Diky za shrnuti:)<br><br><div class="gmail_quote">2011/9/7 zzzemfira89 <span dir="ltr"><<a href="mailto:zzzemfira89@gmail.com">zzzemfira89@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Ahoj.<br>
<br>
Takze "zelena lista" je extended validation, kde musis regtistratorovi<br>
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac<br>
vybavovania, co som pocul.<br>
<div class="im"><br>
> O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?<br>
<br>
</div>No praveze nie.<br>
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:<br>
subdomenu a korenovu domenu. Takze napriklad <a href="http://www.example.net" target="_blank">www.example.net</a> a<br>
<a href="http://example.net" target="_blank">example.net</a> . Takze potrebujes na kazdu subdomenu jeden.<br>
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability<br>
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre<br>
*.<a href="http://example.net" target="_blank">example.net</a> a je to take najkrajsie riesenie. Pod $30 za rok asi<br>
nezozenies, vacsinou to bude drahsie.<br>
<br>
Ako sa tu spominalo:<br>
<div class="im">> CA musi mit v prohlizeci tzv. root certifikat<br>
</div>Startssl root je na vsetkom (rozumne starom) co som mal v ruke.<br>
<div class="im"><br>
> Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!<br>
</div>No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na<br>
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len<br>
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a<br>
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS<br>
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute<br>
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak<br>
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS<br>
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,<br>
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako<br>
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri<br>
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze<br>
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa<br>
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam<br>
ten wildcard certifikat.<br>
<br>
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je<br>
zohnat *.<a href="http://example.net" target="_blank">example.net</a> wildcard certifikat. Trebars aj u Startssl, ak<br>
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre<br>
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke<br>
prehliadace bez TLS.<br>
<br>
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2<br>
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal<br>
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.<br>
Funguje to ako ma.<br>
<br>
Vela stastia,<br>
Matej Snoha<br>
<div><div></div><div class="h5"><br>
<br>
2011/9/7 Lukas Vana <<a href="mailto:fabian@fabian.cz">fabian@fabian.cz</a>>:<br>
> Jo to jsem udelal ve FF:).<br>
> Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti<br>
> potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi<br>
> stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe<br>
> "akorat" nevyskakuje warning, ze server ma self-signed certifikat?<br>
> Dik<br>
> 2011/9/7 Aleš Rippl <<a href="mailto:ales@rippl.cz">ales@rippl.cz</a>><br>
>><br>
>> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do<br>
>> aplikace ne certifikátu který si budeš generovat.<br>
>><br>
>> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)<br>
>><br>
>> Aleš<br>
>><br>
>> 2011/9/7 Lukas Vana <<a href="mailto:fabian@fabian.cz">fabian@fabian.cz</a>>:<br>
>> > Ahoj,<br>
>> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi<br>
>> > potreba mit certifikat podepsany nejakou CA, ne self-signed.<br>
>> > Dostal jsem doporuceni na <a href="https://www.startssl.com" target="_blank">https://www.startssl.com</a>, kde je i nejaka free<br>
>> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome<br>
>> > (<a href="https://www.startssl.com/?app=12" target="_blank">https://www.startssl.com/?app=12</a> > Express line), tak mi to zarve, ze<br>
>> > "Google Chrome does not handle client certificate enrollment correctly,<br>
>> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.<br>
>> > Bude<br>
>> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale<br>
>> > nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci,<br>
>> > aby<br>
>> > uzivatel mohl jejich certifikaty pak pouzivat?<br>
>> > Dik za info<br>
>> ><br>
>> > --<br>
>> > Lukas Vana (fabian)<br>
>> ><br>
>> > home page: <a href="http://home.fabian.cz" target="_blank">http://home.fabian.cz</a><br>
>> > jabber: <a href="mailto:fabian@fabian.cz">fabian@fabian.cz</a><br>
>> > irc: #czech@AfterNet, #penguin.cz@IRCNet<br>
>> > icq: <a href="tel:274000127" value="+420274000127">274000127</a><br>
>> ><br>
>> > _______________________________________________<br>
>> > Community-list mailing list<br>
>> > <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>> > <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>> ><br>
>> ><br>
>> _______________________________________________<br>
>> Community-list mailing list<br>
>> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
><br>
><br>
><br>
> --<br>
> Lukas Vana (fabian)<br>
><br>
> home page: <a href="http://home.fabian.cz" target="_blank">http://home.fabian.cz</a><br>
> jabber: <a href="mailto:fabian@fabian.cz">fabian@fabian.cz</a><br>
> irc: #czech@AfterNet, #penguin.cz@IRCNet<br>
> icq: <a href="tel:274000127" value="+420274000127">274000127</a><br>
><br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
><br>
><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Lukas Vana (fabian)
<br>
<br>home page: <a href="http://home.fabian.cz" target="_blank">http://home.fabian.cz</a>
<br>jabber: <a href="mailto:fabian@fabian.cz" target="_blank">fabian@fabian.cz</a>
<br>irc: #czech@AfterNet, #<a href="http://penguin.cz" target="_blank">penguin.cz</a>@IRCNet
<br>icq: 274000127 <br>