[vpsFree.cz: community-list] Ziskani SSL certifikatu
Michal Navrátil
torgon at gmail.com
Wed Sep 7 12:29:34 CEST 2011
Zdravim,
nedavno jsem nahodou narazil na https://www.cheapssls.com/
Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi"
bezpocnostnimi problemy.
S pozdravem,
Michal N.
2011/9/7 Lukas Vana <fabian at fabian.cz>:
> Diky za shrnuti:)
>
> 2011/9/7 zzzemfira89 <zzzemfira89 at gmail.com>
>>
>> Ahoj.
>>
>> Takze "zelena lista" je extended validation, kde musis regtistratorovi
>> poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
>> vybavovania, co som pocul.
>>
>> > O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod
>> > jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu
>> > domenu 2. radu, ze?
>>
>> No praveze nie.
>> Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
>> subdomenu a korenovu domenu. Takze napriklad www.example.net a
>> example.net . Takze potrebujes na kazdu subdomenu jeden.
>> Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
>> pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
>> *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
>> nezozenies, vacsinou to bude drahsie.
>>
>> Ako sa tu spominalo:
>> > CA musi mit v prohlizeci tzv. root certifikat
>> Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
>>
>> > Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
>> > certifikat!
>> No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na
>> 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
>> na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
>> aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
>> v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
>> vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
>> zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
>> nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
>> aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
>> defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
>> self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
>> podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
>> chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
>> ten wildcard certifikat.
>>
>> Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
>> zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
>> nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
>> kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
>> prehliadace bez TLS.
>>
>> Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
>> subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
>> startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
>> Funguje to ako ma.
>>
>> Vela stastia,
>> Matej Snoha
>>
>>
>> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>> > Jo to jsem udelal ve FF:).
>> > Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze,
>> > kdy ti
>> > potom v browseru sviti zelene https v navigacni liste. To je nejaky
>> > dalsi
>> > stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
>> > "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
>> > Dik
>> > 2011/9/7 Aleš Rippl <ales at rippl.cz>
>> >>
>> >> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
>> >> aplikace ne certifikátu který si budeš generovat.
>> >>
>> >> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>> >>
>> >> Aleš
>> >>
>> >> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>> >> > Ahoj,
>> >> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
>> >> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
>> >> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
>> >> > free
>> >> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
>> >> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
>> >> > ze
>> >> > "Google Chrome does not handle client certificate enrollment
>> >> > correctly,
>> >> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
>> >> > Bude
>> >> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
>> >> > ale
>> >> > nemusi mit certifikacni autorita nejakou cast certifikatu v
>> >> > prohlizeci,
>> >> > aby
>> >> > uzivatel mohl jejich certifikaty pak pouzivat?
>> >> > Dik za info
>> >> >
>> >> > --
>> >> > Lukas Vana (fabian)
>> >> >
>> >> > home page: http://home.fabian.cz
>> >> > jabber: fabian at fabian.cz
>> >> > irc: #czech at AfterNet, #penguin.cz at IRCNet
>> >> > icq: 274000127
>> >> >
>> >> > _______________________________________________
>> >> > Community-list mailing list
>> >> > Community-list at lists.vpsfree.cz
>> >> > http://lists.vpsfree.cz/listinfo/community-list
>> >> >
>> >> >
>> >> _______________________________________________
>> >> Community-list mailing list
>> >> Community-list at lists.vpsfree.cz
>> >> http://lists.vpsfree.cz/listinfo/community-list
>> >
>> >
>> >
>> > --
>> > Lukas Vana (fabian)
>> >
>> > home page: http://home.fabian.cz
>> > jabber: fabian at fabian.cz
>> > irc: #czech at AfterNet, #penguin.cz at IRCNet
>> > icq: 274000127
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>> >
>
>
>
> --
> Lukas Vana (fabian)
>
> home page: http://home.fabian.cz
> jabber: fabian at fabian.cz
> irc: #czech at AfterNet, #penguin.cz at IRCNet
> icq: 274000127
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
More information about the Community-list
mailing list