Hiteles SSL tanúsítvány vásárlás

 ( djsmiley | 2011. január 29., szombat - 14:20 )

Sziasztok,

Az iránt szeretnék érdeklődni, hogy ki hol szokott SSL certet venni webszerveréhez, esetleg mailszerveréhez? (Olyan kellene ami megy FF, IE, Chrome-ban is). Nagyon sok helyen lehet vásárolni, de gondoltam hátha ad valaki egy tuti tippet.

Köszi,
Zoli

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://www.verisign.com/
--
1 leszel vagy 0 élő vagy hulla!

cool. és hogy lehet náluk egy alap szerver certet venni? mert a legolcsóbb cert amit találtam a weboldalon, az a "Secure Site" nevű, ami $400/év...

Ha az szerinted draga akkor szived rajta de sufni tunin netlocktol akkor se vennek semmit.
--
1 leszel vagy 0 élő vagy hulla!

ha az SSL titkosítás megléte a cél, akkor nem tudom elképzelni, hogy mivel lenne nekem jobb egy 80 ezer forintos certificate, mint egy 20 ezer forintos.

ha az aláíráshoz hozzáadott értékként jelentkező "garancia" számít, akkor esetleg, bár nem tudom, hogy gyakorlatban mire lehetne azt felhasználni (szolgáltató-oldalról)

Ha az SSL titkosítás megléte a cél, és nem akarsz rá sokat költeni, akkor startssl. Ingyen.

Ehhez garancia nem sok van (csak azt ellenőrzik, hogy a domain a tiéd-e).

Firefoxban, ilyesmiben megy alapból, IE-ben nem.

De ha olcsó magyar tanúsítványt veszel, az ugyanúgy vagy megy, vagy nem az elterjedt böngészőkben.

Legutóbb pl. azt hiszem, a magyarorszag.hu-nál panaszkodott, vagy az apehnél, már nem tudom.

Persze, tudom, a tanúsító CA-ját kéne telepítenem.
De ugyanezt persze a startssl tanúsítványával is meg lehet tenni IE-ben.

amennyire emlekszem, mar IE-ben is benne van a startssl-es rootcert.

Tyrael

Én egy éve néztem kb., akkor még nem volt. Azóta változhatott a helyzet.

De nekem a FF elég is volt.

Előbb volt benne az IE-ben(ms) mint az FFban.. (pontosan nem emléxem 3 v. 4 éve)

szerintem tevedsz:
http://www.istartedsomething.com/20091010/microsoft-free-root-certificate-authority-windows/

ps: ezert utalom, ha valaki nem azt irja, hogy szerintem, vagy ugy emlekszem.

Tyrael

Igazad van mindkettőben, az utóbbiban sajnálom (oda kellett volna írni, hogy úgy emléxem). Hogy legyen értelme is, hogy írok némi infó: az allapotrol

Ha mar telepiteni kell a tanusito CA-jat, akkor en is adok neked certet, tok ingyen, csak tedd fel melle a CA certet is, mert kulonben ordibalni fog.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

egyetertek, viszont ahogy mar megbeszeltuk, a startssl-es certet tamogatja minden major bongeszo (igen, az IE is)

Tyrael

Azt kesobb olvastam, egyebkent meg a CACert certet is tamogatjak, csak nem feltetlen a free-t.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

igaz, de

"Ha mar telepiteni kell a tanusito CA-jat, akkor en is adok neked certet, tok ingyen, csak tedd fel melle a CA certet is, mert kulonben ordibalni fog."

ez a mondatod, a web of trust-os certre utalt, azt a legtobb major browser nem tamogatja alapbol, te is ezert irtad, hogy rakja fel a CA root certjet a kliens melle.

Tyrael

Nem azzal a mondattal az openssl-es sajat itthoni CA-mra utaltam, tok aranyos, meg elbujik a laptopon, szoval meg mobil is. Es en adom ki a certeket, szemelyesen. Csak ettol meg nem lesz megbizhatobb (mint en).

Egyebkent megmondom oszinten, nekem a legjobban a cacert.org jott be az ilyen ingyenes CA-k kozul. Egyszeru mint a faek, es en mondom meg, hova kuldje a tesztlevelet. Es tud subdomain authorizaciot is, nem erdekli, hogy a fodomain kie, ha az aldomain az enyem.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Az marha régen lehetett...

ha az IE-be bekerulesre gondolsz, akkor csak parat kellett volna feljebb olvasnod
http://www.istartedsomething.com/20091010/microsoft-free-root-certificate-authority-windows/
kevesebb, mint masfel az azert nem olyan regen, mondjuk mihez kepest. :)

Tyrael

Ennel szarabbat keresve se talalhattal volna. Latszik ,hogy magyarok...
--
1 leszel vagy 0 élő vagy hulla!

nekem sem lopták a szívembe magukat, viszont a certjükkel alapjaiban véve nincs semmi baj.

néha azonban jól jöhet, hogy magyar cégtől vásárolsz (magyarul beszélő ügyfélszolgálat, magyar adószámos számla, stb.)

A mai vilagban angolul beszelni szerintem eleg alap. Ha szamlarol van szo tok ugyan ugy elszamolhatod a kulfoldit is eleg gyakran vasarlunk kulfolditol. De ez konyvelo kerdese.
--
1 leszel vagy 0 élő vagy hulla!

én speciel nem beszélek angolul, a könyvelőm sem beszél angolul, és 100%-ban belföldi üzletfeleink vannak.

eddig kb. 2-3 alkalommal fordult elő, hogy külföldről vettünk valamit neten. ilyenkor mindig meg kellett futni az alábbi köröket:

- nyelvi nehézségek
- probléma a fizetésnél (bankkártyánkat esetleg nem fogadja el a túloldal, deviza-konverziós költségek, átfutási idő, stb.)
- beérkezett, idegen nyelvű/ismeretlen formájú számla probléma a könyvelésnél, elszámolásnál

éppen ezért, ha van választás, akkor inkább hazai szolgáltatót választok.

Van egy vagon magyar viszonteladója a nagyobbaknak, nem kell külföldi céghez szaladni egy certért. Nem akarok ujjal mutogatni, szerintem, találsz a Google segítségével.

én speciel nem beszélek angolul, a könyvelőm sem beszél angolul

azert ez az Internet koraban eleg nagy luxus...

HF*P portal - politika, flame és offtopic huppereknek szabadon!

akkor miert nem angolul irtad a konyvedet?
A: nem eleg hozza az angol tudasod -> onellentmondas
B: a magyar piacra szantad a konyvet, es ott nem beszelnek elegen angolul -> onellentmondas

(ps, luxus az, amit kevesen engedhetnek meg maguknak, ha a piac nagy resze nem beszel (jol) angolul, akkor az azert van, mert megtehetik)

Tyrael

Elegge leegyszerusitett valaszokat probalsz a szamba adni. A valasz egyebkent C.

C: ha eleg is hozza az angol tudasom (btw. ezt mar sose tudjuk meg, ill. az anyag nagy resze angol nyelvu forrasbol szarmazott), es ha a magyar piac nagy resze beszel is jol angolul (ezt sem tudhatjuk biztosan), akkor sem indokolta semmi, hogy 3 evvel ezelott angol nyelven irjak a magyar piacra konyvet a spamrol. Maskent: csak azert, mert valamit megtehetnenk, meg nem kell megtennunk.

A luxusnak valoban van egy olyan ertelme is, hogy amit kevesen engedhetnek meg maguknak. De itt egyszeruen arra gondoltam, hogy az angol olyan szinten vilagnyelv, hogy nem ismerni a globalizalodo vilagban luxus (=nagy fenyuzes). Es hiaba magyar minden megrendelo, elobb-utobb ereztetni fogja magat ez a hianyossag.

HF*P portal - politika, flame és offtopic huppereknek szabadon!

+1
+sok

Ennyire nehezkes valamit mint a netlock en meg nem btam, egyszer kelett veluk foglalkoznom, 2 honap ment el mire eljutottunk addig, hogy meglett a cert.
btw kb. az a $400 volt az arfolyam is a vegere.

Sosem tobbet, es ezeknel en csak rosszabbat talatam. Kulfold meg nem johetett szoba.

Milyen cert kellett? Mert nekem spec. egy nap alatt megvolt minden, olvasgatással együtt, aztán már csak aláírni kellett elmenni.

+1

Nekem az ellenkezőjére van példám a Netlockkal, pénteken beadott igénylésre következő hétfőn a kezemben volt az A osztályú SSL tanúsítvány. Nem mondom, hogy nem kellett noszogatni őket egy kicsit, de akkor az volt a lényeg, hogy van tanúsítvány az induló szolgáltatáshoz.

Ezen kívül két éven át kb. két tucatnyi különböző tanúsítványt kellett venni/hosszabbítani és jellemzően elég rugalmasak és segítőkészek voltak. Ami viszont tény, volt, hogy a számlázás körül voltak nehézségeik, amik nekem jelentettek kellemetlenséget (pl. rég kifizetett tanúsítvány számlájával kapcsolatban a tanúsítványtulajdonosnak - ügyvezető igazgató - küldtek fizetési felszólítást. Ebből kisebb botrány lett, de többet nem fordult elő hasonló.)

szted gattyán miből lett gazdag? :D

az is latszik h te is magyar vagy... :-P

sne

Akkor mit javasolsz?

Sziasztok!

Most rendeltem többet is az ezit.hu -tól. RapidSSL legkisebbjét. Csak a titkosítás végett kell belső rendszerhez. Nem akarom mindenkinek magyarázni miért kell hozzáadni a kivételt, miért piros stb. így pár ezer forintért vettem hitelest.
Szükséges a magyar számla így rögtön a szolgáltatótól nem vásárolhatom.

Netlock-os tanúsítványom volt levelezéshez, személyes aláíró tanúsítvány nem volt vele gondom. Azért nem vettem meg következő évben mert az ingyenes InstanSSL-el sincs baj mail esetében.

Hozzáteszem, hogy egyik esetben sincs szükségünk minősített tanúsítványra, garanciákra stb.

Valaki használja a StartCom féle ingyenes tanúsítványt? Nekem minden böngésző elhasal a https://auth.startssl.com/ oldalon, tanúsítvány hibára hivatkozva.

Ez a RapidSSL ez egész szimpatikus első ránézésre.

nekem futott 1 evet, semmi baj nem volt vele.
faq-t olvasd el:
http://www.startssl.com/?app=25#10
regisztracional a browserbe fel kell telepitened egy certet, ha hianyzik ez a lepes, akkor latod a hibat, imho.

Tyrael

nekem sincs semmi bajom vele

regisztracional a browserbe fel kell telepitened egy certet, ha hianyzik ez a lepes, akkor latod a hibat, imho.

Akkor mennyiben tud ez többet, mintha a saját CA-mmal csinálnám a certet, és a saját CA-m certjét telepíteném a browserbe?

Az, ami miatt az ember hajlandó fizetni jelentős summát egy ilyen "hivatalos" certért, hogy olyan certet kapok, amit egy olyan CA írt alá, ami már benne van a standard böngészőkben. Ha az IE + FF nem tartalmazza az adott banda CA certjét, akkor ássák el magukat. SZVSZ.

"Akkor mennyiben tud ez többet, mintha a saját CA-mmal csinálnám a certet, és a saját CA-m certjét telepíteném a browserbe?"

Annyiban, hogy a hitelesítő cég tud TLS-proxyt játszani és interceptelni a kapcsolataidat ;-)
Az egyetlen biztos megoldás saját cert, jó memória és fingerprintnézegetés...

Azt azért vetted, hogy általánosságban nem a titkosítással, hanem az azonosíthatósággal van baj ugye? A pont pont titkosítás főleg ha elrejtés is van benne, akkor elég jól védhető, és hülyeség hozzá SSL-el játszani. Amúgy a mit miért használunk szakmai kritika mellett van baj az összeesküvés elmélettel is amit írsz. Az inkább tényleg a vélemény dolog, amibe személyes jellege miatt nem másznék bele.

Éppen, hogy nem személyes vélemény. Ilyen téren dolgozom.

Ez csak akkor igaz, ha a privát kulcsodat odaadod a hitelesítő cégnek (amely esetben user error) vagy csinálnak magunknak ugyanarra a névre egy másik certet ugyanarra a névre, ami ellen nem tudsz védekezni, mert bármelyik cert kibocsájtó csinálhatna a domain nevedre certet, ha jól meg nem izélnék érte, ha kiderül.

Annyiban, hogy a hitelesítő cég tud TLS-proxyt játszani és interceptelni a kapcsolataidat ;-)
ezt hogy? mi az algoritmikai hattere? ha jol tudom, a hitelesites "csak" annyi, hogy alairja az en pubkey-met. tehat a p-p kommunikaciohoz ma'r nincs koze.

szerintem bithumen is ugy ertette, hogy a tamadashoz meg be is kell valahogy ekelodnie az o es a celpont koze a halozatra a cegnek ahhoz, hogy tudja transzparensen oda vissza fejteni a kommunikaciot.
ha tenyleg annyira paranoiasok vagytok, hogy nem biztok meg a hitelesito cegekben, akkor ne felejtsetek el a sajat root certeteken kivul az osszes tobbit kipucolni a bongeszobol, etc. mert kulonben ha feltetelezzuk roluk a rosz szandekot, akkor jo ha tudjatok, hogy barmelyik hitelesito ceg barmilyen domainre tudna csinalni olyan certet, amit a kliensek alapbol megbizhatonak tartanak, es man-in-the middle eseten be tudna ekelodni barhova.
persze ehhez meg mindig kell az, hogy hozzaferjen a halozathoz.

anno olvastam egy blogbejegyzes, valamelyik certes cegnek szar volt a domain validacios rendszere, es 1 srac tudott naluk generaltatni valid public/private kulcsokat valamelyik nagy oldalhoz probakeppen, amivel mar siman el tudta volna erni, hogy a phissing site-jat(amit akar man-in-the-middle -lel, akar dns poisoning-gal, akar mas eszkozokkel betol a userek ora ele) a bongeszok is hitelesnek tartsak.

Tyrael

nekem a firefox-ba és a chrome-ba is bezöldül alapból a https://startssl.com

Össze-visszabeszélés van. Meg kellene ismerni valamit mielőtt beszéltek róla. A StartCom SSL CA-ja bennevan minden nagyobb böngészőben (IE, FF, Opera).

felreertesz
bar van cacert-hez hasonlo cuccuk is, ha jol tudom (tehat browserek altal alapbol nem tamogatott rootcertest moka -> The StartSSL™ Web-of-Trust), de en nem erre celoztam a cert telepitessel.
a regisztracios, es authentikacios folyamat reszekent bekerul egy cert a bongeszodbe, ami arra szolgal, hogy elerhesd a startssl-es vezerlopultot, tehat nem jelszo/pass authentikaciot hasznal az oldal, hanem cert-eset.
nem tudom, hogy hogy keverted ide a fizetos certeket, amirol mi beszelgettunk, az egy 1 eves ingyenes, a browserek altal defaultbol elfogadott cert.

Tyrael

Igen, azt hiszem, hogy sikerült félreértenem a problémát. :)

Be tud valaki lépni ide? Már minden böngészőt végig próbáltam még windows-on is de semmi. Sehol nem akar certet telepíteni és nem is találom a gyökér tanúsítványt.

termeszetesen be tudsz lepni.
http://hup.hu/node/98658
itt leirtam a lepeseket.
ma csinaltam meg ff-el a regisztraciot, mukodott ugyanugy, mint regen.

Tyrael

Szia!

Közben meglett, megjött a hiányzó mail is. Köszönöm azért.

Most megnéztem, amúgy is lejárt az egyik tanúsítvány, jó lenne egy újat generáltatni, de mind a firefox, mind a konqueror elhasal.

A régi belépési tanúsítvány valószínűleg már nincs meg (konquerorban sosem volt), de azon a lapon, ahol regisztrálni tudnék, konquerorban kb. azonnal, firefoxban kb. 2s után bejön egy lap, hogy nem tudott az én gépem megegyezni a titkosításban a szerverrel, ezért a szerver elküldött a levesbe.

Ha a 2s lejárta előtt rákattintok, hogy sign up, akkor az megy, és tudom folytatni.

Ha jól emlékszem, régen akkor volt ilyen üzenet, amikor az én certem nem volt jó a belépéshez. Csak nem értem, hogy ha mondjuk lejárt, vagy nincs is, akkor miért nem hagyja, hogy nézzem a lapot egy ideig...

G

hat ha megy a sign up, akkor nyomd vegig, ez naluk lehet valami technikai para, szerintem.

Tyrael

/OFF
"Csak a titkosítás végett kell belső rendszerhez. Nem akarom mindenkinek magyarázni miért kell hozzáadni a kivételt, miért piros stb. így pár ezer forintért vettem hitelest."
Azt hiszem tavaly vagy tavalyelőtt a magyarorszag.hu-nál volt cert probléma(ráadásul pont bevallási időszak alatt), amikor kivételként hozzá kellett adni a böngészőben. Mivel nálunk is van 250 munkaállomás és jópár okos user aki az istennek sem akarta megérteni, hogyan kell kivételt hozzáadni, ezért hozzáadtam én a sajátomhoz(firefox), majd a cert_override.txt-t netlogonnal szétszórtam az XP-s gépeken.
/ON

Szia!

Belső rendszer, de helyileg nem egy tartomány. Publikus szerveren fut és több független helyről érik el. Használatát tekintve belső rendszer.

Szeretem a vélemény rovatot. Azonban ha már elolvasol valamit, ha nem fáj akkor értelmezd (auth.startssl.com). Ott certificate alapú authentikáció zajlana, amihez _neked_ nincs megfelelő personal certificate a kliensedben (a böngészőben). Egy kis info.

"hitelst"... Hogyan, miképp történt az ügyfél beazonosítása?

Nekem is az ezit.hu-tól van (rapidssl), amire kellett, arra tökéletes számomra.

Esetleg e-szigno.hu?

Ugye ezt nem mondod komolyan? Ha nem volna szétosztva a piac nem tudom meddig létezne ez a cég..

Mi baj van velük? Nincs velük tapasztalat, csak tudom, hogy szolgáltatnak ők is. Ha "nem ajánlott" kategória, akkor érdekelne nagyon, h miért.

Kérlek olvasd el az áraikat, nézd meg a weblapot és menj el tanúsítványt "igényelni" hozzájuk. Az első két lépés elég szokott lenni. Ha kitartó vagy akkor mehet a 3.

A hazai kibocsátók valóban közjegyzői szinten dolgoznak, megnézik, hogy ki és mi kér tőluk tanusítványt, beazonosítják (okmányok, illetve okiratok) alapján az ügyfelet. Az itt emlegetett külföldi kibocsátók meg nem igazán foglalkoznak ezzel...

Class 2 certekhez elmeletileg mindenutt igy kellene, csak mivel ez csak ilyen kvazi szabvany (ha jol tudom VeriSign kezdte el igy kategorizalni a certeket), ezert nem minden kibocsajto veszi egyforman szigoruan, ezert letezhetnek a Netlockhoz hasonlo cegek.

Tyrael

Épp ez a gond, hogy nem mindenki veszi szigorúan a dolgokat, ergo annyit is ér egy jogvitában az adott kibocsátó tanusítványa (mit tanusít? Azt, hogy az igénylő azt állította, hogy ő kispista, vagy azt, hogy a kibocsátó meggyőződött arról, hogy az igényló kispista? Nagyon nem midnegy...).

szerintem ugyanezt irtam en is.

Tyrael

Gyakorlatilag a Netlock és VeriSign SSL tanusítványai között nincs eltérés, max annyi hogy a Netlock nem vásárolta be magát minden böngészőbe, és mobiltelefonba. A Netlock SSL piaca kicsi, nem ebből élnek ezért annyiért adják a nem olcsó de jogilag korrekt SSL certet amennyi. A VeriSign alacsony áron is hatalmas üzletet csinál SSL-ből.
A Microsec és a Netlock elsősorban minősített tanusítványkiadásból és időbélyegzésből él, ügyvédi, közjegyzői, munkatársi stb tanusítványokat adnak ki. Ha megnézed a VeriSign minősített tanusítványait, akkor messze sokkal olcsóbb a Netlock, és kényelmesebb itt megoldani a személyi azonosítást, mint az USA-ba kiutazni.

jogilag konnyu korrektnek lenni, ha reszt veszel a torveny kialakitasaban. :)

ps: korabbi hup-os topicok alapjan ugy tunik, mintha vedened a netlockot, miert?

Tyrael

Nem csak jogilag kell korrektnek lenni, hanem az alany megbízható azonosításában is. Hazai kibocsátók esetében eredeti dokumentumok alapján egyszerűen és gyorsan megvan a _hiteles_ azonosítás, úgy az igénylő személy/cég, mint a domain tulajdonjogát tekintve.

A domain tulajdonjogát a kutya nem vizsgálja cert kiadásakor.

Már a class-c esetén is első a whois...

ja, azt elfelejtettem irni, hogy nemreg inteztek a cegnel EV-s verisign certet, nem kellett kiutazni az USA-ba hozza.

Tyrael

De azzal a cert-el nem fogsz elektronikus ügyintézést bonyolítani az EU-ban.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

mennyire vagy biztos ebben?
engem nem lepne meg, ha csak itt nalunk, esetleg nehany tovabbi balkani orszagban lenne megkotve, hogy csak helyi mashol nem, vagy nem teljesen tamogatott/elismert issuertol lehet venni a certet az E-Government siteoknak.

Tyrael

szerintem itthon - ill. talán máshol is - ellenőrzik az adataidat (pl 1-2 fényképes igazolás). Olyat semmelyik cégnél nem láttam, hogy ezt interneten kereszül ellenőriznék. StartSSL esetén azt mondják (personal cert-hez), digitálisan küldjem el 2 fényképes igazolásom. Ezt gond nélkül megcsinálhatom akár magamnak, akár bármely embernek a nevében akinek bírok az adataival (pl lemásoltam vmilyen okból a személyi igazolványukat).

Ezért jogosnak tartom vagy a kiállító által történő személyes ellenőrzést, avagy - amit preferálnék - a közjegyző által történő hitelesítést. Örülnék, ha pl a MOK is tudna kiadni ilyen (személyes) cert-et, miután személyesen hitelesíttettem magam a helyi "partnernél" - azaz tetszőleges útbaeső közjegyzőnél. a rendszer megvan rá.

Nézd a SSL cert-el szemben a legfőbb elvárás (FQDN), hogy titkosított adatátvitel működjön, és a böngészők ismerjék a kibocsájtó cert-lét. Ez a Rapid-SSL, Verisign és társai esetében kifogástalanúl megvalósúl, míg a magyar szolgáltatók esetében van némi hiányosság.

A hazai elektronikus ügyintézéshez a Netlock vagy a Microsec által kiadott minősített CERT elengedhetetlen. Jó lenne látni az eltérést a fokozott biztonságú és minősített tanusítvány között.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

es visszajutottunk ahonnan elindultunk.
elmeletileg a Class 2/3-as certeknek letezik az Organization/Business validation, plusz ugye ott vannak az Extended Validation-os "zold" certek.
ha ezeknek a kibocsajtasa, illetve az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve Netlock/Microsec fele certet megkovetelni az allamigazgatasban, hanem lehetne azt mondani, hogy Class 2, vagy EV cert szukseges.
es hogy azt kitol veszed, az tok mind1.
persze valoszinuleg hogy a fent nevezett cegek nem feltetlenul orulnenek ennek.

Tyrael

az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve

Nincs nevesítve, hogy kik jók. Akik megfelelnek a törvényben előírtaknak, azokat elfogadják. EU-n belül mellesleg teljes átjárhatóság van, EU-n kívülről államközi egyezmény hiányában a dolog nem megy; a szolgáltatónak vagy kell keresnie egy EU-n belüli partnert, vagy kell alapítania egy leánycéget az EU-n belül.

nekem ugy tunt, hogy nem fogadnak el automatikusan minden szolgaltatot, aki megfelelne, hanem akkreditaltatnod kell magad, es ezzel felkerulsz arra a listara, akit elfogadnak onnantol kezdve.

http://webold.nhh.hu/esign/kozig/init.do

persze nem igazan vagyok otthon a temaban, most hirtelen olvastam olyat is, hogy egy 2004es torvenymodositas lehetove teszi az "önkéntes akkreditáció"-t.

btw. isszonyuan rosszak usability szempontbol a kormanyzati oldalak.

ps: azt tudom, hogy a szamlazashoz nekunk is a netlock-tol kellett vennunk certet, pedig amugy minden mashoz verisign certeket hasznalunk.

Tyrael

"ezeknek a kibocsajtasa, illetve az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve Netlock/Microsec fele certet megkovetelni az allamigazgatasban"

A verisign USA-ban tevékenykedik rá az ottani szabályok vonatkoznak. Magyarországon minősített tanusítványt a 2001. évi XXXV. törvény szabályai szerint nyilvántartásba vett tanusító adhat ki. Amennyiben a Verisign megfelelne a fenti törvénynek és nyilvántartásba vetetné magát, akkor Ő is adhatna ki minősített tanusítványt. Nyilván ha üzleti érdeke lenne akkor megtenné, de erre a "kicsi" piacra nem vágyik.

Nincs nevesítve hogy Netlcok/Microsec certet kell venni. Az van nevesítve hogy minősített tanusítványt kell használni az államigazgatásban.

Minden szuverén országnak joga van a saját törvényei szerint élni. A Magyar szabályozás megfelel az EU normáknak, az meg hogy az USA miként jogharmonizál velünk a kutyát sem érdekli. A jogharmonizációt talán magában az USA-n belűl kellene elkezdeni, mert ahány államuk van annyiféle törvény létezik. Még a közlekedési szabályok sem egységek náluk.

Azt meg felejtsd el, hogy "védem a Netlockot", mert életemben nem dolgoztam náluk. A bankszektorban viszont annál inkább jelen vagyok (LOL), ezért van némi rálátásom a tanusítók munkájára mint ügyfelük.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

"A verisign USA-ban tevékenykedik rá az ottani szabályok vonatkoznak. Magyarországon minősített tanusítványt a 2001. évi XXXV. törvény szabályai szerint nyilvántartásba vett tanusító adhat ki."
Akkor jol irtam kicsit fentebb az ez elotti kommentemben. barki jelentkezhet, es ha megfelel, akkor felkerul a listara, akiket elfogadnak.

a nyilvantartasba vetel nem tudom, hogy mennyire nehezkes, vagy eppen mennyire protekcios.

"Nincs nevesítve hogy Netlcok/Microsec certet kell venni. Az van nevesítve hogy minősített tanusítványt kell használni az államigazgatásban. "
jo, de ha nyilvantartasba kell vetetni, akkor az mar azert majdnem ugyanaz.

"Minden szuverén országnak joga van a saját törvényei szerint élni. A Magyar szabályozás megfelel az EU normáknak, az meg hogy az USA miként jogharmonizál velünk a kutyát sem érdekli."
vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak (csak hogy ne ragadjunk le a VeriSign-nal, meg az USA-nal)? (RTFM, csak most nincs ra idom)

"Azt meg felejtsd el, hogy "védem a Netlockot", mert életemben nem dolgoztam náluk. A bankszektorban viszont annál inkább jelen vagyok (LOL), ezért van némi rálátásom a tanusítók munkájára mint ügyfelük."
nem csak a munkaadojat vedi az ember, szoval nem ertem, hogy miert pont erre celzol.
kulfoldon dolgozol bankszektorban es magyar cert kibocsajtokkal dolgozol?
uj magyar sikertortenet :)

Tyrael

Amennyiben a tanusító szervezet megfelel a külföldi törvényi feltételeknek akkor működhet külföldön is. A magyar orvos, bíró, ügyvéd, ügyész, rendőr stb. is akkor dolgozhatna külföldön, ha megfelelne az adott ország törvényi elvárásainak.

Természetesen nem használnak magyar tanusítót külföldön. Dolgoztam a K&H nevű műintézményben , de az már a múlt. :)

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak

Van egy törvény, ott van leírva, hogy minek kell megfelelni (mellesleg a törvény EU-harmonizált). A nyilvántartásba vétel arról szól, hogy a törvényben leírt feltételeket teljesítetted, az erről szóló papírhalmazt beletolod az illetékes hatóság arcába, azok meg kipipálják a listát. Meg néha ellenőriznek, hogy tényleg nem hazudtál.

vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak

A törvény pont ezt írja elő.

Meg egy jó nagy kazal zseton biztosítékot kell lerakni hozzá.
(Akár bankgaranciában is jó.)

Fszm. Ez egy 3 éves szál. :D

A túloldal hiteles azonosíthatósága meg smafu...? Ha csak a titkosítás lenne fontos, akkor a cacert is teljesen jó lenne pölö. a netbankodnak, ugye?

Ezért használnak a bankok pl. Netlock Üzleti Class B tanusítványt. De nekik a PSZAF amúgy is előírja hogy mit használhatnak.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

OTP-nel pl. Verisign Class 3 EV van.

Tyrael

Mert egy fokozott biztonságú FQDN SSL tanusítvány megfelel egy webszerverhez. De ott ahol dokumentumokat kell aláírni pl. elektronikus számla, vagy fmh.mokk.hu már nem használhatod.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

ezt meg en is tudom, viszont megint Netlock-os peldat hoztal fel, azt sugalva imho, mintha oda is csak ok adhatnanak certet.

(bar en meg VeriSign-nal peldalozok, lehet hogy csak szokas kerdese, hogy kinek milyen pelda jon a szajara)

na mind1, ezt szerintem tisztaztuk.

Tyrael

Ne keverjük már az aláíró és az SSL cert-et.

Amikor Class2-őt kértem mindig azonosítottak. Amire te gondolsz az az EV aminél nem kerülhető el a felelősség vállalása (értékben sem ott van). A fenti magyar céget viszont az érdekli, hogy a HUREG adatbázisával megegyezzen a cert, felelősséget nem vállal, nincs komoly azonosítás, EV-ről meg pláne. Pedig ugye az üzemeltető az aki valójában kezelni fogja a tanúsítványt. Nem igazán bizalomgerjesztő tanúsítani a domaint a tulajdonosnak majd odaadni harmadik félnek: üzemeltesd. Hol itt a logika?

Ha csak annyi kell, hogy titkosítot kapcsolaton keresztűl a tapasztalatlan látogató számára is akadálymentes legyen a böngészés, akkor nincs értelme minősített tanusítványt használni.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

Ez azért tetszik... Az APEH-től most húztam le a 1053-as nyomtatványt. Java Webstart-os cumóka, alá van írva:

Subject: CN=Ado- es Penzugyi Ellenorzesi Hivatal,
          OU=Presidential Secretariat Department,
          OU=Digital ID Class 3 - Java Object Signing,
          O=Ado- es Penzugyi Ellenorzesi Hivatal,
          L=Budapest,
          ST=Budapest,
          C=HU

Issuer:  CN=VeriSign Class 3 Code Signing 2010 CA,
          OU=Terms of use at https://www.verisign.com/rpa (c)10,
          OU=VeriSign Trust Network,
          O="VeriSign, Inc.",
          C=US

Miért is nem valamelyik hazai kibocsátótól van...?

Talán ők - akik ismerik jobban az anyagi hátteret - nem bíznak bennük?

Más célra viszont az e-szigno van náluk használatban - azt mondjuk marhára nem értem, miért külföldi cégtől vesznek ilyen célrra tanusítvánt, miért nem jó nekik a hazai? Miért költik az adófizetők pénzét olyanra, amit itthon is meg lehetne venni?

Talán mert a java még nem ismeri a "híres" magyar root certet, és a browserekkel ellentétben nem lehet "egy kattintással" elfogadni a nem trusted root certtel aláírt cuccot, hanem fel kell venned a root certet, mégpedig egy szép és bonyolult command line paranccsal. Na akkor most képzeld el, hogy Mancika, a könyvelő, letölti a szép bevalló programot az APEH weboldaláról, és ahhoz, hogy használni is tudja, egy cmd.exe-ben kell egy szép hosszú parancsot begépelnie. Szerinted ezen hány Mancika esne hasra? Szerintem 10-ből 3-4 simán.

Köszi. Azért illene felvenni a kapcsolatot a Sun, vagyis már az Oracle illetékeseivel a rootCA-nak a Java-s cumók telepítőjébe kerüléséről...

"Talán mert a java még nem ismeri a "híres" magyar root certet"

Üzleti alpon kerülnek be a tanusítók certjei. Ha a tanusító megállapodik az Oracle-vel, és kifizeti a sok pínzt nekik, akkor bekerül a certje.

Az is érdekes, hogy a Firefox nem használja Windows tanusítvány kezelőjét, és ők sem aprópénzér teszik be a root ca-t a telepítőbe.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

Nem csak a Firefox. Az Adobe Reader sem, bár ott legalább be lehet kapcsolni, hogy használja.

Nem is tudom. Tud valamelyik magyar CA ilyet kiadni? Már a Class 3-ra gondolok.

Ezzel tudnék vitatkozni: https://onlinessl.netlock.hu/
Na, itt a kutya nem fog téged azonosítani. Meg mást sem. Meg még hiteles sem lesz. De azért rá lehet beszélni a böngészőt a webszerveren keresztül, hogy fogadja már el.

A Class-C esetén nem, de az annyit is ér - azt tanusítja, hogy a tanusítványban lévő publikus kulcs titkos párjával a kibocsátás időpontjában rendelkező személy egy megadott e-mail címre küldött leveleket olvasni, VAGY az adott webszerveren lévő tartalmat írni volt képes.

ezek a cegek abbol elnek, hogy ormányunk szarik a szabványokra és nem fogadja el az alap x509-et, sajat certtipust kellett megadni amit kizarolag ettol a 3tol fogadnak el. Pl probalj meg ugyfelkapura feltolteni sima pubkeyt (kulfoldi ceg altal azonositottat, nyilvan). Velem kozolte, hogy ez szar, menjek netlock, mavinformatika vagy eszignohozes vegyek ott szemelyes certet az a kiraly. Ott meg kozoltek, hogy valami evi 40k-ert nagyon szivesen. Anyad.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

trustico.com ?
Annó vettem tölük RapidSSL-es kulcsot 1 évre és elég jól müködött minden böngészövel. FF-ben szép kék is volt az SSL-es oldalon a címsáv eleje :)
De egyébként google ssl cert ;)

Ha jól emlékszem, én tavaly a GoDaddy-nél kb. 8000 Ft-ért vettem az egyik ügyfelemnek.
Most ~$50.

irtam egy blogpostot a startssl-es cert beallitasarol.

http://hup.hu/node/98658

Tyrael

$65 -ért (kb. 13e HUF) Geotrust Premium, középkategóriás presztízsű - RapidSSLhez képest :)

És +3 aldomain is van benne (SAN / UCC).

http://www.clickssl.com/geotrust-promotion-code.aspx

feliratkozom
----------------------------
színes ingyen domain domain

subscribe
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

+1

-"-

+1

Én itt szoktam magamnak intézni.

Globe Standard SSL - 8,9$/év az első évben majd ha minden igaz akkor 15 a következő év.

Netlock.

*.DOMAIN.HU, kb rudi évente. Mivel van vas bőven, megéri.

Ha olcsó kell:

http://completessl.com/

Illetve (ezt csak javasolták, még nem használtam):

http://trustico.eu/

A CompleteSSL-nél a legolcsóbbnál elég, ha beadod elektronikusan a cert requestet, kapsz egy ellenőrző e-mailt egy adminisztratív címre a commonName-ben megadott domainre, hogy tényleg tiéd-e. Ha a benne küldött kóddal reagálsz nekik, akkor küldik a hitelesítést. Fizetés PayPallel és/vagy bankkártyával, percek alatt megvan - én kb. 3-4 éve használom megelégedéssel.

--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.

nem ugyanezt tudja a startcom ingyen?

Ugy latom, hogy a startcom csak maganszemelyeknek ad ingyen certet.

http://www.startssl.com/?app=25#2

Nem pontosan értem, ha ingyen van, akkor miért érdekes hogy ki a fizető?

Hulyen nez ki a ceges weboldal certjen Nagy Odon maganember, mint "tulajdonos". Ettol a hozzaertobb user joggal felhuzza a szemoldoket "aha, akkor ez most lehet, hogy nem is a ceg igazi weblapja?" A tobbieknek meg csak fura/gagyin nez ki. Manapsag ugye eleg a bongeszo cimsoraba kattintani es kapja ezt az infot nagy betuvel arcba a felhasznalo.

Meg mi van, ha Odon nem akarja megadni a szemelyes adatait? (cim, tel...)

Meg mi van, ha Odon kilep es elmegy mashova dolgozni.

offtopic:
"Meg mi van, ha Odon nem akarja megadni a szemelyes adatait? (cim, tel...)"
akkor o nem fog .hu domaint regelni :)

Tyrael

Ha cég nevében kíván eljárni, akkor a saját személyes adatainak megadásán kívül az "Ödönmunkahelye cég nevében eljárhat" kitételt is hitelt érdemlően bizonyítania szükséges.

Ödön, mint magánszemély nem azonos az Ödönmunkahelye, mint céggel. Sem személyében, sem jogilag. A domain sem az Ödön nevén van (normális esetben...), hanem az Ödönmunkahelye cég nevén. Ha egy ügyefelet Ödönként azonosítottak, akkor az az üf. Ödön nevében járt el, nem az Ödönmunkahelye cég nevében. (Ha Ödön az Ödönmunkahelye, mint cég nevében eljárni jogosult személy, és így azonosították, akkor eljárhat a cég nevében).

Igen, ezt mondom en is.

A Startcom (free cert eseten) nem akar semmilyen kapcsolatban lenni a ceggel, csak a maganszemellyel.

Pont ezert van az a gaz, hogy ramegy valaki az Ektoplazma 2000 Kft. weblapjara es azt kapja a bongeszo cimsoraba kattintva (FF), hogy

"You are connected to ektoplazma2000.hu which is run by Nagy Odon."

Ki az az Odon!? mondja az user es becsukja a bongeszotabot. Elvileg persze...

Tehát ha jól értem:
A neved nem szeretnéd odaírni, de üzleti célra használnád. Nos itt a pont ahol fizess. Nem arról van szó, hogy üzleti haszont szeretne neked csinálni a startcom, hanem egyszerűen magának ismertséget. Ebbe nem fér bele, hogy üzleti céllal hazudj a te kliensednek és esetleg pénzt kérj érte. Ha pedig azt a domaint te üzemelteted akkor odaírod gipsz jakab és kész.
A felvetésedre: ha 1000 emberből 1 ilyet megnéz akkor már az jó lenne. De nem nézi meg. Nem is érdekli. Egyszerűen azért érdemes ilyen cert-et csinálni, mert az érzékeny adatok ne menjenek http-n, de mint fórumüzemeltetőnek mondjuk nincs pénzed cert-re, mert semmi lóvé nincs belőle. Hogy akadálymentes legyen a dolog csinálsz class1 certet a domainre és kész.

Igen, épp ezt mondja az előtted szóló is. :)

Koszi :)

Szerinted hány user nézi meg? Pontosan 0. :) Eddig nem is tudtam, hogy ha a címsorra kattintok, akkor láthatom a cert-et, de jé, tényleg, ma is tanultunk valamit :D

+1. Eddig nem is láttam ezt a lehetőséget. Ha ellenőrizni akartam, akkor a kis lakatra kattintottam.

A feleségem IE-jében megnéztem, ott nincs is ilyen lehetőség (nem tudom, 7-es vagy 8-as IE).

Az enyém azt írja, hogy: which is run by (unknown)

Nagy Ödön neve nem látszik.

Mi ez a hülyeség? Az ingyenes kiadáshoz semmi ilyen nem kell. Ellenőrizni se ellenőrzik. Nem is érdekli őket. A class1 azt jelenti: valóban a www.domain.com-al beszélsz.

igy van, https://kodorgo.hu -n meg lehet nezni, nem kerul bele a certbe az igenylo neve.

Tyrael

Aha, akkor ebben tevedtem.

Szoval nem azt irja a bongeszo nagy betukkel, hogy "You are connected to xyz.hu which is run by Nagy Odon", hanem azt, hogy "which is run by (unknown)".

Ez most nezopont kerdese, hogy jobb, vagy rosszabb.

En azert ceges hasznalatkor kifizetnem azt a par ezer forintot evente, hogy "run by xyz kft."-irjon, bar az is igaz, hogy nagyon fugg a domain funkciojatol es a celkozonsegtol is. Nyilvan 99% nem nezi, nem is erti/erdekli...

En azert ceges hasznalatkor kifizetnem azt a par ezer forintot evente, hogy "run by xyz kft."-irjon, bar az is igaz, hogy nagyon fugg a domain funkciojatol es a celkozonsegtol is. Nyilvan 99% nem nezi, nem is erti/erdekli...

Nem szeretnélek elkeseríteni, de ez a 'which is run by' csak a Firefox hülyesége, a világon senkit nem érdekel rajtad kívül, más browserben tán nincs is ilyen (az Operában pl. biztosan nincs). Mondjuk konkrétan egy olyan certet sem találtam, amire ne ezt írná a Firefox...

Ha meg alaposan meg akarod nézni a certet, akkor az egész DN-t, meg a tanúsító CA-t érdemes megnézni, nem pont azt a random mezőt, amit a Firefox fontosnak tart.

Szerintem.

gmail.com

you are connected to google.com
which is run by (unknown)

magyarorszag.hu

you are connected to magyarorszag.hu
which is run by (unknown)

citibank.hu

you are connected to citibank.hu
which is run by (unknown)

láthatóan másokat se zavar.

Engem sem, de mondjuk én nem is cég nevében futtatok ingyenes tanúsítványú oldalt.

G

Vagy te értettél félre valamit, vagy nekem vannak szövegértelmezési gondjaim, de nem értem ezt az egészet.

Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt.

A céges weboldalon Nagy Ödön tulajdonost meg végképp nem értem.

Elmondom, hogy ment a dolog legutóbb.

1, Én, magánszemélyként regisztráltam az oldalukon. Személyes adatok, stb.
1/b, Ezt valaki átnézte, jóváhagyta.

2, Ezután ellenőriztettem, hogy egy adott domain az enyém = megkapom a postmaster@ leveleket.

3, készítettem egy certet a saját gépemen, www.domain számára.

4, feltöltöttem ezt a startcom oldalára, ők aláírták.

5, az aláírt certet belőttem az IMAP és a lighttpd alá

Most, ha valaki rákattint a weblapon a tanúsítvány ellenőrzésére, akkor pl. nem látja az én nevemet.

Látja, hogy
e=postmaster@domain
cn=www.domain
o=domain
l=sao paulo
st=sao paulo
c=br

dns name=www.domain

minden más információ a CA-ra vonatkozik.

Semmiféle személyes adat, mint név, cím, telefonszám nem szerepel sehol.

Keresztkérdés: "1/b, Ezt valaki átnézte, jóváhagyta." - Ez hogyan történik, milyen dokumentumok alapján?
Az, hogy a postmaster@foo leveleket el tudom kapni, az csak annyit jelent, hogy hozzáférek a levelezéshez - akár valahol útközben, akár a szerveren, ergo messze nem azt jelenti, hogy a tied a domain.

Két külön dologról van szó, remélem, ez világos volt.

Az 1/b nem a domain-t ellenőrzi, hanem arról szól, hogy te, aki felhasználót regisztrálsz, vajon robot vagy-e, vagy gyanús adatokat adtál-e meg.

A megadott adatokat ellenőrzik, de nem tudom, hogyan. Gondolom megnézik, hogy adott irányítószám tényleg adott címhez tartozik-e (a mostani (UK) irányítószámom pl. erre a konkrét házra érvényes, ahol lakom, amikor 2009-ben regisztráltam, a brazil irányítószám egy konkrét utca egy konkrét szakaszára volt érvényes).

Azt írják, ha gyanús a dolog, akkor a megadott telefonszámon felhívnak.

Eddig kétszer regisztráltam, mindkétszer pár órán belül jóváhagyták, telefonálás nélkül. A jóváhagyó a neve alapján az adott országban lakik, szóval feltételezem pl. Magyarországon egy Gipsz Jakab nevű regisztráció gyanús lenne.

A domain jogosultság ellenőrzést már egy másik topicban is kérdezted pár éve.

Az ingyenes tanúsítvány nem arról szól, hogy biztosan tudod, ki van a másik oldalon, hanem arról, hogy lehet titkosítást használni.

Annyi ellenőrzés van, amit fent írtam. Az account adatait átnézi valaki, illetve automatikus ellenőrzés van, hogy a postmaster@ címre érkező leveleket tudod-e olvasni (vagy az igazi postmaster elárulja-e neked a benne levő kódot). Ha menet közben elkapod egy másik domain leveleit, akkor tudsz az ő nevükre tanúsítványt igényelni.

G

Magyarul SEMMI értelmes és VALÓDI azonosítás NEM történik. NEM ellenörzik, hogy te az vagy-e, akinek mondod magad, nem ellenőrzik, hogy eljárhatsz-e az adott domain tulajdonosának a nevében. Köszi, ennyit szerettem volna tudni. Ennek megfelelően a self signed cert-tel egy szinten van a cucc - már ami a hitelességét illeti. Olcsó hús - marhára híg a lé...

ne mond mar, hogy komolyan nem volt vilagos, hogy a startcom-os ingyenes Class A certnel nem tortenik szemely/organization verifikacio?
mind itt mind az en blogbejegyzesemben elhangzott ez.
nezopont kerdese, hogy self-signed certel egy szinten van-e.
ne mossuk ossze a certek 2 jol megkulonboztetheto funkciojat:
A, a certben talalhato domain valoban az-e akinek mondja magat
B, a cert tulajdonosa valoban az-e, akinek mondja magat.

az A szempont szerint ez a cert jobb, mint a self signed, mert benne van a major browserekben a kiallito root certje, ezert atlag usernek nem kell otot kattintania, hogy elfogadja a sajat kiallitott certet (plusz ha phising oldalra teved, akkor nem egyszeru meggyozodnie, hogy jo certet lat-e vagy nem)

a B pontra a Class 2/3 certek, illetve az Extended Validation szolgal, valamint ahogy elhangzott mar ez is, pl. itthon az elektronikus szamlazashoz csak akkreditalt, minositett tanusitvanykibocsajto altal kiadott certet lehet hasznalni.

btw. pont ma hivott az asszony, hogy valami nemjo a webbankjaval:
https://ibank.cib.hu
Netlock-os Class B cert van, javaban nincs benne, webbank javat hasznal, user kapja az arcaba a java megerosito ablakot.

Tyrael

De igen, ergo ezért ér nagyjából annyit, amennyibe kerül.

Nem vazze, sokat ér. Mivel a modern böngészők különös kínok elé állítják a megbízhatatlan tanúsítóval ellátott oldalakat. Ezért ingyen kapsz olyan biztonságot ami majdnem Class2 mivel ha oda be van írva hogy "gipsz jakab" és arra azt mondja a megbízható fél, hogy tényleg így van. Azzal még nem vagy előrébb, mert úgysem ellenőrzöd (kliensként).

Azt HISZED, hogy megbízható, de valójában nem tanusítanak semmit, csak azt, hogy a tanusítványkérelmet benyújtó személy képes elolvasni a postmaster@domain leveleket. Ez nem azonos azzal, hogy JOGOSULT eljárni az adott domainnel kapcsolatban.

És az kit érdekel?

Az a baj, hogy a certificate az elvileg tanusít valamit - itt meg max. azt, amit írtam. A "tanusító szervezetnek" NULLA a felelőssége, automatikusan is elműködhet az egész hóbelvanc. Azzal, hogy a "böngésző nem panaszkodik" azzal nem jobb, legfeljebb kényelmesebb lesz, mint egy self signed, vagy egy sajác céges CA által alávésett cert.
Az meg legyen a firefox baja (és eléggé nagy baja neki!), hogy nem lehet egy adott körben (v.ö: nagyvállalati felhasználás) központilag menedzselni ezeket a dolgait - sem.

third party cucc van a group policy-s installaciora: http://www.frontmotion.com/Firefox/
ettol fuggetlenul tenyleg fajo pont ennek a featurenek a hianya
http://support.mozilla.com/hi-IN/questions/752553

Tyrael

Most ezt minden egyes alkalommal el fogjuk játszani, amikor szóba kerül?

2009-ben is megállapítottad, hogy nem ér szart sem, mert nem ellenőrizték.

És akkor is elmondtam, hogy de igen, ér. Sokkal jobb, mint egy self signed cert, mert a böngésző, meg a levelezőprogram nem panaszkodik.

Természetesen netbankhoz nem felel meg, sőt, semmi olyan feladatot nem bíznék rá, ahol pl. meg kell adni személyes adatokat.

De nehogy azt mondd már, hogy egy olyan szerveren, amit a haveri kör összedobott pénzéből vettünk, és az emberek levelezésre használják, meg akinek kedve van, valami kis weblapot tákol rajta, ott nekem jópénzért azonosított tanúsítványt kellene használnom.

Te azt mondod, nem jobb, mint a self signed. Szerintem jobb, mert a böngésző nem reklamál.

Te azt mondod, hogy jobb egy magasabb fokozatú, ami valódi azonosítás után vásárolható. Mondd meg nekem, légy szíves, hogy miért jobb?

Az én konkrét példámban.

Köszönöm
G

A class1 cert. auth. nem jelent mást, csak annyit, hogy szavatolja, hogy akivel felvetted a kapcsolatot az a www.valami.com semmi mást nem jelent. A tanúsítás jelenleg azt jelenti, hogy az általad megbízhatónak ítélt tanúsítvány kibocsájtó szavatolja hogy https://www.valami.com/ -hoz csatlakoztál. Ez elég fontos dolog, enélkül bármilyen más címhez csatlakozhatsz. A self signed certificate jelen esetben azért szar példa (nincs megbízható személy által adott tanúsítás), mert ilyenkor csak az van szavatolva, hogy ha MÁR jártál itt és NEM új a tanúsítvány ezért te böngésződbe BERAKTAD mint elfogadott tanúsítványt akkor már tudod következő alkalommal, hogy nem vicceltek meg és ugyanoda csatlakoztál (jó eséllyel). Míg külső tanúsító (class1 auth.) esetén első találkozáskor sem merül fel ez a bizonytalansági tényező, mivel van megbízható harmadik fél.
Ha te szeretnéd valamilyen elgondolásból a tanúsítványban szerepeltetni a nevedet akkor Class2 tanúsítványt szoktak kiállítani ebből a célból. Ha a class2 tanúsítványba személyesen fel akarod tüntetni a neved akkor a validáció rád fog vonatkozni, azaz arra, hogy az oldalt Zeller futtatja.
Ilyenkor a személyt azonosítják. Pl. két független fényképes igazolvánnyal, és ajánlott levéllel a címedre ami az igazolványodban szerepel. Lehet te ezt sem találnád megfelelőnek, mert a sötétben bujkáló rémhírterjesztő ellenforradalmárok meg tudják a levélben lévő titkos kódot és a nevedben megtévesztik a kibocsájtót, és regisztrálnak helyetted. Ehhez nem kell más mint megszerezni az irataidat, és postán ismerőssel rendelkezni.
Szervezet esetében a validáció ugyanez, de ilyenkor az adatokhoz (céges cím stb) valamilyen hivatalos forrásból jutnak hozzá (cégnyilvántartás). Sokszor a publikus telefonkönyvet is használják és abból lekért adatokból telefonhívással győződnek meg róla, hogy valóban attól a cégtől kereste őket valaki. A cég részéről pedig hivatalos meghatalmazás kell általában már előbb validált magánszemély részére, hogy kérhet olyan cert-eket amelyekben a cég neve szerepel.
Attól azonban hogy van egy class2 cert-ed és ezzel valamilyen bizonyosság hogy ki is üzemelteti a domaint nem sokkal ér többet mint a class1 mert sok helyen csak arra vállalnak garanciát, hogy a regisztrációkor minden rendben volt. És valaki a te nevedbe járt el.
Ha komolyan akarod neked EV-re van szükséged amelyhez az összes általam ismert CA kért közjegyzői részvételt. Na amennyiben ez sem elég, akkor nincs mese, személyesen kell mindig felkeresned a Csányit ha az OTP-ből akarsz lóvét.
(Légyszi ne vedd magadra az iróniát. Az írásodnak, az itt lévő hozzáállásnak szól és nem a személyednek)

meg annyi megjegyzes, hogy a certekre szolo garancia is csak arra szol, hogy mas nem fog tudni erre a domainre valid certet craftolni, vagy a titkositast visszafejteni.
a privat certet ellopni ennel nagysagrendileg egyszerubb, es nincs is ra warranty ertelemszeruen.

Tyrael

Még valami nagyon fontos:
Ne tegyél a domain tulaj és egy SSL tanúsítvány közé semmilyen relációt. A certben lévő adat az hogy a CN-ben tanúsított entitás hozzá tartozik, de nem biztos, hogy ő regisztrálta, ő tartja fönt vagy valami hasonló, csak azt, hogy ő rendelkezik a jogokkal afölött a CN fölött és az lehet 23. al-domain valami más stb.

> Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt.

Elobb linkeltem.

http://www.startssl.com/?app=25#2

Azt mondja a faq, hogy:

"The certificate is for my company, what shall I do?

In the Class 1 settings (free) [...] relationship between StartCom and [...] natural persons. [...] no relationship with the organization [...]
Organizations should perform Class 2 validation and an organization name may only appear in a digital certificate at Class 2 level and higher."

> A céges weboldalon Nagy Ödön tulajdonost meg végképp nem értem.

Igen, azt en neztem be. Most mar latom, hogy nem Nagy Odon lesz a certen, hanem "(unknown)". Akinek ez megfelel, annak tokeletes a free cert.

nem egeszen ertem, hogy akkor szerinted mit jelent ez a mondat, de szerintem azt jelenti, hogy az ingyenes certben nem tuntetnek fel ceget/szervezetet, ha ilyet szeretnel, akkor neked a >= Class 2 cert kell (fizetos)

Tyrael

Az amelyik angolul van?

Nekem azt jelenti, hogy a StartCom free cert eseten nem all semmilyen kapcsolatban a ceggel, csak maganszemellyel. Ha ceges certet akarsz (amiben ott a ceg neve), akkor vasarolj class 2-eset.

Tehat nem ad cegnek ingyenes certet. Csak maganszemelynek. Cegnek nem.

gee azt mondja, hogy "Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt."

Erre linkeltem/ideztem a StartCom faq-jat, ami szerinted es szerintem ugyanazt jelenti, espedig hogy csak maganszemelynek adnak.

Nem ertem, hogy mit nem ertesz.

nem volt vilagos, hogy erre celzol.
semmilyen jogi, vagy technikai akadalya nincs, hogy a cegem weblapjara ingyenes startssl certet rakjak ki.
am ha szeretnek olyan certet, amin szerepel a cegem neve, mint tulaj, akkor azt javasoljak, hogy vegyek toluk Class 2 certet.
szerintem ezt jelenti amit irnak.

Tyrael

Igy van. Akinek jo az "(unknown)", annak jo a free.

Talan ott a felreertes, hogy amikor azt mondom "ceges cert", az nalam azt jelenti, hogy a ceg neve van benne, nem azt, hogy egy ceg altal hasznalt cert.

Olyan ez, mint hogy hasznalhatom en a sajat kocsimat a ceges feladataim elvegzesere, de attol az meg nem lesz cegauto.

Ha jól értelmezem, akkor a cégeshez először personal validation-t kell csinálni, majd utána jöhet a céges. Kezdeményeztem a personal validation-t (50USD). Elküldtem a személyi/jogsi másolatát - erre kértek még telefonszámlát ami a címemre szól. Ilyet nem tudtam adni, mivel céges mobilom van. Most levelet adnak fel, követni kell az abban leírtakat - ha megérkezik.
Beszámolok majd arról is.

Ha fizetsz (és azonosítanak), lehetsz Web-of-Trust notary, amivel másokat is hitelesíthetsz.
Amennyiben hitelesítettek - ilyen v olyan módon - úgy belekerülhet a neved a certificate-be.

Általában a lakcímedet akarják azonosítani.

Ha telefonszámlád nincs, de van más számlád, pl. villany, internet, kábeltv, gáz, azt el szokták fogadni. Van, ahol az adott címre érkező bankszámla kivonatokat is, de ezt nem mindenhol.

Persze cégtől függ, de érdemes lehet megkérdezni őket.

És persze a lakcímkártyádat is ajánld fel, bár a küldöldiek nagy része nem tudja mi az, ezért nem is fogadja el.

felajánlottam a következőket:
-lakcímkártya
-bankszámlva kivonat
-áramszámla (ezek vannak a nevemen)
-valamint azt is, hogy paypal helyett saját néven lévő kártyával fizetek.

Ha a saját jól definiált, és elfogadott szabályaikban x, y és z szerepel, mint elfogadható azonosítás, akkor nem fognak mást elfogadni - szerintem jogosan.

Megérkezett postán az azonosító levél, mostmár megvan a WoT Notary jogosultság is. Kecskeméten szívesen azonosítok :-)

Megpróbálom leírni, hogy mire jó egy domain-validated certificate (tehát ahol csak a domain név birtoklását ellenőrzik, a személyes adataidat nem), mert volt pár félreértés ezzel kapcsolatban. A startcom kapcsán jött elő a kérdés, úgyhogy róluk is írok, de az eleje a többiekre is érvényes.

Képzeld el, hogy egy nyilvános vezeték nélküli hálózatot használsz, és meglátogatod a kedvenc fórumodat, blogodat, stb. Ha ezt nem egy nagy cég üzemelteti, akkor valószínűleg nincs ssl-lel védve. Bárki, aki a közelben van, az internetről készen letölthető eszközökkel lehallgathatja a forgalmat, megszerezheti a jelszavadat, felírhat bármit a nevedben, sőt ha máshol is ugyanezt a jelszót használod, akkor pl. az e-mailjeidet is elolvashatja. Ez kellemetlen, jó volna titkosítást használni, de ettől még az oldal tulajdonosa nem szeretne (sokat) fizetni érte.

A böngészőkbe be van építve egy titkosítási protokoll, az SSL (technikailag a TLS helyesebb lenne, de ez kevésbé ismert). Ez úgy kezdődik, hogy a szerver és a kliens megállapodik egy közös kulcsban, amivel az adatforgalmat titkosítani fogják. Itt a kritikus szempont az, hogy a támadó ne tudjon beékelődni a két fél közé. Ha ugyanis el tudja hitetni a klienssel, hogy ő a szerver, a szerverrel pedig azt, hogy ő a kliens, akkor hiába titkosított a csatorna a kliens és a támadó, illetve a támadó és a szerver között, mégis rajta keresztül megy az összes adat.

A hálózat alapból nem teszi lehetővé a kliens számára, hogy egyértelműen meggyőződjön arról, hogy ki a szerver. Ő csak elküldi az adatokat, és visszakapja a választ. Az SSL esetében ez úgy van megoldva, hogy egy megbízhatónak minősített harmadik fél kiállít egy tanúsítványt arról, hogy mi az example.com domainhez tartozó ún. nyilvános kulcs, és a kulcscsere során a kliens ezt leellenőrzi. Ahhoz, hogy a támadó egy érvényes tanúsítványt szerezzen, hozzá kell férnie mondjuk a domain postmaster címéhez, ami lényegesen nehezebb, mint a kliens forgalmának a lehallgatása.

A megbízható harmadik felet hitelesítésszolgáltatónak (certification authority, CA) hívják. Ezek szinte kivétel nélkül üzleti alapon működnek és általában elég borsos árat kérnek egy tanúsítványért, ami a pénzügyi cégeknek nem gond, de egy fórum üzemeltetőjének vagy egy bloggernek már igen. Több olyan kezdeményezés is volt, ami a közösség számára elérhető ingyenes tanúsítványok kiállítását tűzte ki célul. Ezek közül talán a legismertebb a CAcert, de a böngészők ezt sem ismerik el megbízhatóként (sajnos jogosan). A Mozilla projektnél többször előkerült ez a kérdés, mert az opensource közösségnek persze nem tetszik, hogy a titkosításért fizetni kelljen.

Pár éve Eddy Nigg, aki aktív résztvevője a cacert-policy és a mozilla.dev.security.policy listáknak, létrehozott egy saját, üzleti alapon működő hitelesítésszolgáltatót, a StartSSL-t azzal a filozófiával, hogy csak azért kér pénzt, ami tényleges munkát jelent nekik. Az automatikusan kiállított Class 1 (DV, vagyis domain validated) tanusítványokat ingyen adja, vagyis tulajdonképpen elsőként megoldotta a fenti problémát a nyílt forrású közösség számára. Ezek a tanúsítványok nem tartalmaznak semmilyen személyes információt a domain néven kívül.

A Class 2 tanúsítványoknál tényleges ellenőrzés történik. Magánszemélyek esetén ez abból áll, hogy elküldesz pár okmányt szkennelve, utána pedig felhívnak telefonon és feltesznek néhány ellenőrző kérdést. Engem egész konkrétan Eddy hívott fel. A Class 2 pénzbe kerül, de többet nyújt, mint az ingyenes változat (pl. wildcard címhez is kérhetsz tanusítványt), és itt a neved is szerepel benne. A firefox alapból csak az ún. EV tanúsítványoknál mutatja a nevet, a többinél (unknown)-t ír, de pár plusz kattintással ott is meg lehet nézni. Amúgy az ingyenes tanúsítványba is bekerülhet a neved, ha két Class 2 tanúsítvánnyal rendelkező ember leellenőrzi a személyazonosságodat.

A véleményem az, hogy DV tanúsítványért nem érdemes pénzt kiadni. Ha szükséged van valami extrára, akkor persze más a helyzet.

"Amúgy az ingyenes tanúsítványba is bekerülhet a neved, ha két Class 2 tanúsítvánnyal rendelkező ember leellenőrzi a személyazonosságodat."

StartSSL-es Class2 tanúsítvánnyal rendelkezőknek kell leellenőriznie, vagy bármelyik Class2 tanúsítvánnyal rendelkezőknek?

Szerintetek hogy találhatnánk ilyen tulajokat? Még nem teljesen értem a név kérdést pontosan (magánsszemély vs. cégnév a free certben), ezért újra rákérdezek. Ebben az esetben ugye bekerül név a free ssl-be, ekkor cégnév is bekerülhet vagy csak magánszemély neve?

köszi a részletes leírást, remélem nem rosszak a kérdéseim.

Tök jó, hogy egy másik topikban feltett kérdésre, a warranty-ra is megtaláltam a választ :)

üdv

tiborg

StartSSL-es Class2 tanúsítvánnyal rendelkezőknek kell leellenőriznie, vagy bármelyik Class2 tanúsítvánnyal rendelkezőknek?

Olyan személy kell, aki már legalább egyszer kapott StartSSL-es Class 2 tanúsítványt, de nem kell, hogy érvényes legyen. Viszont ha nem érvényes, akkor neki is le kell magát ellenőriztetnie évente valaki mással.

Szerintetek hogy találhatnánk ilyen tulajokat?

Hozz létre egy accountot, utána válaszd ki a honlapon felül a "StartSSL WOT"-ot, majd bal oldalon a "Notary Finder"-t.

Még nem teljesen értem a név kérdést pontosan (magánsszemély vs. cégnév a free certben), ezért újra rákérdezek. Ebben az esetben ugye bekerül név a free ssl-be, ekkor cégnév is bekerülhet vagy csak magánszemély neve?

Tudtommal csak magánszemély.

A céges kérdésekkel kapcsolatban nincs tapasztalatom, mert eddig csak magánszemélyként volt kapcsolatom velük. De megkérdezheted a certmaster kukac startcom pont org címen, általában gyors és korrekt válaszokat szoktam kapni.

Végigfutottam ugyan és lehet h felületes voltam, de nem láttam azt a tuti tippet. Lett végül is?

thx 4 hint

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

azt tudja valaki, hogy a Firefox mi alapján jelzi kék vagy zöld háttérrel a hitelesített webhelyet a címsorban? Rákerestem többször is, de nincs találat. Gondolom a zöld a drágább, a kék meg az olcsóbb tanúsítvány? Egy "zöld" tanúsítvány mennyibe kerül, tehát hogy zölddel jelölje a Firefox?

Asszem startssl-nél pl 50USD helyett 200USD

a zold cert az az extended validation cert:
http://en.wikipedia.org/wiki/Extended_Validation_Certificate

startssl-tol is lehet venni:
http://www.startssl.com/?app=30

Tyrael

A Netlocknak nincsen ügyfélszolgálata?

Április 10-e óta próbálok tőlük kérdezni. Emailre nem válaszolnak, pedig mindig visszajön az igazolás, hogy fogadták az emailem, és még egyedi azonosítót is rendelnek az ügyhöz.

Ha felhívom őket, akkor először váni kell kicsit, amíg kapcsolnak egy ügyintézőt.

De fél perc múlva mindig ugyanaz a szöveg jön, csak üzenetrögzítő jön be, arra kell rámondani a problémát, és majd megkeresnek... Aha, lószart keresnek meg.

Hogy lehet ennyire szar a Netlock "ügyfélszolgálata"? És ha lenne valami sürgős problémám, akkor hogy találnám meg őket?

Egyáltalán létezik ez a cég?

Lehet jobb lenne munkaidőben hívnod őket. Érdekes, nekem mindíg összejön a kapcsolat velük.

---
Song of the 2nd Moon http://youtu.be/MSoAzONw-a4

Munkaidőben hívtam többször is, és több osztályt is próbáltam elérni, mindenhol üzenetrögzítő fogad.

Nekem szerencsém volt, mert eddig én mindig elértem őket munkaidőben, de a leveleimre is hamar válaszoltak. A levelemre azonnal jön automatikus válasz, amiben van egy ticket, ami alatt fut az ügy.

--
trey @ gépház

"Emailre nem válaszolnak, pedig mindig visszajön az igazolás, hogy fogadták az emailem, és még egyedi azonosítót is rendelnek az ügyhöz."

Tyrael

Láttam már olyant, akinek a spamfolderében ott sorakoztak a levelek olyan helyről, ahonnan azt hitte, hogy sosem kap választ. :)

Az, hogy se telefon, se levél egy hónapja az számomra teljesen hihetetlen.

--
trey @ gépház

+1

Meg kell hogy erősítesem, e-mailekre pár óra után válaszolnak munkanapokon. Hétvégi levél esetén meg hétfő délelőtt mindíg megjött válasz.

---
Song of the 2nd Moon http://youtu.be/MSoAzONw-a4

Spam mappában sincs ...

Tértivevényes ajánlott levél?:)

Tudom, ezer éves a topic, de az sslshop.hu-val van valakinek tapasztalata?

Ha már feljött: cégemhez vennék, elsőre adta magát a netlock (400 dodótól olcsóbban én se láttam verisign-on).
Van valami jobb, megbízhatóbb, olcsóbb, egyszerűbb, stb. alternatíva?

ha a dodo nem a kihalt kacsa, akkor ez olcsobbnak tunik: http://www.thawte.com/ssl/index.html

Diktatorok kezikonyve

Ilyen thawtés 123-asat adok én neked br. 10 ezerért.

StartSSL?

+1

Tyrael

globessl
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

A globessl nem rossz, én is gyakran használom, de a CA-ját sajnos ahogy annó tapasztaltam sok böngészö nem ismeri, így be kell rakni a webszerver-be.

Viszont a Comodo-é ahogy néztem benne van, és a szimpla domain validation ssl egyáltalán sem/nem drága:
http://www.gogetssl.com/

Cserebe nem minden tanusitvanyuk ervenyes implicite a www cimre is.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

En meg nem talalkoztam ilyen bongeszovel Android,IOS,Linux,Mac,Windows mindenhol mukodik.
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

Ez komoly?
A 450 dodós comodo ssl-t adják 230 dodóért? És az 50 dodósat pedig 4 dodóért? Hogyan?

nagy tételbe veszik. rapidssl, thawte is ilyen.

sub

Tudnátok olyan SSL certificate-et ajánlani, ami kiszolgál 2 sub domain-t?
Nekem csak a webmail.xy.hu és a mail.xy.hu címhez kellene, hogy ne írjon mindig az ügyfélnél és ne kelljen a kivételek közé se tenni.
Ha jók az információim, akkor a Rapid SSL single domain esetében csak egy sub domain-re van lehetőség, ők a wildcard-ot ajánlják, viszont annyit nem akarok fizetni,mert nincs értelme esetemben.
A segítségeket köszi előre is!

Ha nem akarsz költeni rá, akkor startssl-nél csinálsz mindkét subdomainre.

Olyat nem tud, csak fodomainre adnak ingyenes certet.

De. :)

+1

Pont tegnap csináltam a lejárófélben lévő egyik certem helyett újat és lehet. Már évekkel ezelőtt is volt ugyanazon domain alá vagy 3 subdomainre certem.

Vegyel UCC SSL-t barmilyen domain-t beletudsz rakni ami nekunk van abba 10 db-t es barmikor tudod valtoztatni.
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

Hali!

A Comodo PositiveSSL esetén van lehetőség multi domainra. Ez talán a legolcsóbb megoldás.

Szia,
Szerintem két sima Rapid SSL-t lenne célszerű venned, wildcard helyett.
(Ha gondolod tudok segíteni a beszerzésben is, csak írj rám.)

Mindenkinek itt felettem: a ket certtel az a baj, hogy ketto darab IP is kell hozzajuk, hogy fajan menjen minden. Valszinu emberunk azert akar egy certet, mert egy IP-je van hozza.

Az SNI meg mindig nem tamogatott teljes mertekben mindenutt, es meg egy darabig nem is erdemes ra szamitani.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ez igy ilyen formaban nem igaz, az SNI egyedul Windows XP-n nem tamogatott IE alatt, minden mas erdemi bongeszo tamogatja.

Azert bele lehet szaladni furcsa bugokba. Par ismeros keresett mar meg azzal, hogy Firefox + apache + SNI, es valamiert mindig sir, hogy nem jo neki a tanusitvany, mert a masik site-et kapja meg. Es ilyenkor nem tudsz mit csinalni, mert nincs nagyon sulyozasi lehetoseg, at lehet tenni masik IP-re a cuccot, es akkor mukodik.

Nem veletlen, hogy a nagyobb control panelek sem eroltetik az SNI-t. A tamogatott meg a mukodik kozott meg mindig van egy kis res, meg mindig nem teljesen szazas minden.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Hat mi eleg regota hasznaljuk es eddig senki sem szolt erte ,hogy nem mukodne.
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

Én most próbálom a startssl ingyenest, egyelőre tetszik. Felismeri chrome, ff, ie, annyit kellett igazolni hozzá, hogy enyém a postmaster@domain mailcím.

Azt azért érdemes szem előtt tartani, hogy ez egy ingyenes cert, ergo garancia sem nagyon jár hozzá. Ergo olyan projecthez használd, ahol ez a része tényleg nem kritikus. Egy komolyabb site esetén megéri kifizetni egy nagyobb osztályba sorolt certet.

Naja, plane hogy a StartSSL-el 120 USD-ert kapsz lehetoseget arra, hogy korlatlan szamu domainre ami a Te neveden van, certeket allits ki. Az ar ha nem is elhanyagolhato, de toredeke a szerver aranak.

Na ezt még nem is láttam. Ez akkor azt jelenti, hogy köztes aláíróvá válhat az ember fia a saját domainei esetében?

Nem.

Nem. Ez azt jelenti, hogy a startssl a te ellenőrzésedért kér pénzt (hogy te vagy te, és jogosult vagy az adott cég/jogi személy nevében eljárni), nem pedig per cert kéri a pénzét (mint a nagyok).

igen, egy egesz evig ervenyes a validalas. utana ujra kell validalni (megujitas stb.), szinten $120. tehat ha nem egynel tobb evre kered a certet akkor $120 / ev. igaz, barmennyi cert-et kapsz ennyiert.

StartSSL-nél a class2-es és feletti certek alapból 2 évesek.

nem beszélve arról, hogy:
hitelesítenek, kiállítod a cert-et .
mielőtt lejár a TE hitelesítésed (és a cert-ed) ki tudod állítani a cert-et újabb 1(vagy 2) évre.

Nem, StartSSL-nél, adott domain névre ha már van tanúsítványod, csak az előző lejártát megelőző 14. naptól tudsz kiállítani tanúsítványt ugyanarra a domain névre.

1 évre meg nem tudsz kiállítani, a 2 év fixen van, legalábbis class2-nél.

tanúsitványt visszahívni is lehet, szerintem

A StartSSL-nél 50 USD-ért.

a 120USD -ért már céges írhatsz alá, ugye? míg 50 (60?) USD-ért magánban.
Azaz először magánemberként azonosítanak, majd cégként. De erősíts meg (v cáfolj).
Amíg nem számít, hogy a certben Kovács Elemér / Kovács kft látszódjon, hanem unverified (vagymi) addig jó az ingyenes is.

Már csak azért sem mert az ingyenes certjük nem alkalmazható kereskedelmi célra (link). Ezt illik komolyan venni.

Olyannyira komolyan veszik, hogy ha a domainnevben barhol erre utalo karaktersorozat fordul elo (pay, buy, stb) akkor egyszeruen bannoljak a kervenyedet. Mi egy ugyfellel jartunk igy, a ceg neveben elofordul egy bannolt betusor (es nem foglalkoznak kereskedelmi dolgokkal), mar bannoltak is a kerest. Meg kellett venniuk a fizetost.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.