[vpsFree.cz: community-list] Ziskani SSL certifikatu

zzzemfira89 zzzemfira89 at gmail.com
Wed Sep 7 12:42:09 CEST 2011


Hej no, Comodo si to zavaril pred casom.
Ale tak lepsie ako holandsky diginotar ci co to bolo, ze mozilla, microsoft a
google robili aktualizaciu prehliadacov preto, aby mu zrusili root certifikat.

Wildcard certifikaty tam vidim > $90/rok.

Ked tak pozeram to startssl, neviem ci to chapem zle, ale takto sa mi to javi:
Zaplatim $59 za Identity validation, ta plati rok
pocas toho roku mozem spravit kolko chcem certifikatov,
vratane wildcard a UCC a tie platia 2 roky od vydania a su uz zadarmo?

Ak s tym ma dakto skusenost piste :-). Ja som zatial len free mal u nich.

Matej Snoha

2011/9/7 Michal Navrátil <torgon at gmail.com>:
> Zdravim,
> nedavno jsem nahodou narazil na https://www.cheapssls.com/
>
> Jak GeoTrust tak i Comodo maji certifikaty ve widlich i na mem Debianu.
>
> Otazka ovsem je jestli uz maji vyreseny ty problemy s "nedavnymi"
> bezpocnostnimi problemy.
>
>
> S pozdravem,
>  Michal N.
>
> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>> Diky za shrnuti:)
>>
>> 2011/9/7 zzzemfira89 <zzzemfira89 at gmail.com>
>>>
>>> Ahoj.
>>>
>>> Takze "zelena lista" je extended validation, kde musis regtistratorovi
>>> poskytnut extra informacie o sebe. Je to drahsie a je s tym viac
>>> vybavovania, co som pocul.
>>>
>>> > O tom omezeni vim, ale vetsina nam toho bezi na domenach 3. radu pod
>>> > jednou domenou, takze to by melo byt ok, kdyz budeme mit certifikat pro tu
>>> > domenu 2. radu, ze?
>>>
>>> No praveze nie.
>>> Startssl free certifikat (ako aj ine) sa vydava vzdy pre 2 veci:
>>> subdomenu a korenovu domenu. Takze napriklad www.example.net a
>>> example.net . Takze potrebujes na kazdu subdomenu jeden.
>>> Existuju (platene) certifikaty, kde sa spomina Wild Card Capability
>>> pripadne Multiple Domains (UCC). Potom si mozes spravit certifikat pre
>>> *.example.net a je to take najkrajsie riesenie. Pod $30 za rok asi
>>> nezozenies, vacsinou to bude drahsie.
>>>
>>> Ako sa tu spominalo:
>>> > CA musi mit v prohlizeci tzv. root certifikat
>>> Startssl root je na vsetkom (rozumne starom) co som mal v ruke.
>>>
>>> > Ale bacha na to, ze na jedny kombinaci IP:PORT muze byt pouze JEDEN
>>> >  certifikat!
>>> No toto je taky technicky problem. Nikdo ti samozrejme nebrani mat na
>>> 1 IP kolko len chces SSL stranok a kazdu s vlastnym certifikatom. Len
>>> na to potrebujes 2 veci: Rozumny web server (Apache 2.2+ a podobne) a
>>> aby navstevnici mali rozumny prehliadac. Konkretne treba podporu TLS
>>> v1 s par rozsireniami tusim. Takze to ma vstavane a defaultne zapnute
>>> vsetko novsie, konkretne tusim Firefox 2+, IE7+ a tak. To si ked tak
>>> zisti presnejsie :-) . Ked na tu stranku pride prehliadac co TLS
>>> nepodporuje (teda pocas nadvazovania spojenia nevie serveru povedat,
>>> aku domenu chce) tak mu server posle certifikat, ktory oznacis ako
>>> defaultny. Takze sifrovane to bude, ale mas varovanie ako pri
>>> self-signed. Snad sa ale to TLS rozsiri pomaly na vsetko, myslim ze
>>> podpora je dost slusna, malokto tu teraz chodi s Firefox 1. Ak sa
>>> chces tomuto vyhnut a nemas v zalohe kopu IP navyse, tak ti odporucam
>>> ten wildcard certifikat.
>>>
>>> Aby som to zhrnul: vravis, ze chces ssl pre subdomeny. Najlepsie je
>>> zohnat *.example.net wildcard certifikat. Trebars aj u Startssl, ak
>>> nemas peniaze na lepsie. Najlacnejsie je zobrat u startssl free pre
>>> kazdu subdomenu a pocitat len s ludmi, co nemaju prehistoricke
>>> prehliadace bez TLS.
>>>
>>> Ja mam na 1 IP jednu stranku kam chodi vacsina navstevnikov + 2
>>> subdomeny, kde nie je prakticky ziadny traffic. Takze som tam dal
>>> startssl 3 certifikaty, oznacil som ako defaultny ten pre domenu.
>>> Funguje to ako ma.
>>>
>>> Vela stastia,
>>> Matej Snoha
>>>
>>>
>>> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>>> > Jo to jsem udelal ve FF:).
>>> > Jeste co jsem tak na ty nabidky koukal, tak vetsinou je drazsi verze,
>>> > kdy ti
>>> > potom v browseru sviti zelene https v navigacni liste. To je nejaky
>>> > dalsi
>>> > stupen, jo? Kdyz mas tenhle free, nebo nejakej levnejsi, tak na tebe
>>> > "akorat" nevyskakuje warning, ze server ma self-signed certifikat?
>>> > Dik
>>> > 2011/9/7 Aleš Rippl <ales at rippl.cz>
>>> >>
>>> >> Já to od nich používám. Tato chyba se jedná problému přístupu k nim do
>>> >> aplikace ne certifikátu který si budeš generovat.
>>> >>
>>> >> Vygeneruj si ho ve Firefoxu. Pokud něčemu nevěříš, tak je to Chrome ;-)
>>> >>
>>> >> Aleš
>>> >>
>>> >> 2011/9/7 Lukas Vana <fabian at fabian.cz>:
>>> >> > Ahoj,
>>> >> > chtel bych se vas zeptat, jake pouzivate SSL certifikaty? Vyvstala mi
>>> >> > potreba mit certifikat podepsany nejakou CA, ne self-signed.
>>> >> > Dostal jsem doporuceni na https://www.startssl.com, kde je i nejaka
>>> >> > free
>>> >> > verze, kde se nic neplati. Akorat kdyz tam vlezu v Chrome
>>> >> > (https://www.startssl.com/?app=12 > Express line), tak mi to zarve,
>>> >> > ze
>>> >> > "Google Chrome does not handle client certificate enrollment
>>> >> > correctly,
>>> >> > please use an alternative browser". Coz ve me nevzbuzuje moc duveru.
>>> >> > Bude
>>> >> > pak certifikat od nich fungovat i pro Chrome? Moc se v tom nevyznam,
>>> >> > ale
>>> >> > nemusi mit certifikacni autorita nejakou cast certifikatu v
>>> >> > prohlizeci,
>>> >> > aby
>>> >> > uzivatel mohl jejich certifikaty pak pouzivat?
>>> >> > Dik za info
>>> >> >
>>> >> > --
>>> >> > Lukas Vana (fabian)
>>> >> >
>>> >> > home page: http://home.fabian.cz
>>> >> > jabber: fabian at fabian.cz
>>> >> > irc: #czech at AfterNet, #penguin.cz at IRCNet
>>> >> > icq: 274000127
>>> >> >
>>> >> > _______________________________________________
>>> >> > Community-list mailing list
>>> >> > Community-list at lists.vpsfree.cz
>>> >> > http://lists.vpsfree.cz/listinfo/community-list
>>> >> >
>>> >> >
>>> >> _______________________________________________
>>> >> Community-list mailing list
>>> >> Community-list at lists.vpsfree.cz
>>> >> http://lists.vpsfree.cz/listinfo/community-list
>>> >
>>> >
>>> >
>>> > --
>>> > Lukas Vana (fabian)
>>> >
>>> > home page: http://home.fabian.cz
>>> > jabber: fabian at fabian.cz
>>> > irc: #czech at AfterNet, #penguin.cz at IRCNet
>>> > icq: 274000127
>>> >
>>> > _______________________________________________
>>> > Community-list mailing list
>>> > Community-list at lists.vpsfree.cz
>>> > http://lists.vpsfree.cz/listinfo/community-list
>>> >
>>> >
>>
>>
>>
>> --
>> Lukas Vana (fabian)
>>
>> home page: http://home.fabian.cz
>> jabber: fabian at fabian.cz
>> irc: #czech at AfterNet, #penguin.cz at IRCNet
>> icq: 274000127
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>



More information about the Community-list mailing list