если не выдан, то вообще всегда.


    Будем рады помочь с консультацией, даже если заказ сделан не через нас :P
  • StartCOM: Certificate Transparency, бесплатные* EV SSL сертификаты
    +2
    Подвох достаточно простой. Данный сертификат можно получить лишь один раз для одного домена и на один год. Продление идет по обычной цене, около 100$. Продлевать или нет решать клиенту, это не обязательно. Задумка простая, начинающие проекты и сайты могут получить полноценный сертификат на первый год за весьма низкую цену. Как правило, процентов 90% продлевают потом обычным :)
  • Устанавливаем бесплатный SSL–сертификат StartSSL на облачный VPS от Infobox
    0
    Ааа :) Мы подумали про Comodo. StartSSL мог отозвать, т.к. они разрешают их использование для не коммерческих целей. Хотя сложно сказать, честно, об их методах нам не известно :)
  • Устанавливаем бесплатный SSL–сертификат StartSSL на облачный VPS от Infobox
    0
    Наугад никто ничего не отзывает. Значит на то были причины. Если предоставите номер заказа, мы уточним истенные причины. Как правило это Man in the middle, или ложные документы.
  • Переходим на HTTPS на Nginx: шпаргалка
    0
    Можно: www.gogetssl.com/comodo-ssl-certificates/comodo-instantssl-premium/
    Current SSL may secure IP address


    Выдать сертификат для IP или же для .local можно, но до 31октября 2015 года, это последний день, с 1-го ноября поддержки SSL для IP или .local уже не будет, ни у одного провайдера…
  • А как Вы передаете клиентам логины/пароли?
    0
    Проблема в том, что не установлен Comodo AddTrust.crt (Intermediate-CA), установите и проблем не будет.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Добавлю, они используют вот это: www.tbs-certificates.co.uk/index.html.en

    Common name: YandexExternalCA
    Valid from January 17, 2007 to January 17, 2014
    Serial Number: 120001525 (0x72713f5)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: GTE CyberTrust Global Root

  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    В случае с Comodo, для работы EV нужен «COMODOExtendedValidationSecureServerCA.crt» а он подписан самим Comodo, тоесть на самом деле работать будет и с вашим брендом, но можно будет просто узнать что вы SUB-CA.

    но это у Comodo, Symantec же всегда более жёстко относился к таким вещам, но более маленькие бренды, думаю позволят вам иметь свой EV.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    В дополнение скажу, возможно таким компаниям как Yandex, Webmoney и вовсе ненужны EV сертификаты, так как они более чем узнаваемы на рынке, и с точки зрения маркетинга EV им не даст ничего, никакого прироста.

    Однако, возможно (!), повторюсь, возможно… тем же Webmoney не дали EV сертификат, т.к. насколько я помню головная компания у Webmoney была в оффшоре, а для оффшора получить EV крайне сложно, лишь единицам это удаётся.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Тут как раз очень просто ответить. с 99% гарантией можно сказать, что Yandex не является регистратором первого уровня, тоесть они взяли суб-CA, от какого либо центра сертификации, например Comodo, Symantec, Unizeto, а при суб-CA, в большенстве случаев они разрешают подписывать только DV/OV SSL сертификаты, но не EV.

    Любой желающий, заплатив скажем 30,000 у.е. сможет выдавать собственные SSL сертификаты, на базе известных вендоров. Стоимость обычно от 30,000 — 500,000 у.е., всё зависит от цен на сами сертификаты, чем больше ваш взнос, тем ниже цены.

    Думаю Yandex взяли PKI management для своего бренда.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Везде люди, причём живые. В каждой стране свои стандарты, свой уровень коррупции. В этом плане, хороший пример это ЕГЭ, т.к. не важно где вы учились, стандарт оценки знаний един, но в рамках РФ. В Латвии, Конго, Китае он будет отличаться, именно поэтому нельзя будет всё привести к единому знаменателю. Сертификация SSL как раз и знанимается тем, что независемо от страны, требования едины.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Wildcard EV — да не существует, но есть Multi-Domain EV SSL которые способны защищать до 200 доменов или субдоменов
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Всё это конечно так, но вы забываете о простой связи между степенью узнаваемости бренда сертификата и уровнем продаж.

    На самом деле, никто Вас не заставляет покупать тот или иной сертификат, если Вы в этом не видите смысла, то он вам и не нужен.

    Статья была опубликована для тех, кто пользуется сертификатами и у кого есть в этом необходимость. Очень много людей к примеру у которых 5-6 своих сайтов и везде используют Wildcard, вот и проще использовать 1, а не 5. Мы не поднимали вопрос необходимости сертификата, и не приследывали идею пиарить SSL бизнес. Мы могли смело сказать что мы продаём сертификаты Comodo за 3 доллара в год и всё, вот и пиар, но речь шла именно об оптимизации своих сертификатов.

  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Мы являемся стратегическим партнёром Комодо, а по факту крупнейшим реселлером их продукции. Мы продаём Comodo DV сертификаты всего зв 3.75$ в год, а EV можно попробывать на 1 год всего за 46.85$
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Зачастую, даже специалисты ИТ не имеют должного понимания. Очень часто сталкиваемся с реселерами, которые предлагают хостинг, домены и прочее. и просят нас установить им сертификат, и приходится обучать.

    Пример с PayPal вы поняли не верно, сам PayPal и банки того человека используют EV сертификаты. А как же сертификаты для ПО? В случае, если цифровая подпись не найдена, Windows выдаст предупреждение, что у этой программы «Неизвестный издатель» и запускать её не рекомендуется. А это уже бьёт по карману, кто-то проигнорирует, а средние пользователи увидев предупреждение скорее не будут устанавливать.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Сумма гарантии SSL сертификата варьируется от 10.000$ до 1.500.000$, данная гарантия существует не для владельца сертификата, а для конечных пользователей/покупателей. Если посетитель/клиент пострадает от мошенничество (фрауда) и потеряет деньги, то центр сертификации обязуется выплатить компенсацию, вплоть до максимальной суммы гарантии. Тем самым посетитель получает гарантию, что находится не на «левом» домене.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Пару месяцев назад, мы задавали себе такой же вопрос, ведь по сути, когда вы регистрируете свою компанию, Вас уже проверяет регистр предприятий, и он же мог бы выдать сертификат, но тут возникает вопрос к доверию, одно дело сертификат выданный Московским регистром предприятий, и другое дело Колыма :)

    DANE и DNSSEC, вещи интересные, посмотрим как они будут работать на деле… Но у сертификатов есть преимущество перед всеми другими способами борьбы, это проверка вашего бизнеса, ведь EV сертификат, проверяет многое, наличие адреса, иногда банковского счёта, наличие телефона, тем самым помимо протокола безопасности и https://, конечный пользователь, может сделать выбор в пользу того сайта, где установлен сертификат, его наличие говорит, что вы как минимум потратились, у вас действительно есть фирма, это даёт минимальную но уверенность что с Вами можно иметь дело.

    Так же, поступают новости что в HTTP 2.0 использованию SSL уделено не малое внимание

    По опыту скажу, 99% всех случаев когда SSL скомпрометирован происходят по халатности владельцев сертификатов, разбрасываются ключами где-попало, плюс основные публичные скандалы, это ни что иное как любимые игры американских гигантов, это их любимое оружие, сначала вылить грязи, попытаться обесценить компанию и купить её.

    Ведь тот факт что Symantec (Verising) владеет такими брендами как GeoTrust, Thawte, RapidSSL тоже не оставляет равнодушным.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    1) Да, они включены во все root CA

    2) этот бренд знают все, ему верят и доверяют, на этом и базируется понятие надёжный. Symantec реже других был участником скандалов связанных с уязвимостями, это факт.

    3) Их сертификаты дают гарантию компенсации до 1,500,000$, и мало кто будет сомневаться что они не выплатят их, а вот мелкие CA могут и не выплатить, и кстати мелкие обычно предлагают не больше 10,000$, StartSSL даёт 10,000$, Comodo до 500,000$, и это тоже о многом говорит. Если StartSSL уверен в своей надежности, то почему только 10,000$? Значит ли это, что они не уверены что могут обеспечить достойную защиту?
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    +1
    На всё нужны инвестиции. Грубо говоря, вам нужно заплатить всем владельцам браузеров, мобильных телефонов, разработчикам/владельцам серверного обеспечения, чтобы они принимали Ваши сертификаты. Там фантастические деньги. А самое интересное, вам могут оказать, скажем Firefox скажет, с вами не хотим, и всё…

    Поэтому боюсь у StartSSL не всё очень хорошо, вложений много, а вот отдача скромная. Хотя у меня лично вызывают уважение, за то что обошли Digicert, Entrust, Unizeto, у которых и история богаче, да и финансирование другое.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Всё относительно, на рынке они уже 10 лет.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Это раньше, очень давно и то больше в Internet Explorer 6.0, сейчас это выглядит именно так.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    –3
    На самом деле нет, 19000 рублей это цена за Symantec (VeriSign) сертификаты, самые надёжные и качественные. Comodo, Thawte, GeoTrust на порядок дешевле
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Существуют Мульти-доменные EV сертификаты, они поддерживают до 200 доменов/субдоменов, но цены очень дорогие.

    EV сертификаты у нас от 1700 рублей, а вот список требований:

    1) Вам нужно будет заполнить два таких документа и отправить в центр сертификации
    support.comodo.com/index.php?_m=downloads&_a=viewdownload&downloaditemid=59
    support.comodo.com/index.php?_m=downloads&_a=viewdownload&downloaditemid=69

    2) Если всё в порядке, то нужно будет пройти валидацию для адреса и телефона. Если в регистрационном удостоверении есть адрес вашей компании, то особых проблем не будет, если его там нет, то нужен будет например счет за электричество или за воду, при этом в счёте должно быть название Вашей компании. Так же название компании и все данные должны совпадать с Whois данными.

    3) Для телефона, тут скорее всего попросят зарегистрировать Вашу компанию на одном из сайтов жёлтых страниц:
    www.numberway.com/phone-numbers/7/
    world.192.com/europe/russia

    Так же они могут запросить данные о вашей компании в Регистре предприятий.
    Если ваша компания зарегистрирована тут: www.dnb.com и имеет DUNS номер, то процесс всегда в 2 раза проще и легче.

    В самом крайнем случае, Вас попросят заполнить специальный документ с данными Вашего сертификата и заверить подпись (!) нотариально, только подпись, а не текст.

    Офис у вас или квартира, это уже не имеет значение, главное что вы существуете, фирма, существует и они за это ручаются.
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Это у вас что-то с Chrome:
    screencast.com/t/MH7KPWn0nnxP
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    –1
    Да вот при нажатии на такое Лого Вас перекинет на центр сертификации где будет информация о Вас, а с простой картинкой фокус не удастся

    А откуда 19,000 рублей? :) Когда EV сертификаты стоят от 1,800 рублей?
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    Так ведь там написано: «локальных доменов (.local)». Клиенты берут для Ms Exchange очень часто с .local, однако .local домены будут поддерживаться до 31 Октября 2015 года, после этого периода получить сертификат для них будет невозможно
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    –1
    Что именно вы имели ввиду под локальными? .ru, .lv,. kz,. ua? кстати для.рф сертификат тоже не проблема получить
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    –4
    Лукавить не буду, есть те кто не заглядывают, есть кто заглядывает. Просто говоря об Интернет магазинах, банках, они скорее смотрят есть ли зелёная строка или нет… Вообще Symantec провели исследование и выявили, что при наличии EV сертификата транзакции увеличиваются на 17%. Плюс так же брендовые сертификаты предлагают динамическое Лого с данными вашего сайта и компании, есть сканирование на уязвимости и многое другое…

    Ещё раз упомяну факт о 3% процентах рынка, которые пользуются StartCom. На практике скажу, у нас заказывают тысячами триальные сертификаты на 90-дней, делают тесты, и потом покупают нормальные сертификаты. Скажем 4$ за Comodo сертификат, это дешёво… Но Comodo более популярен, чем StartSSL
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    0
    А очень просто, локальный домены идут как .test, .example, .invalid, .localhost, .local, .lan, .priv, .localdomain
    Можно так же выдать сертификат для IP адреса, для Интранета например
  • Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
    –6
    Хммм… платят за тем, что очень важно кто подписал сертификат, когда его подписал StartSSL, то для конечного пользователя с кредиткой в руках это не аргумент, он скорее вспомнит о Thawte, Symantec, это более узнаваемые бренды. Второй момент, если всё так хорошо с бесплатными сертификатами, то почему доля рынка StartSSL всего 3%? Это ведь не много не мало, но тенденция показывает что все за платные сертификаты :)