[vpsFree.cz: community-list] Ziskani SSL certifikatu

zzzemfira89 zzzemfira89 at gmail.com
Wed Sep 7 11:04:58 CEST 2011 

Ahoj.

Takze "zelena lista" je extended validation, kde musis regtistratorovi
poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
vybavovania, co som pocul.

> O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu domenu 2. radu, ze?

No praveze nie.
Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
subdomenu a korenovu domenu. Takze napriklad www.example.net a
example.net . Takze potrebujes na kazdu subdomenu jeden.
Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
*.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
nezozenies, vacsinou to bude drahsie.

Ako sa tu spominalo:
> CA musi mit v prohlizeci tzv. root certifikat
Startssl root je na vsetkom (rozumne starom) co som mal v ruke.

> Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN    certifikat!
No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na
1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
ten wildcard certifikat.

Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
prehliadace bez TLS.

Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
Funguje to ako ma.

Vela stastia,
Matej Snoha


2011/9/7 Lukas Vana <fabian at fabian.cz>:
> Jo to jsem udelal ve FF:).
> Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy ti
> potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi
> stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
> "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
> Dik
> 2011/9/7 Aleš Rippl <ales at rippl.cz>
>>
>> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
>> aplikace ne certifikátu který si budeš generovat.
>>
>> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>>
>> Aleš
>>
>> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>> > Ahoj,
>> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
>> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
>> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka free
>> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
>> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve, ze
>> > "Google Chrome does not handle client certificate enrollment correctly,
>> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
>> > Bude
>> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam, ale
>> > nemusi mit certifikacni autorita nejakou cast certifikatu v prohlizeci,
>> > aby
>> > uzivatel mohl jejich certifikaty pak pouzivat?
>> > Dik za info
>> >
>> > --
>> > Lukas Vana (fabian)
>> >
>> > home page: http://home.fabian.cz
>> > jabber: fabian at fabian.cz
>> > irc: #czech at AfterNet, #penguin.cz at IRCNet
>> > icq: 274000127
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>> >
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> --
> Lukas Vana (fabian)
>
> home page: http://home.fabian.cz
> jabber: fabian at fabian.cz
> irc: #czech at AfterNet, #penguin.cz at IRCNet
> icq: 274000127
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>

More information about the Community-list mailing list