Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12%C2%A0%3E Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jo to jsem udelal ve FF:).
Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
Dik
2011/9/7 Aleš Rippl ales@rippl.cz
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci,
aby
uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi poskytnut extra informacie o sebe. Je to drahsie a je s tym viac vybavovania, co som pocul.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
No praveze nie. Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci: subdomenu a korenovu domenu. Takze napriklad www.example.net a example.net . Takze potrebujes na kazdu subdomenu jeden. Existuju (platene) certifikaty, kde sa spomina Wild Card Capability pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat, aku domenu chce) tak mu server posle certifikat, ktory oznacis ako defaultny. Takze sifrovane to bude, ale mas varovanie ako pri self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2 subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu. Funguje to ako ma.
Vela stastia, Matej Snoha
2011/9/7 Lukas Vana fabian@fabian.cz:
Jo to jsem udelal ve FF:). Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe "akorat" nevyskakuje warning, ze server ma self-signed certifikat? Dik 2011/9/7 Aleš Rippl ales@rippl.cz
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12%C2%A0%3E Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Diky za shrnuti:)
2011/9/7 zzzemfira89 zzzemfira89@gmail.com
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi poskytnut extra informacie o sebe. Je to drahsie a je s tym viac vybavovania, co som pocul.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
No praveze nie. Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci: subdomenu a korenovu domenu. Takze napriklad www.example.net a example.net . Takze potrebujes na kazdu subdomenu jeden. Existuju (platene) certifikaty, kde sa spomina Wild Card Capability pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
certifikat! No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat, aku domenu chce) tak mu server posle certifikat, ktory oznacis ako defaultny. Takze sifrovane to bude, ale mas varovanie ako pri self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2 subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu. Funguje to ako ma.
Vela stastia, Matej Snoha
2011/9/7 Lukas Vana fabian@fabian.cz:
Jo to jsem udelal ve FF:). Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy
ti
potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe "akorat" nevyskakuje warning, ze server ma self-signed certifikat? Dik 2011/9/7 Aleš Rippl ales@rippl.cz
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
ze
"Google Chrome does not handle client certificate enrollment
correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
ale
nemusi mit certifikacni autorita nejakou cast certifikatu v
prohlizeci,
aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zdravim, nedavno jsem nahodou narazil na https://www.cheapssls.com/
Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi" bezpocnostnimi problemy.
S pozdravem, Michal N.
2011/9/7 Lukas Vana fabian@fabian.cz:
Diky za shrnuti:)
2011/9/7 zzzemfira89 zzzemfira89@gmail.com
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi poskytnut extra informacie o sebe. Je to drahsie a je s tym viac vybavovania, co som pocul.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
No praveze nie. Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci: subdomenu a korenovu domenu. Takze napriklad www.example.net a example.net . Takze potrebujes na kazdu subdomenu jeden. Existuju (platene) certifikaty, kde sa spomina Wild Card Capability pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat, aku domenu chce) tak mu server posle certifikat, ktory oznacis ako defaultny. Takze sifrovane to bude, ale mas varovanie ako pri self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2 subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu. Funguje to ako ma.
Vela stastia, Matej Snoha
2011/9/7 Lukas Vana fabian@fabian.cz:
Jo to jsem udelal ve FF:). Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe "akorat" nevyskakuje warning, ze server ma self-signed certifikat? Dik 2011/9/7 Aleš Rippl ales@rippl.cz
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12%C2%A0%3E Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Hej no, Comodo si to zavaril pred casom. Ale tak lepsie ako holandsky diginotar ci co to bolo, ze mozilla, microsoft a google robili aktualizaciu prehliadacov preto, aby mu zrusili root certifikat.
Wildcard certifikaty tam vidim > $90/rok.
Ked tak pozeram to startssl, neviem ci to chapem zle, ale takto sa mi to javi: Zaplatim $59 za Identity validation, ta plati rok pocas toho roku mozem spravit kolko chcem certifikatov, vratane wildcard a UCC a tie platia 2 roky od vydania a su uz zadarmo?
Ak s tym ma dakto skusenost piste :-). Ja som zatial len free mal u nich.
Matej Snoha
2011/9/7 Michal Navrátil torgon@gmail.com:
Zdravim, nedavno jsem nahodou narazil na https://www.cheapssls.com/
Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi" bezpocnostnimi problemy.
S pozdravem, Michal N.
2011/9/7 Lukas Vana fabian@fabian.cz:
Diky za shrnuti:)
2011/9/7 zzzemfira89 zzzemfira89@gmail.com
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi poskytnut extra informacie o sebe. Je to drahsie a je s tym viac vybavovania, co som pocul.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
No praveze nie. Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci: subdomenu a korenovu domenu. Takze napriklad www.example.net a example.net . Takze potrebujes na kazdu subdomenu jeden. Existuju (platene) certifikaty, kde sa spomina Wild Card Capability pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat, aku domenu chce) tak mu server posle certifikat, ktory oznacis ako defaultny. Takze sifrovane to bude, ale mas varovanie ako pri self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2 subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu. Funguje to ako ma.
Vela stastia, Matej Snoha
2011/9/7 Lukas Vana fabian@fabian.cz:
Jo to jsem udelal ve FF:). Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe "akorat" nevyskakuje warning, ze server ma self-signed certifikat? Dik 2011/9/7 Aleš Rippl ales@rippl.cz
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana fabian@fabian.cz:
Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (https://www.startssl.com/?app=12%C2%A0%3E Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces mit jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz mailto:fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz http://penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dik za info. Ty certifikaty od tech zminenych znamych firem jsou pekelne drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze to FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
Dik
2011/9/7 Ondřej Flídr ondrej.flidr@seznam.cz
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces mit jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Inac u godaddyho to nie je tak strasne, dakych $49 USD na rok, pouzivameho aj vo vpsfree na prasiatku.
On Sep 7, 2011, at 10:22 AM, Lukas Vana wrote:
Dik za info. Ty certifikaty od tech zminenych znamych firem jsou pekelne drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze to FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
Dik
2011/9/7 Ondřej Flídr ondrej.flidr@seznam.cz CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces mit jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz@IRCNet icq: 274000127 _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Cena ~500 za certifikát na rok u subregu je vysoká? Nebo GoDaddy, nebo kdekoli jinde....
Dne 7.9.2011 10:22, Lukas Vana napsal(a):
Dik za info. Ty certifikaty od tech zminenych znamych firem jsou pekelne drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze to FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
Dik
2011/9/7 Ondřej Flídr <ondrej.flidr@seznam.cz mailto:ondrej.flidr@seznam.cz>
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces mit jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se koupit treba pres ignum. Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat! Ondra Flidr Dne 7.9.2011 10:13, Lukas Vana napsal(a):Ahoj, chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed. Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat? Dik za info -- Lukas Vana (fabian) home page: http://home.fabian.cz jabber: fabian@fabian.cz <mailto:fabian@fabian.cz> irc: #czech@AfterNet, #penguin.cz <http://penguin.cz>@IRCNet icq: 274000127 <tel:274000127> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- Lukas Vana (fabian)
home page: http://home.fabian.cz jabber: fabian@fabian.cz mailto:fabian@fabian.cz irc: #czech@AfterNet, #penguin.cz http://penguin.cz@IRCNet icq: 274000127
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dne 7.9.2011 10:22, Lukas Vana napsal(a):
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
Ne az tak uplne. Certifikat se vydava pro danou domenu, tj. certifikat pro test.example.com a www.example.com se budou lisit a vzajemne nebudou fungovat. Muzes si koupit tzv. wildchar certifikat pro *.example.com, ale ty stojej vic nez pro primou domenu. Na druhou stranu tim podepises vsechno na example.com bez problemu. Jo, je to drazsi sranda, ale vrati se to (muzes tam pak mit treba eshop.example.com a lidi ti budou verit, protoze je zelenej).
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Cau,
ted jsme na prasiatko kupovali certifikat pres GoDaddyho. Nechtelo se nam znova matlat se startssl, chteli jsme to udelat poradne :)
Kolik to stalo se mrkni tu - https://www.fio.cz/scgi-bin/hermes/dz-transparent.cgi?ID_ucet=2200041594
Pavel Snajdr
+420 720 107 791
On 09/07/2011 10:13 AM, Lukas Vana wrote:
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Aleš Rippl -
Lukas Vana -
Michal Navrátil -
Ondřej Flídr -
Pavel Snajdr -
Tomas Srnka -
Vaclav Dusek -
zzzemfira89