7 Sep
2011
7 Sep
'11
8:13 a.m.
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (
https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
7 Sep
7 Sep
8:17 a.m.
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
(https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:20 a.m.
Jo to jsem udelal ve FF:).
Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti
potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi
stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
"akorat" nevyskakuje warning, ze server ma self-signed certifikat?
Dik
2011/9/7 Aleš Rippl <ales(a)rippl.cz>
Já to od nich používám. Tato chyba se jedná problému
přístupu k nim do
aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
(https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci,
aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9:04 a.m.
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
vybavovania, co som pocul.
O tom omezeni vim, ale vetsina nam toho bezi na
domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat
pro tu domenu 2. radu, ze?
No praveze nie.
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
subdomenu a korenovu domenu. Takze napriklad www.example.net a
example.net . Takze potrebujes na kazdu subdomenu jeden.
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
*.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze
byt pouze JEDEN certifikat!
No toto je taky technicky problem. Nikdo ti
samozrejme nebrani mat na
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
Funguje to ako ma.
Vela stastia,
Matej Snoha
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
Jo to jsem udelal ve FF:).
Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti
potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi
stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
"akorat" nevyskakuje warning, ze server ma self-signed certifikat?
Dik
2011/9/7 Aleš Rippl <ales(a)rippl.cz>
Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
aplikace ne certifikátu který si budeš generovat.
Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
Aleš
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
(https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci,
aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9:10 a.m.
Diky za shrnuti:)
2011/9/7 zzzemfira89 <zzzemfira89(a)gmail.com>
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
vybavovania, co som pocul.
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
O tom omezeni vim, ale vetsina nam toho bezi na
domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit
certifikat pro tu
domenu 2. radu, ze?
No praveze nie.
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
subdomenu a korenovu domenu. Takze napriklad www.example.net a
example.net . Takze potrebujes na kazdu subdomenu jeden.
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
*.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT
muze byt pouze JEDEN
certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
Funguje to ako ma.
Vela stastia,
Matej Snoha
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
Jo to jsem udelal ve FF:).
Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy
ti
potom v browseru sviti zelene https v navigacni
liste. To je nejaky dalsi
stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
"akorat" nevyskakuje warning, ze server ma self-signed certifikat?
Dik
2011/9/7 Aleš Rippl <ales(a)rippl.cz>
>
> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
> aplikace ne certifikátu který si budeš generovat.
>
> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>
> Aleš
>
> 2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
> > Ahoj,
> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
free
> > verze, kde se nic neplati. Akorat kdyz
tam vlezu v Chrome
> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
ze
> > "Google Chrome does not handle
client certificate enrollment
correctly,
> > please use an alternative browser".
Coz ve me nevzbuzuje moc duveru.
> > Bude
> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
ale
> > nemusi mit certifikacni autorita nejakou
cast certifikatu v
prohlizeci,
aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
10:29 a.m.
Zdravim,
nedavno jsem nahodou narazil na https://www.cheapssls.com/
Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi"
bezpocnostnimi problemy.
S pozdravem,
Michal N.
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
Diky za shrnuti:)
2011/9/7 zzzemfira89 <zzzemfira89(a)gmail.com>
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
vybavovania, co som pocul.
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
O tom omezeni vim, ale vetsina nam toho bezi na
domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu
domenu 2. radu, ze?
No praveze nie.
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
subdomenu a korenovu domenu. Takze napriklad www.example.net a
example.net . Takze potrebujes na kazdu subdomenu jeden.
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
*.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT
muze byt pouze JEDEN
certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat
na
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
Funguje to ako ma.
Vela stastia,
Matej Snoha
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
> Jo to jsem udelal ve FF:).
> Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze,
> kdy ti
> potom v browseru sviti zelene https v navigacni liste. To je nejaky
> dalsi
> stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
> "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
> Dik
> 2011/9/7 Aleš Rippl <ales(a)rippl.cz>
>>
>> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
>> aplikace ne certifikátu který si budeš generovat.
>>
>> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>>
>> Aleš
>>
>> 2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
>> > Ahoj,
>> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
>> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
>> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
>> > free
>> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
>> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
>> > ze
>> > "Google Chrome does not handle client certificate enrollment
>> > correctly,
>> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
>> > Bude
>> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
>> > ale
>> > nemusi mit certifikacni autorita nejakou cast certifikatu v
>> > prohlizeci,
>> > aby
>> > uzivatel mohl jejich certifikaty pak pouzivat?
>> > Dik za info
>> >
>> > --
>> > Lukas Vana (fabian)
>> >
>> > home page: http://home.fabian.cz
>> > jabber: fabian(a)fabian.cz
>> > irc: #czech@AfterNet, #penguin.cz@IRCNet
>> > icq: 274000127
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list(a)lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>> >
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> --
> Lukas Vana (fabian)
>
> home page: http://home.fabian.cz
> jabber: fabian(a)fabian.cz
> irc: #czech@AfterNet, #penguin.cz@IRCNet
> icq: 274000127
>
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
10:42 a.m.
Hej no, Comodo si to zavaril pred casom.
Ale tak lepsie ako holandsky diginotar ci co to bolo, ze mozilla, microsoft a
google robili aktualizaciu prehliadacov preto, aby mu zrusili root certifikat.
Wildcard certifikaty tam vidim > $90/rok.
Ked tak pozeram to startssl, neviem ci to chapem zle, ale takto sa mi to javi:
Zaplatim $59 za Identity validation, ta plati rok
pocas toho roku mozem spravit kolko chcem certifikatov,
vratane wildcard a UCC a tie platia 2 roky od vydania a su uz zadarmo?
Ak s tym ma dakto skusenost piste :-). Ja som zatial len free mal u nich.
Matej Snoha
2011/9/7 Michal Navrátil <torgon(a)gmail.com>om>:
Zdravim,
nedavno jsem nahodou narazil na https://www.cheapssls.com/
Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi"
bezpocnostnimi problemy.
S pozdravem,
Michal N.
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
Diky za shrnuti:)
2011/9/7 zzzemfira89 <zzzemfira89(a)gmail.com>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ahoj.
Takze "zelena lista" je extended validation, kde musis regtistratorovi
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
vybavovania, co som pocul.
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
O tom omezeni vim, ale vetsina nam toho bezi na
domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu
domenu 2. radu, ze?
No praveze nie.
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
subdomenu a korenovu domenu. Takze napriklad www.example.net a
example.net . Takze potrebujes na kazdu subdomenu jeden.
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
*.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
nezozenies, vacsinou to bude drahsie.
Ako sa tu spominalo:
CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
Ale bacha na to, ze na jedny kombinaci IP:PORT
muze byt pouze JEDEN
certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat
na
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
ten wildcard certifikat.
Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
prehliadace bez TLS.
Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
Funguje to ako ma.
Vela stastia,
Matej Snoha
2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
> Jo to jsem udelal ve FF:).
> Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze,
> kdy ti
> potom v browseru sviti zelene https v navigacni liste. To je nejaky
> dalsi
> stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
> "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
> Dik
> 2011/9/7 Aleš Rippl <ales(a)rippl.cz>
>>
>> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
>> aplikace ne certifikátu který si budeš generovat.
>>
>> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>>
>> Aleš
>>
>> 2011/9/7 Lukas Vana <fabian(a)fabian.cz>cz>:
>> > Ahoj,
>> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
>> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
>> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
>> > free
>> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
>> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
>> > ze
>> > "Google Chrome does not handle client certificate enrollment
>> > correctly,
>> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
>> > Bude
>> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
>> > ale
>> > nemusi mit certifikacni autorita nejakou cast certifikatu v
>> > prohlizeci,
>> > aby
>> > uzivatel mohl jejich certifikaty pak pouzivat?
>> > Dik za info
>> >
>> > --
>> > Lukas Vana (fabian)
>> >
>> > home page: http://home.fabian.cz
>> > jabber: fabian(a)fabian.cz
>> > irc: #czech@AfterNet, #penguin.cz@IRCNet
>> > icq: 274000127
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list(a)lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>> >
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> --
> Lukas Vana (fabian)
>
> home page: http://home.fabian.cz
> jabber: fabian(a)fabian.cz
> irc: #czech@AfterNet, #penguin.cz@IRCNet
> icq: 274000127
>
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> 
8:18 a.m.
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se
prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces
mit jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se
koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
free verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (
https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment
correctly, please use an alternative browser". Coz ve me nevzbuzuje
moc duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se
v tom nevyznam, ale nemusi mit certifikacni autorita nejakou cast
certifikatu v prohlizeci, aby uzivatel mohl jejich certifikaty pak
pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz <mailto:fabian@fabian.cz>
irc: #czech@AfterNet, #penguin.cz <http://penguin.cz>@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:22 a.m.
Dik za info. Ty certifikaty od tech zminenych znamych firem jsou pekelne
drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze to
FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou
domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu
2. radu, ze?
Dik
2011/9/7 Ondřej Flídr <ondrej.flidr(a)seznam.cz>
CA musi mit v prohlizeci tzv. root certifikat, tedy
vec, podle ktery se
prokaze, ze danej certifikat webu je podepsanej spravne. Jestli chces mit
jistotu, jdi do verisign nebo thawte (ci jak se to pise), daj se koupit
treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (
https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing
listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
8:23 a.m.
Inac u godaddyho to nie je tak strasne, dakych $49 USD na rok, pouzivameho aj vo vpsfree
na prasiatku.
On Sep 7, 2011, at 10:22 AM, Lukas Vana wrote:
Dik za info. Ty certifikaty od tech zminenych znamych
firem jsou pekelne drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze
to FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou,
takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?
Dik
2011/9/7 Ondřej Flídr <ondrej.flidr(a)seznam.cz>
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery se prokaze, ze danej
certifikat webu je podepsanej spravne. Jestli chces mit jistotu, jdi do verisign nebo
thawte (ci jak se to pise), daj se koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi potreba mit
certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free verze, kde se
nic neplati. Akorat kdyz tam vlezu v Chrome ( https://www.startssl.com/?app=12 >
Express line), tak mi to zarve, ze "Google Chrome does not handle client certificate
enrollment correctly, please use an alternative browser". Coz ve me nevzbuzuje moc
duveru. Bude pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl
jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz
irc: #czech@AfterNet, #penguin.cz@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
8:25 a.m.
Cena ~500 za certifikát na rok u subregu je vysoká?
Nebo GoDaddy, nebo kdekoli jinde....
Dne 7.9.2011 10:22, Lukas Vana napsal(a):
Dik za info. Ty certifikaty od tech zminenych znamych
firem jsou pekelne
drahe. Na to, ze to potrebujeme na https pro Facebook aplikace, protoze
to FB bude od 1. rijna vyzadovat povinne je to docela palka.
O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro
tu domenu 2. radu, ze?
Dik
2011/9/7 Ondřej Flídr <ondrej.flidr(a)seznam.cz
<mailto:ondrej.flidr@seznam.cz>>
CA musi mit v prohlizeci tzv. root certifikat, tedy vec, podle ktery
se prokaze, ze danej certifikat webu je podepsanej spravne. Jestli
chces mit jistotu, jdi do verisign nebo thawte (ci jak se to pise),
daj se koupit treba pres ignum.
Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
certifikat!
Ondra Flidr
Dne 7.9.2011 10:13, Lukas Vana napsal(a):
--
Vaclav Dusek e-mail: Vaclav.Dusek(a)cz-pro.cz
Na Labisti 533 tel.: +420 606 718 997
530 09 Pardubice
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala
mi potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i
nejaka free verze, kde se nic neplati. Akorat kdyz tam vlezu v
Chrome ( https://www.startssl.com/?app=12 > Express line), tak mi
to zarve, ze "Google Chrome does not handle client certificate
enrollment correctly, please use an alternative browser". Coz ve
me nevzbuzuje moc duveru. Bude pak certifikat od nich fungovat i
pro Chrome? Moc se v tom nevyznam, ale nemusi mit certifikacni
autorita nejakou cast certifikatu v prohlizeci, aby uzivatel mohl
jejich certifikaty pak pouzivat?
Dik za info
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz <mailto:fabian@fabian.cz>
irc: #czech@AfterNet, #penguin.cz <http://penguin.cz>@IRCNet
icq: 274000127 <tel:274000127>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian(a)fabian.cz <mailto:fabian@fabian.cz>
irc: #czech@AfterNet, #penguin.cz <http://penguin.cz>@IRCNet
icq: 274000127
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:58 a.m.
Dne 7.9.2011 10:22, Lukas Vana napsal(a):
O tom omezeni vim, ale vetsina nam toho bezi na
domenach 3. radu pod
jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat
pro tu domenu 2. radu, ze?
Ne az tak uplne. Certifikat se vydava pro danou domenu, tj. certifikat
pro test.example.com a www.example.com se budou lisit a vzajemne nebudou
fungovat. Muzes si koupit tzv. wildchar certifikat pro *.example.com,
ale ty stojej vic nez pro primou domenu. Na druhou stranu tim podepises
vsechno na example.com bez problemu. Jo, je to drazsi sranda, ale vrati
se to (muzes tam pak mit treba eshop.example.com a lidi ti budou verit,
protoze je zelenej).
8:47 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Cau,
ted jsme na prasiatko kupovali certifikat pres GoDaddyho. Nechtelo se
nam znova matlat se startssl, chteli jsme to udelat poradne :)
Kolik to stalo se mrkni tu -
https://www.fio.cz/scgi-bin/hermes/dz-transparent.cgi?ID_ucet=2200041594
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz
On 09/07/2011 10:13 AM, Lukas Vana wrote:
Ahoj,
chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
potreba mit certifikat podepsany nejakou CA, ne self-signed.
Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome (
https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
"Google Chrome does not handle client certificate enrollment correctly,
please use an alternative browser". Coz ve me nevzbuzuje moc duveru. Bude
pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci, aby
uzivatel mohl jejich certifikaty pak pouzivat?
Dik za info
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk5nL6QACgkQdh+64ds5DabvsAD+PgxbEFZZDZ2lFvZsuLRBXq5n
It49YGlCcVVKZchmASAA/A43UNUXicWal/MgDPnxWzpL7PI5XoAcMBqBg+cYO6BW
=iNLX
-----END PGP SIGNATURE-----
4855
days inactive
4855
days old
community-list@lists.vpsfree.cz
12 comments
8 participants
participants (8)
-
Aleš Rippl -
Lukas Vana -
Michal Navrátil -
Ondřej Flídr -
Pavel Snajdr -
Tomas Srnka -
Vaclav Dusek -
zzzemfira89