[vpsFree.cz: community-list] Ziskani SSL certifikatu
Lukas Vana
fabian at fabian.cz
Wed Sep 7 11:10:42 CEST 2011
Diky za shrnuti:)
2011/9/7 zzzemfira89 <zzzemfira89 at gmail.com>
> Ahoj.
>
> Takze "zelena lista" je extended validation, kde musis regtistratorovi
> poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
> vybavovania, co som pocul.
>
> > O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod
> jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu
> domenu 2. radu, ze?
>
> No praveze nie.
> Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
> subdomenu a korenovu domenu. Takze napriklad www.example.net a
> example.net . Takze potrebujes na kazdu subdomenu jeden.
> Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
> pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
> *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
> nezozenies, vacsinou to bude drahsie.
>
> Ako sa tu spominalo:
> > CA musi mit v prohlizeci tzv. root certifikat
> Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
>
> > Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
> certifikat!
> No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na
> 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
> na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
> aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
> v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
> vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
> zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
> nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
> aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
> defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
> self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
> podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
> chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
> ten wildcard certifikat.
>
> Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
> zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
> nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
> kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
> prehliadace bez TLS.
>
> Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
> subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
> startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
> Funguje to ako ma.
>
> Vela stastia,
> Matej Snoha
>
>
> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
> > Jo to jsem udelal ve FF:).
> > Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze, kdy
> ti
> > potom v browseru sviti zelene https v navigacni liste. To je nejaky dalsi
> > stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
> > "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
> > Dik
> > 2011/9/7 Aleš Rippl <ales at rippl.cz>
> >>
> >> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
> >> aplikace ne certifikátu který si budeš generovat.
> >>
> >> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
> >>
> >> Aleš
> >>
> >> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
> >> > Ahoj,
> >> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
> >> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
> >> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
> free
> >> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
> >> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
> ze
> >> > "Google Chrome does not handle client certificate enrollment
> correctly,
> >> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
> >> > Bude
> >> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
> ale
> >> > nemusi mit certifikacni autorita nejakou cast certifikatu v
> prohlizeci,
> >> > aby
> >> > uzivatel mohl jejich certifikaty pak pouzivat?
> >> > Dik za info
> >> >
> >> > --
> >> > Lukas Vana (fabian)
> >> >
> >> > home page: http://home.fabian.cz
> >> > jabber: fabian at fabian.cz
> >> > irc: #czech at AfterNet, #penguin.cz at IRCNet
> >> > icq: 274000127
> >> >
> >> > _______________________________________________
> >> > Community-list mailing list
> >> > Community-list at lists.vpsfree.cz
> >> > http://lists.vpsfree.cz/listinfo/community-list
> >> >
> >> >
> >> _______________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> http://lists.vpsfree.cz/listinfo/community-list
> >
> >
> >
> > --
> > Lukas Vana (fabian)
> >
> > home page: http://home.fabian.cz
> > jabber: fabian at fabian.cz
> > irc: #czech at AfterNet, #penguin.cz at IRCNet
> > icq: 274000127
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> >
> >
>
--
Lukas Vana (fabian)
home page: http://home.fabian.cz
jabber: fabian at fabian.cz
irc: #czech at AfterNet, #penguin.cz at IRCNet
icq: 274000127
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20110907/d646ce71/attachment-0002.html>
More information about the Community-list
mailing list