Hiteles SSL tanúsítvány vásárlás

Web, mail, IRC, IM, hálózatok

Sziasztok,

Az iránt szeretnék érdeklődni, hogy ki hol szokott SSL certet venni webszerveréhez, esetleg mailszerveréhez? (Olyan kellene ami megy FF, IE, Chrome-ban is). Nagyon sok helyen lehet vásárolni, de gondoltam hátha ad valaki egy tuti tippet.

Köszi,
Zoli

  • 26223 megtekintés

ha az SSL titkosítás megléte a cél, akkor nem tudom elképzelni, hogy mivel lenne nekem jobb egy 80 ezer forintos certificate, mint egy 20 ezer forintos.

ha az aláíráshoz hozzáadott értékként jelentkező "garancia" számít, akkor esetleg, bár nem tudom, hogy gyakorlatban mire lehetne azt felhasználni (szolgáltató-oldalról)

Ha az SSL titkosítás megléte a cél, és nem akarsz rá sokat költeni, akkor startssl. Ingyen.

Ehhez garancia nem sok van (csak azt ellenőrzik, hogy a domain a tiéd-e).

Firefoxban, ilyesmiben megy alapból, IE-ben nem.

De ha olcsó magyar tanúsítványt veszel, az ugyanúgy vagy megy, vagy nem az elterjedt böngészőkben.

Legutóbb pl. azt hiszem, a magyarorszag.hu-nál panaszkodott, vagy az apehnél, már nem tudom.

Persze, tudom, a tanúsító CA-ját kéne telepítenem.
De ugyanezt persze a startssl tanúsítványával is meg lehet tenni IE-ben.

igaz, de

"Ha mar telepiteni kell a tanusito CA-jat, akkor en is adok neked certet, tok ingyen, csak tedd fel melle a CA certet is, mert kulonben ordibalni fog."

ez a mondatod, a web of trust-os certre utalt, azt a legtobb major browser nem tamogatja alapbol, te is ezert irtad, hogy rakja fel a CA root certjet a kliens melle.

Tyrael

Nem azzal a mondattal az openssl-es sajat itthoni CA-mra utaltam, tok aranyos, meg elbujik a laptopon, szoval meg mobil is. Es en adom ki a certeket, szemelyesen. Csak ettol meg nem lesz megbizhatobb (mint en).

Egyebkent megmondom oszinten, nekem a legjobban a cacert.org jott be az ilyen ingyenes CA-k kozul. Egyszeru mint a faek, es en mondom meg, hova kuldje a tesztlevelet. Es tud subdomain authorizaciot is, nem erdekli, hogy a fodomain kie, ha az aldomain az enyem.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

én speciel nem beszélek angolul, a könyvelőm sem beszél angolul, és 100%-ban belföldi üzletfeleink vannak.

eddig kb. 2-3 alkalommal fordult elő, hogy külföldről vettünk valamit neten. ilyenkor mindig meg kellett futni az alábbi köröket:

- nyelvi nehézségek
- probléma a fizetésnél (bankkártyánkat esetleg nem fogadja el a túloldal, deviza-konverziós költségek, átfutási idő, stb.)
- beérkezett, idegen nyelvű/ismeretlen formájú számla probléma a könyvelésnél, elszámolásnál

éppen ezért, ha van választás, akkor inkább hazai szolgáltatót választok.

akkor miert nem angolul irtad a konyvedet?
A: nem eleg hozza az angol tudasod -> onellentmondas
B: a magyar piacra szantad a konyvet, es ott nem beszelnek elegen angolul -> onellentmondas

(ps, luxus az, amit kevesen engedhetnek meg maguknak, ha a piac nagy resze nem beszel (jol) angolul, akkor az azert van, mert megtehetik)

Tyrael

Elegge leegyszerusitett valaszokat probalsz a szamba adni. A valasz egyebkent C.

C: ha eleg is hozza az angol tudasom (btw. ezt mar sose tudjuk meg, ill. az anyag nagy resze angol nyelvu forrasbol szarmazott), es ha a magyar piac nagy resze beszel is jol angolul (ezt sem tudhatjuk biztosan), akkor sem indokolta semmi, hogy 3 evvel ezelott angol nyelven irjak a magyar piacra konyvet a spamrol. Maskent: csak azert, mert valamit megtehetnenk, meg nem kell megtennunk.

A luxusnak valoban van egy olyan ertelme is, hogy amit kevesen engedhetnek meg maguknak. De itt egyszeruen arra gondoltam, hogy az angol olyan szinten vilagnyelv, hogy nem ismerni a globalizalodo vilagban luxus (=nagy fenyuzes). Es hiaba magyar minden megrendelo, elobb-utobb ereztetni fogja magat ez a hianyossag.

HF*P portal - politika, flame és offtopic huppereknek szabadon!

Nekem az ellenkezőjére van példám a Netlockkal, pénteken beadott igénylésre következő hétfőn a kezemben volt az A osztályú SSL tanúsítvány. Nem mondom, hogy nem kellett noszogatni őket egy kicsit, de akkor az volt a lényeg, hogy van tanúsítvány az induló szolgáltatáshoz.

Ezen kívül két éven át kb. két tucatnyi különböző tanúsítványt kellett venni/hosszabbítani és jellemzően elég rugalmasak és segítőkészek voltak. Ami viszont tény, volt, hogy a számlázás körül voltak nehézségeik, amik nekem jelentettek kellemetlenséget (pl. rég kifizetett tanúsítvány számlájával kapcsolatban a tanúsítványtulajdonosnak - ügyvezető igazgató - küldtek fizetési felszólítást. Ebből kisebb botrány lett, de többet nem fordult elő hasonló.)

( procika v | 2011. 01. 29., szo – 14:43 )

Sziasztok!

Most rendeltem többet is az ezit.hu -tól. RapidSSL legkisebbjét. Csak a titkosítás végett kell belső rendszerhez. Nem akarom mindenkinek magyarázni miért kell hozzáadni a kivételt, miért piros stb. így pár ezer forintért vettem hitelest.
Szükséges a magyar számla így rögtön a szolgáltatótól nem vásárolhatom.

Netlock-os tanúsítványom volt levelezéshez, személyes aláíró tanúsítvány nem volt vele gondom. Azért nem vettem meg következő évben mert az ingyenes InstanSSL-el sincs baj mail esetében.

Hozzáteszem, hogy egyik esetben sincs szükségünk minősített tanúsítványra, garanciákra stb.

Valaki használja a StartCom féle ingyenes tanúsítványt? Nekem minden böngésző elhasal a https://auth.startssl.com/ oldalon, tanúsítvány hibára hivatkozva.

regisztracional a browserbe fel kell telepitened egy certet, ha hianyzik ez a lepes, akkor latod a hibat, imho.

Akkor mennyiben tud ez többet, mintha a saját CA-mmal csinálnám a certet, és a saját CA-m certjét telepíteném a browserbe?

Az, ami miatt az ember hajlandó fizetni jelentős summát egy ilyen "hivatalos" certért, hogy olyan certet kapok, amit egy olyan CA írt alá, ami már benne van a standard böngészőkben. Ha az IE + FF nem tartalmazza az adott banda CA certjét, akkor ássák el magukat. SZVSZ.

"Akkor mennyiben tud ez többet, mintha a saját CA-mmal csinálnám a certet, és a saját CA-m certjét telepíteném a browserbe?"

Annyiban, hogy a hitelesítő cég tud TLS-proxyt játszani és interceptelni a kapcsolataidat ;-)
Az egyetlen biztos megoldás saját cert, jó memória és fingerprintnézegetés...

Azt azért vetted, hogy általánosságban nem a titkosítással, hanem az azonosíthatósággal van baj ugye? A pont pont titkosítás főleg ha elrejtés is van benne, akkor elég jól védhető, és hülyeség hozzá SSL-el játszani. Amúgy a mit miért használunk szakmai kritika mellett van baj az összeesküvés elmélettel is amit írsz. Az inkább tényleg a vélemény dolog, amibe személyes jellege miatt nem másznék bele.

Ez csak akkor igaz, ha a privát kulcsodat odaadod a hitelesítő cégnek (amely esetben user error) vagy csinálnak magunknak ugyanarra a névre egy másik certet ugyanarra a névre, ami ellen nem tudsz védekezni, mert bármelyik cert kibocsájtó csinálhatna a domain nevedre certet, ha jól meg nem izélnék érte, ha kiderül.

szerintem bithumen is ugy ertette, hogy a tamadashoz meg be is kell valahogy ekelodnie az o es a celpont koze a halozatra a cegnek ahhoz, hogy tudja transzparensen oda vissza fejteni a kommunikaciot.
ha tenyleg annyira paranoiasok vagytok, hogy nem biztok meg a hitelesito cegekben, akkor ne felejtsetek el a sajat root certeteken kivul az osszes tobbit kipucolni a bongeszobol, etc. mert kulonben ha feltetelezzuk roluk a rosz szandekot, akkor jo ha tudjatok, hogy barmelyik hitelesito ceg barmilyen domainre tudna csinalni olyan certet, amit a kliensek alapbol megbizhatonak tartanak, es man-in-the middle eseten be tudna ekelodni barhova.
persze ehhez meg mindig kell az, hogy hozzaferjen a halozathoz.

anno olvastam egy blogbejegyzes, valamelyik certes cegnek szar volt a domain validacios rendszere, es 1 srac tudott naluk generaltatni valid public/private kulcsokat valamelyik nagy oldalhoz probakeppen, amivel mar siman el tudta volna erni, hogy a phissing site-jat(amit akar man-in-the-middle -lel, akar dns poisoning-gal, akar mas eszkozokkel betol a userek ora ele) a bongeszok is hitelesnek tartsak.

Tyrael

felreertesz
bar van cacert-hez hasonlo cuccuk is, ha jol tudom (tehat browserek altal alapbol nem tamogatott rootcertest moka -> The StartSSL™ Web-of-Trust), de en nem erre celoztam a cert telepitessel.
a regisztracios, es authentikacios folyamat reszekent bekerul egy cert a bongeszodbe, ami arra szolgal, hogy elerhesd a startssl-es vezerlopultot, tehat nem jelszo/pass authentikaciot hasznal az oldal, hanem cert-eset.
nem tudom, hogy hogy keverted ide a fizetos certeket, amirol mi beszelgettunk, az egy 1 eves ingyenes, a browserek altal defaultbol elfogadott cert.

Tyrael

Most megnéztem, amúgy is lejárt az egyik tanúsítvány, jó lenne egy újat generáltatni, de mind a firefox, mind a konqueror elhasal.

A régi belépési tanúsítvány valószínűleg már nincs meg (konquerorban sosem volt), de azon a lapon, ahol regisztrálni tudnék, konquerorban kb. azonnal, firefoxban kb. 2s után bejön egy lap, hogy nem tudott az én gépem megegyezni a titkosításban a szerverrel, ezért a szerver elküldött a levesbe.

Ha a 2s lejárta előtt rákattintok, hogy sign up, akkor az megy, és tudom folytatni.

Ha jól emlékszem, régen akkor volt ilyen üzenet, amikor az én certem nem volt jó a belépéshez. Csak nem értem, hogy ha mondjuk lejárt, vagy nincs is, akkor miért nem hagyja, hogy nézzem a lapot egy ideig...

G

/OFF
"Csak a titkosítás végett kell belső rendszerhez. Nem akarom mindenkinek magyarázni miért kell hozzáadni a kivételt, miért piros stb. így pár ezer forintért vettem hitelest."
Azt hiszem tavaly vagy tavalyelőtt a magyarorszag.hu-nál volt cert probléma(ráadásul pont bevallási időszak alatt), amikor kivételként hozzá kellett adni a böngészőben. Mivel nálunk is van 250 munkaállomás és jópár okos user aki az istennek sem akarta megérteni, hogyan kell kivételt hozzáadni, ezért hozzáadtam én a sajátomhoz(firefox), majd a cert_override.txt-t netlogonnal szétszórtam az XP-s gépeken.
/ON

Épp ez a gond, hogy nem mindenki veszi szigorúan a dolgokat, ergo annyit is ér egy jogvitában az adott kibocsátó tanusítványa (mit tanusít? Azt, hogy az igénylő azt állította, hogy ő kispista, vagy azt, hogy a kibocsátó meggyőződött arról, hogy az igényló kispista? Nagyon nem midnegy...).

Gyakorlatilag a Netlock és VeriSign SSL tanusítványai között nincs eltérés, max annyi hogy a Netlock nem vásárolta be magát minden böngészőbe, és mobiltelefonba. A Netlock SSL piaca kicsi, nem ebből élnek ezért annyiért adják a nem olcsó de jogilag korrekt SSL certet amennyi. A VeriSign alacsony áron is hatalmas üzletet csinál SSL-ből.
A Microsec és a Netlock elsősorban minősített tanusítványkiadásból és időbélyegzésből él, ügyvédi, közjegyzői, munkatársi stb tanusítványokat adnak ki. Ha megnézed a VeriSign minősített tanusítványait, akkor messze sokkal olcsóbb a Netlock, és kényelmesebb itt megoldani a személyi azonosítást, mint az USA-ba kiutazni.

szerintem itthon - ill. talán máshol is - ellenőrzik az adataidat (pl 1-2 fényképes igazolás). Olyat semmelyik cégnél nem láttam, hogy ezt interneten kereszül ellenőriznék. StartSSL esetén azt mondják (personal cert-hez), digitálisan küldjem el 2 fényképes igazolásom. Ezt gond nélkül megcsinálhatom akár magamnak, akár bármely embernek a nevében akinek bírok az adataival (pl lemásoltam vmilyen okból a személyi igazolványukat).

Ezért jogosnak tartom vagy a kiállító által történő személyes ellenőrzést, avagy - amit preferálnék - a közjegyző által történő hitelesítést. Örülnék, ha pl a MOK is tudna kiadni ilyen (személyes) cert-et, miután személyesen hitelesíttettem magam a helyi "partnernél" - azaz tetszőleges útbaeső közjegyzőnél. a rendszer megvan rá.

Nézd a SSL cert-el szemben a legfőbb elvárás (FQDN), hogy titkosított adatátvitel működjön, és a böngészők ismerjék a kibocsájtó cert-lét. Ez a Rapid-SSL, Verisign és társai esetében kifogástalanúl megvalósúl, míg a magyar szolgáltatók esetében van némi hiányosság.

A hazai elektronikus ügyintézéshez a Netlock vagy a Microsec által kiadott minősített CERT elengedhetetlen. Jó lenne látni az eltérést a fokozott biztonságú és minősített tanusítvány között.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

es visszajutottunk ahonnan elindultunk.
elmeletileg a Class 2/3-as certeknek letezik az Organization/Business validation, plusz ugye ott vannak az Extended Validation-os "zold" certek.
ha ezeknek a kibocsajtasa, illetve az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve Netlock/Microsec fele certet megkovetelni az allamigazgatasban, hanem lehetne azt mondani, hogy Class 2, vagy EV cert szukseges.
es hogy azt kitol veszed, az tok mind1.
persze valoszinuleg hogy a fent nevezett cegek nem feltetlenul orulnenek ennek.

Tyrael

az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve

Nincs nevesítve, hogy kik jók. Akik megfelelnek a törvényben előírtaknak, azokat elfogadják. EU-n belül mellesleg teljes átjárhatóság van, EU-n kívülről államközi egyezmény hiányában a dolog nem megy; a szolgáltatónak vagy kell keresnie egy EU-n belüli partnert, vagy kell alapítania egy leánycéget az EU-n belül.

nekem ugy tunt, hogy nem fogadnak el automatikusan minden szolgaltatot, aki megfelelne, hanem akkreditaltatnod kell magad, es ezzel felkerulsz arra a listara, akit elfogadnak onnantol kezdve.

http://webold.nhh.hu/esign/kozig/init.do

persze nem igazan vagyok otthon a temaban, most hirtelen olvastam olyat is, hogy egy 2004es torvenymodositas lehetove teszi az "önkéntes akkreditáció"-t.

btw. isszonyuan rosszak usability szempontbol a kormanyzati oldalak.

ps: azt tudom, hogy a szamlazashoz nekunk is a netlock-tol kellett vennunk certet, pedig amugy minden mashoz verisign certeket hasznalunk.

Tyrael

"ezeknek a kibocsajtasa, illetve az igenylo azonositasa egyforman szigoruan lenne veve, akkor nem kellene nevesitve Netlock/Microsec fele certet megkovetelni az allamigazgatasban"

A verisign USA-ban tevékenykedik rá az ottani szabályok vonatkoznak. Magyarországon minősített tanusítványt a 2001. évi XXXV. törvény szabályai szerint nyilvántartásba vett tanusító adhat ki. Amennyiben a Verisign megfelelne a fenti törvénynek és nyilvántartásba vetetné magát, akkor Ő is adhatna ki minősített tanusítványt. Nyilván ha üzleti érdeke lenne akkor megtenné, de erre a "kicsi" piacra nem vágyik.

Nincs nevesítve hogy Netlcok/Microsec certet kell venni. Az van nevesítve hogy minősített tanusítványt kell használni az államigazgatásban.

Minden szuverén országnak joga van a saját törvényei szerint élni. A Magyar szabályozás megfelel az EU normáknak, az meg hogy az USA miként jogharmonizál velünk a kutyát sem érdekli. A jogharmonizációt talán magában az USA-n belűl kellene elkezdeni, mert ahány államuk van annyiféle törvény létezik. Még a közlekedési szabályok sem egységek náluk.

Azt meg felejtsd el, hogy "védem a Netlockot", mert életemben nem dolgoztam náluk. A bankszektorban viszont annál inkább jelen vagyok (LOL), ezért van némi rálátásom a tanusítók munkájára mint ügyfelük.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

"A verisign USA-ban tevékenykedik rá az ottani szabályok vonatkoznak. Magyarországon minősített tanusítványt a 2001. évi XXXV. törvény szabályai szerint nyilvántartásba vett tanusító adhat ki."
Akkor jol irtam kicsit fentebb az ez elotti kommentemben. barki jelentkezhet, es ha megfelel, akkor felkerul a listara, akiket elfogadnak.

a nyilvantartasba vetel nem tudom, hogy mennyire nehezkes, vagy eppen mennyire protekcios.

"Nincs nevesítve hogy Netlcok/Microsec certet kell venni. Az van nevesítve hogy minősített tanusítványt kell használni az államigazgatásban. "
jo, de ha nyilvantartasba kell vetetni, akkor az mar azert majdnem ugyanaz.

"Minden szuverén országnak joga van a saját törvényei szerint élni. A Magyar szabályozás megfelel az EU normáknak, az meg hogy az USA miként jogharmonizál velünk a kutyát sem érdekli."
vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak (csak hogy ne ragadjunk le a VeriSign-nal, meg az USA-nal)? (RTFM, csak most nincs ra idom)

"Azt meg felejtsd el, hogy "védem a Netlockot", mert életemben nem dolgoztam náluk. A bankszektorban viszont annál inkább jelen vagyok (LOL), ezért van némi rálátásom a tanusítók munkájára mint ügyfelük."
nem csak a munkaadojat vedi az ember, szoval nem ertem, hogy miert pont erre celzol.
kulfoldon dolgozol bankszektorban es magyar cert kibocsajtokkal dolgozol?
uj magyar sikertortenet :)

Tyrael

Amennyiben a tanusító szervezet megfelel a külföldi törvényi feltételeknek akkor működhet külföldön is. A magyar orvos, bíró, ügyvéd, ügyész, rendőr stb. is akkor dolgozhatna külföldön, ha megfelelne az adott ország törvényi elvárásainak.

Természetesen nem használnak magyar tanusítót külföldön. Dolgoztam a K&H nevű műintézményben , de az már a múlt. :)

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak

Van egy törvény, ott van leírva, hogy minek kell megfelelni (mellesleg a törvény EU-harmonizált). A nyilvántartásba vétel arról szól, hogy a törvényben leírt feltételeket teljesítetted, az erről szóló papírhalmazt beletolod az illetékes hatóság arcába, azok meg kipipálják a listát. Meg néha ellenőriznek, hogy tényleg nem hazudtál.

vajon mas EU orszagban elfogadott e-Government kibocsajtot nem kellene elfogadnia az itthoni hatosagoknak

A törvény pont ezt írja elő.

Amikor Class2-őt kértem mindig azonosítottak. Amire te gondolsz az az EV aminél nem kerülhető el a felelősség vállalása (értékben sem ott van). A fenti magyar céget viszont az érdekli, hogy a HUREG adatbázisával megegyezzen a cert, felelősséget nem vállal, nincs komoly azonosítás, EV-ről meg pláne. Pedig ugye az üzemeltető az aki valójában kezelni fogja a tanúsítványt. Nem igazán bizalomgerjesztő tanúsítani a domaint a tulajdonosnak majd odaadni harmadik félnek: üzemeltesd. Hol itt a logika?

Ez azért tetszik... Az APEH-től most húztam le a 1053-as nyomtatványt. Java Webstart-os cumóka, alá van írva: 


Subject: CN=Ado- es Penzugyi Ellenorzesi Hivatal,
          OU=Presidential Secretariat Department,
          OU=Digital ID Class 3 - Java Object Signing,
          O=Ado- es Penzugyi Ellenorzesi Hivatal,
          L=Budapest,
          ST=Budapest,
          C=HU

Issuer:  CN=VeriSign Class 3 Code Signing 2010 CA,
          OU=Terms of use at https://www.verisign.com/rpa (c)10,
          OU=VeriSign Trust Network,
          O="VeriSign, Inc.",
          C=US

Miért is nem valamelyik hazai kibocsátótól van...?

Talán mert a java még nem ismeri a "híres" magyar root certet, és a browserekkel ellentétben nem lehet "egy kattintással" elfogadni a nem trusted root certtel aláírt cuccot, hanem fel kell venned a root certet, mégpedig egy szép és bonyolult command line paranccsal. Na akkor most képzeld el, hogy Mancika, a könyvelő, letölti a szép bevalló programot az APEH weboldaláról, és ahhoz, hogy használni is tudja, egy cmd.exe-ben kell egy szép hosszú parancsot begépelnie. Szerinted ezen hány Mancika esne hasra? Szerintem 10-ből 3-4 simán.

"Talán mert a java még nem ismeri a "híres" magyar root certet"

Üzleti alpon kerülnek be a tanusítók certjei. Ha a tanusító megállapodik az Oracle-vel, és kifizeti a sok pínzt nekik, akkor bekerül a certje.

Az is érdekes, hogy a Firefox nem használja Windows tanusítvány kezelőjét, és ők sem aprópénzér teszik be a root ca-t a telepítőbe.

---
KORPIKLAANI-Tequila http://youtu.be/wzEahz7pa7k

A Class-C esetén nem, de az annyit is ér - azt tanusítja, hogy a tanusítványban lévő publikus kulcs titkos párjával a kibocsátás időpontjában rendelkező személy egy megadott e-mail címre küldött leveleket olvasni, VAGY az adott webszerveren lévő tartalmat írni volt képes.

ezek a cegek abbol elnek, hogy ormányunk szarik a szabványokra és nem fogadja el az alap x509-et, sajat certtipust kellett megadni amit kizarolag ettol a 3tol fogadnak el. Pl probalj meg ugyfelkapura feltolteni sima pubkeyt (kulfoldi ceg altal azonositottat, nyilvan). Velem kozolte, hogy ez szar, menjek netlock, mavinformatika vagy eszignohozes vegyek ott szemelyes certet az a kiraly. Ott meg kozoltek, hogy valami evi 40k-ert nagyon szivesen. Anyad.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( Croc | 2011. 01. 29., szo – 22:30 )

trustico.com ?
Annó vettem tölük RapidSSL-es kulcsot 1 évre és elég jól müködött minden böngészövel. FF-ben szép kék is volt az SSL-es oldalon a címsáv eleje :)
De egyébként google ssl cert ;)

( kovacsj | 2011. 01. 30., v – 07:57 )

Ha jól emlékszem, én tavaly a GoDaddy-nél kb. 8000 Ft-ért vettem az egyik ügyfelemnek.
Most ~$50.

( talisker | 2011. 01. 31., h – 22:29 )

subscribe
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

( klai | 2011. 02. 02., sze – 00:09 )

Én itt szoktam magamnak intézni.

Globe Standard SSL - 8,9$/év az első évben majd ha minden igaz akkor 15 a következő év.

( freeoli v | 2011. 02. 02., sze – 08:33 )

Netlock.

*.DOMAIN.HU, kb rudi évente. Mivel van vas bőven, megéri.

( uid_228 | 2011. 02. 02., sze – 09:39 )

Ha olcsó kell:

http://completessl.com/

Illetve (ezt csak javasolták, még nem használtam):

http://trustico.eu/

A CompleteSSL-nél a legolcsóbbnál elég, ha beadod elektronikusan a cert requestet, kapsz egy ellenőrző e-mailt egy adminisztratív címre a commonName-ben megadott domainre, hogy tényleg tiéd-e. Ha a benne küldött kóddal reagálsz nekik, akkor küldik a hitelesítést. Fizetés PayPallel és/vagy bankkártyával, percek alatt megvan - én kb. 3-4 éve használom megelégedéssel.

--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.

Hulyen nez ki a ceges weboldal certjen Nagy Odon maganember, mint "tulajdonos". Ettol a hozzaertobb user joggal felhuzza a szemoldoket "aha, akkor ez most lehet, hogy nem is a ceg igazi weblapja?" A tobbieknek meg csak fura/gagyin nez ki. Manapsag ugye eleg a bongeszo cimsoraba kattintani es kapja ezt az infot nagy betuvel arcba a felhasznalo.

Meg mi van, ha Odon nem akarja megadni a szemelyes adatait? (cim, tel...)

Meg mi van, ha Odon kilep es elmegy mashova dolgozni.

Ödön, mint magánszemély nem azonos az Ödönmunkahelye, mint céggel. Sem személyében, sem jogilag. A domain sem az Ödön nevén van (normális esetben...), hanem az Ödönmunkahelye cég nevén. Ha egy ügyefelet Ödönként azonosítottak, akkor az az üf. Ödön nevében járt el, nem az Ödönmunkahelye cég nevében. (Ha Ödön az Ödönmunkahelye, mint cég nevében eljárni jogosult személy, és így azonosították, akkor eljárhat a cég nevében).

Igen, ezt mondom en is.

A Startcom (free cert eseten) nem akar semmilyen kapcsolatban lenni a ceggel, csak a maganszemellyel.

Pont ezert van az a gaz, hogy ramegy valaki az Ektoplazma 2000 Kft. weblapjara es azt kapja a bongeszo cimsoraba kattintva (FF), hogy

"You are connected to ektoplazma2000.hu which is run by Nagy Odon."

Ki az az Odon!? mondja az user es becsukja a bongeszotabot. Elvileg persze...

Tehát ha jól értem:
A neved nem szeretnéd odaírni, de üzleti célra használnád. Nos itt a pont ahol fizess. Nem arról van szó, hogy üzleti haszont szeretne neked csinálni a startcom, hanem egyszerűen magának ismertséget. Ebbe nem fér bele, hogy üzleti céllal hazudj a te kliensednek és esetleg pénzt kérj érte. Ha pedig azt a domaint te üzemelteted akkor odaírod gipsz jakab és kész.
A felvetésedre: ha 1000 emberből 1 ilyet megnéz akkor már az jó lenne. De nem nézi meg. Nem is érdekli. Egyszerűen azért érdemes ilyen cert-et csinálni, mert az érzékeny adatok ne menjenek http-n, de mint fórumüzemeltetőnek mondjuk nincs pénzed cert-re, mert semmi lóvé nincs belőle. Hogy akadálymentes legyen a dolog csinálsz class1 certet a domainre és kész.

Aha, akkor ebben tevedtem.

Szoval nem azt irja a bongeszo nagy betukkel, hogy "You are connected to xyz.hu which is run by Nagy Odon", hanem azt, hogy "which is run by (unknown)".

Ez most nezopont kerdese, hogy jobb, vagy rosszabb.

En azert ceges hasznalatkor kifizetnem azt a par ezer forintot evente, hogy "run by xyz kft."-irjon, bar az is igaz, hogy nagyon fugg a domain funkciojatol es a celkozonsegtol is. Nyilvan 99% nem nezi, nem is erti/erdekli...

En azert ceges hasznalatkor kifizetnem azt a par ezer forintot evente, hogy "run by xyz kft."-irjon, bar az is igaz, hogy nagyon fugg a domain funkciojatol es a celkozonsegtol is. Nyilvan 99% nem nezi, nem is erti/erdekli...

Nem szeretnélek elkeseríteni, de ez a 'which is run by' csak a Firefox hülyesége, a világon senkit nem érdekel rajtad kívül, más browserben tán nincs is ilyen (az Operában pl. biztosan nincs). Mondjuk konkrétan egy olyan certet sem találtam, amire ne ezt írná a Firefox...

Ha meg alaposan meg akarod nézni a certet, akkor az egész DN-t, meg a tanúsító CA-t érdemes megnézni, nem pont azt a random mezőt, amit a Firefox fontosnak tart.

Szerintem.

gmail.com

you are connected to google.com
which is run by (unknown)

magyarorszag.hu

you are connected to magyarorszag.hu
which is run by (unknown)

citibank.hu

you are connected to citibank.hu
which is run by (unknown)

láthatóan másokat se zavar.

Engem sem, de mondjuk én nem is cég nevében futtatok ingyenes tanúsítványú oldalt.

G

Vagy te értettél félre valamit, vagy nekem vannak szövegértelmezési gondjaim, de nem értem ezt az egészet.

Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt.

A céges weboldalon Nagy Ödön tulajdonost meg végképp nem értem.

Elmondom, hogy ment a dolog legutóbb.

1, Én, magánszemélyként regisztráltam az oldalukon. Személyes adatok, stb.
1/b, Ezt valaki átnézte, jóváhagyta.

2, Ezután ellenőriztettem, hogy egy adott domain az enyém = megkapom a postmaster@ leveleket.

3, készítettem egy certet a saját gépemen, www.domain számára.

4, feltöltöttem ezt a startcom oldalára, ők aláírták.

5, az aláírt certet belőttem az IMAP és a lighttpd alá

Most, ha valaki rákattint a weblapon a tanúsítvány ellenőrzésére, akkor pl. nem látja az én nevemet.

Látja, hogy
e=postmaster@domain
cn=www.domain
o=domain
l=sao paulo
st=sao paulo
c=br

dns name=www.domain

minden más információ a CA-ra vonatkozik.

Semmiféle személyes adat, mint név, cím, telefonszám nem szerepel sehol.

Keresztkérdés: "1/b, Ezt valaki átnézte, jóváhagyta." - Ez hogyan történik, milyen dokumentumok alapján?
Az, hogy a postmaster@foo leveleket el tudom kapni, az csak annyit jelent, hogy hozzáférek a levelezéshez - akár valahol útközben, akár a szerveren, ergo messze nem azt jelenti, hogy a tied a domain.

Két külön dologról van szó, remélem, ez világos volt.

Az 1/b nem a domain-t ellenőrzi, hanem arról szól, hogy te, aki felhasználót regisztrálsz, vajon robot vagy-e, vagy gyanús adatokat adtál-e meg.

A megadott adatokat ellenőrzik, de nem tudom, hogyan. Gondolom megnézik, hogy adott irányítószám tényleg adott címhez tartozik-e (a mostani (UK) irányítószámom pl. erre a konkrét házra érvényes, ahol lakom, amikor 2009-ben regisztráltam, a brazil irányítószám egy konkrét utca egy konkrét szakaszára volt érvényes).

Azt írják, ha gyanús a dolog, akkor a megadott telefonszámon felhívnak.

Eddig kétszer regisztráltam, mindkétszer pár órán belül jóváhagyták, telefonálás nélkül. A jóváhagyó a neve alapján az adott országban lakik, szóval feltételezem pl. Magyarországon egy Gipsz Jakab nevű regisztráció gyanús lenne.

A domain jogosultság ellenőrzést már egy másik topicban is kérdezted pár éve.

Az ingyenes tanúsítvány nem arról szól, hogy biztosan tudod, ki van a másik oldalon, hanem arról, hogy lehet titkosítást használni.

Annyi ellenőrzés van, amit fent írtam. Az account adatait átnézi valaki, illetve automatikus ellenőrzés van, hogy a postmaster@ címre érkező leveleket tudod-e olvasni (vagy az igazi postmaster elárulja-e neked a benne levő kódot). Ha menet közben elkapod egy másik domain leveleit, akkor tudsz az ő nevükre tanúsítványt igényelni.

G

Magyarul SEMMI értelmes és VALÓDI azonosítás NEM történik. NEM ellenörzik, hogy te az vagy-e, akinek mondod magad, nem ellenőrzik, hogy eljárhatsz-e az adott domain tulajdonosának a nevében. Köszi, ennyit szerettem volna tudni. Ennek megfelelően a self signed cert-tel egy szinten van a cucc - már ami a hitelességét illeti. Olcsó hús - marhára híg a lé...

ne mond mar, hogy komolyan nem volt vilagos, hogy a startcom-os ingyenes Class A certnel nem tortenik szemely/organization verifikacio?
mind itt mind az en blogbejegyzesemben elhangzott ez.
nezopont kerdese, hogy self-signed certel egy szinten van-e.
ne mossuk ossze a certek 2 jol megkulonboztetheto funkciojat:
A, a certben talalhato domain valoban az-e akinek mondja magat
B, a cert tulajdonosa valoban az-e, akinek mondja magat.

az A szempont szerint ez a cert jobb, mint a self signed, mert benne van a major browserekben a kiallito root certje, ezert atlag usernek nem kell otot kattintania, hogy elfogadja a sajat kiallitott certet (plusz ha phising oldalra teved, akkor nem egyszeru meggyozodnie, hogy jo certet lat-e vagy nem)

a B pontra a Class 2/3 certek, illetve az Extended Validation szolgal, valamint ahogy elhangzott mar ez is, pl. itthon az elektronikus szamlazashoz csak akkreditalt, minositett tanusitvanykibocsajto altal kiadott certet lehet hasznalni.

btw. pont ma hivott az asszony, hogy valami nemjo a webbankjaval:
https://ibank.cib.hu
Netlock-os Class B cert van, javaban nincs benne, webbank javat hasznal, user kapja az arcaba a java megerosito ablakot.

Tyrael

Nem vazze, sokat ér. Mivel a modern böngészők különös kínok elé állítják a megbízhatatlan tanúsítóval ellátott oldalakat. Ezért ingyen kapsz olyan biztonságot ami majdnem Class2 mivel ha oda be van írva hogy "gipsz jakab" és arra azt mondja a megbízható fél, hogy tényleg így van. Azzal még nem vagy előrébb, mert úgysem ellenőrzöd (kliensként).

Az a baj, hogy a certificate az elvileg tanusít valamit - itt meg max. azt, amit írtam. A "tanusító szervezetnek" NULLA a felelőssége, automatikusan is elműködhet az egész hóbelvanc. Azzal, hogy a "böngésző nem panaszkodik" azzal nem jobb, legfeljebb kényelmesebb lesz, mint egy self signed, vagy egy sajác céges CA által alávésett cert.
Az meg legyen a firefox baja (és eléggé nagy baja neki!), hogy nem lehet egy adott körben (v.ö: nagyvállalati felhasználás) központilag menedzselni ezeket a dolgait - sem.

Most ezt minden egyes alkalommal el fogjuk játszani, amikor szóba kerül?

2009-ben is megállapítottad, hogy nem ér szart sem, mert nem ellenőrizték.

És akkor is elmondtam, hogy de igen, ér. Sokkal jobb, mint egy self signed cert, mert a böngésző, meg a levelezőprogram nem panaszkodik.

Természetesen netbankhoz nem felel meg, sőt, semmi olyan feladatot nem bíznék rá, ahol pl. meg kell adni személyes adatokat.

De nehogy azt mondd már, hogy egy olyan szerveren, amit a haveri kör összedobott pénzéből vettünk, és az emberek levelezésre használják, meg akinek kedve van, valami kis weblapot tákol rajta, ott nekem jópénzért azonosított tanúsítványt kellene használnom.

Te azt mondod, nem jobb, mint a self signed. Szerintem jobb, mert a böngésző nem reklamál.

Te azt mondod, hogy jobb egy magasabb fokozatú, ami valódi azonosítás után vásárolható. Mondd meg nekem, légy szíves, hogy miért jobb?

Az én konkrét példámban.

Köszönöm
G

A class1 cert. auth. nem jelent mást, csak annyit, hogy szavatolja, hogy akivel felvetted a kapcsolatot az a www.valami.com semmi mást nem jelent. A tanúsítás jelenleg azt jelenti, hogy az általad megbízhatónak ítélt tanúsítvány kibocsájtó szavatolja hogy https://www.valami.com/ -hoz csatlakoztál. Ez elég fontos dolog, enélkül bármilyen más címhez csatlakozhatsz. A self signed certificate jelen esetben azért szar példa (nincs megbízható személy által adott tanúsítás), mert ilyenkor csak az van szavatolva, hogy ha MÁR jártál itt és NEM új a tanúsítvány ezért te böngésződbe BERAKTAD mint elfogadott tanúsítványt akkor már tudod következő alkalommal, hogy nem vicceltek meg és ugyanoda csatlakoztál (jó eséllyel). Míg külső tanúsító (class1 auth.) esetén első találkozáskor sem merül fel ez a bizonytalansági tényező, mivel van megbízható harmadik fél.
Ha te szeretnéd valamilyen elgondolásból a tanúsítványban szerepeltetni a nevedet akkor Class2 tanúsítványt szoktak kiállítani ebből a célból. Ha a class2 tanúsítványba személyesen fel akarod tüntetni a neved akkor a validáció rád fog vonatkozni, azaz arra, hogy az oldalt Zeller futtatja.
Ilyenkor a személyt azonosítják. Pl. két független fényképes igazolvánnyal, és ajánlott levéllel a címedre ami az igazolványodban szerepel. Lehet te ezt sem találnád megfelelőnek, mert a sötétben bujkáló rémhírterjesztő ellenforradalmárok meg tudják a levélben lévő titkos kódot és a nevedben megtévesztik a kibocsájtót, és regisztrálnak helyetted. Ehhez nem kell más mint megszerezni az irataidat, és postán ismerőssel rendelkezni.
Szervezet esetében a validáció ugyanez, de ilyenkor az adatokhoz (céges cím stb) valamilyen hivatalos forrásból jutnak hozzá (cégnyilvántartás). Sokszor a publikus telefonkönyvet is használják és abból lekért adatokból telefonhívással győződnek meg róla, hogy valóban attól a cégtől kereste őket valaki. A cég részéről pedig hivatalos meghatalmazás kell általában már előbb validált magánszemély részére, hogy kérhet olyan cert-eket amelyekben a cég neve szerepel.
Attól azonban hogy van egy class2 cert-ed és ezzel valamilyen bizonyosság hogy ki is üzemelteti a domaint nem sokkal ér többet mint a class1 mert sok helyen csak arra vállalnak garanciát, hogy a regisztrációkor minden rendben volt. És valaki a te nevedbe járt el.
Ha komolyan akarod neked EV-re van szükséged amelyhez az összes általam ismert CA kért közjegyzői részvételt. Na amennyiben ez sem elég, akkor nincs mese, személyesen kell mindig felkeresned a Csányit ha az OTP-ből akarsz lóvét.
(Légyszi ne vedd magadra az iróniát. Az írásodnak, az itt lévő hozzáállásnak szól és nem a személyednek)

Még valami nagyon fontos:
Ne tegyél a domain tulaj és egy SSL tanúsítvány közé semmilyen relációt. A certben lévő adat az hogy a CN-ben tanúsított entitás hozzá tartozik, de nem biztos, hogy ő regisztrálta, ő tartja fönt vagy valami hasonló, csak azt, hogy ő rendelkezik a jogokkal afölött a CN fölött és az lehet 23. al-domain valami más stb.

> Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt.

Elobb linkeltem.

http://www.startssl.com/?app=25#2

Azt mondja a faq, hogy:

"The certificate is for my company, what shall I do?

In the Class 1 settings (free) [...] relationship between StartCom and [...] natural persons. [...] no relationship with the organization [...]
Organizations should perform Class 2 validation and an organization name may only appear in a digital certificate at Class 2 level and higher."

> A céges weboldalon Nagy Ödön tulajdonost meg végképp nem értem.

Igen, azt en neztem be. Most mar latom, hogy nem Nagy Odon lesz a certen, hanem "(unknown)". Akinek ez megfelel, annak tokeletes a free cert.

Az amelyik angolul van?

Nekem azt jelenti, hogy a StartCom free cert eseten nem all semmilyen kapcsolatban a ceggel, csak maganszemellyel. Ha ceges certet akarsz (amiben ott a ceg neve), akkor vasarolj class 2-eset.

Tehat nem ad cegnek ingyenes certet. Csak maganszemelynek. Cegnek nem.

gee azt mondja, hogy "Nem láttam arra utaló bármi jelet, hogy csak magánszemélynek adnának ingyenes tanúsítványt."

Erre linkeltem/ideztem a StartCom faq-jat, ami szerinted es szerintem ugyanazt jelenti, espedig hogy csak maganszemelynek adnak.

Nem ertem, hogy mit nem ertesz.

nem volt vilagos, hogy erre celzol.
semmilyen jogi, vagy technikai akadalya nincs, hogy a cegem weblapjara ingyenes startssl certet rakjak ki.
am ha szeretnek olyan certet, amin szerepel a cegem neve, mint tulaj, akkor azt javasoljak, hogy vegyek toluk Class 2 certet.
szerintem ezt jelenti amit irnak.

Tyrael

Igy van. Akinek jo az "(unknown)", annak jo a free.

Talan ott a felreertes, hogy amikor azt mondom "ceges cert", az nalam azt jelenti, hogy a ceg neve van benne, nem azt, hogy egy ceg altal hasznalt cert.

Olyan ez, mint hogy hasznalhatom en a sajat kocsimat a ceges feladataim elvegzesere, de attol az meg nem lesz cegauto.

Ha jól értelmezem, akkor a cégeshez először personal validation-t kell csinálni, majd utána jöhet a céges. Kezdeményeztem a personal validation-t (50USD). Elküldtem a személyi/jogsi másolatát - erre kértek még telefonszámlát ami a címemre szól. Ilyet nem tudtam adni, mivel céges mobilom van. Most levelet adnak fel, követni kell az abban leírtakat - ha megérkezik.
Beszámolok majd arról is.

Ha fizetsz (és azonosítanak), lehetsz Web-of-Trust notary, amivel másokat is hitelesíthetsz.
Amennyiben hitelesítettek - ilyen v olyan módon - úgy belekerülhet a neved a certificate-be.

Általában a lakcímedet akarják azonosítani.

Ha telefonszámlád nincs, de van más számlád, pl. villany, internet, kábeltv, gáz, azt el szokták fogadni. Van, ahol az adott címre érkező bankszámla kivonatokat is, de ezt nem mindenhol.

Persze cégtől függ, de érdemes lehet megkérdezni őket.

És persze a lakcímkártyádat is ajánld fel, bár a küldöldiek nagy része nem tudja mi az, ezért nem is fogadja el.

( htamas | 2011. 02. 04., p – 00:44 )

Megpróbálom leírni, hogy mire jó egy domain-validated certificate (tehát ahol csak a domain név birtoklását ellenőrzik, a személyes adataidat nem), mert volt pár félreértés ezzel kapcsolatban. A startcom kapcsán jött elő a kérdés, úgyhogy róluk is írok, de az eleje a többiekre is érvényes.

Képzeld el, hogy egy nyilvános vezeték nélküli hálózatot használsz, és meglátogatod a kedvenc fórumodat, blogodat, stb. Ha ezt nem egy nagy cég üzemelteti, akkor valószínűleg nincs ssl-lel védve. Bárki, aki a közelben van, az internetről készen letölthető eszközökkel lehallgathatja a forgalmat, megszerezheti a jelszavadat, felírhat bármit a nevedben, sőt ha máshol is ugyanezt a jelszót használod, akkor pl. az e-mailjeidet is elolvashatja. Ez kellemetlen, jó volna titkosítást használni, de ettől még az oldal tulajdonosa nem szeretne (sokat) fizetni érte.

A böngészőkbe be van építve egy titkosítási protokoll, az SSL (technikailag a TLS helyesebb lenne, de ez kevésbé ismert). Ez úgy kezdődik, hogy a szerver és a kliens megállapodik egy közös kulcsban, amivel az adatforgalmat titkosítani fogják. Itt a kritikus szempont az, hogy a támadó ne tudjon beékelődni a két fél közé. Ha ugyanis el tudja hitetni a klienssel, hogy ő a szerver, a szerverrel pedig azt, hogy ő a kliens, akkor hiába titkosított a csatorna a kliens és a támadó, illetve a támadó és a szerver között, mégis rajta keresztül megy az összes adat.

A hálózat alapból nem teszi lehetővé a kliens számára, hogy egyértelműen meggyőződjön arról, hogy ki a szerver. Ő csak elküldi az adatokat, és visszakapja a választ. Az SSL esetében ez úgy van megoldva, hogy egy megbízhatónak minősített harmadik fél kiállít egy tanúsítványt arról, hogy mi az example.com domainhez tartozó ún. nyilvános kulcs, és a kulcscsere során a kliens ezt leellenőrzi. Ahhoz, hogy a támadó egy érvényes tanúsítványt szerezzen, hozzá kell férnie mondjuk a domain postmaster címéhez, ami lényegesen nehezebb, mint a kliens forgalmának a lehallgatása.

A megbízható harmadik felet hitelesítésszolgáltatónak (certification authority, CA) hívják. Ezek szinte kivétel nélkül üzleti alapon működnek és általában elég borsos árat kérnek egy tanúsítványért, ami a pénzügyi cégeknek nem gond, de egy fórum üzemeltetőjének vagy egy bloggernek már igen. Több olyan kezdeményezés is volt, ami a közösség számára elérhető ingyenes tanúsítványok kiállítását tűzte ki célul. Ezek közül talán a legismertebb a CAcert, de a böngészők ezt sem ismerik el megbízhatóként (sajnos jogosan). A Mozilla projektnél többször előkerült ez a kérdés, mert az opensource közösségnek persze nem tetszik, hogy a titkosításért fizetni kelljen.

Pár éve Eddy Nigg, aki aktív résztvevője a cacert-policy és a mozilla.dev.security.policy listáknak, létrehozott egy saját, üzleti alapon működő hitelesítésszolgáltatót, a StartSSL-t azzal a filozófiával, hogy csak azért kér pénzt, ami tényleges munkát jelent nekik. Az automatikusan kiállított Class 1 (DV, vagyis domain validated) tanusítványokat ingyen adja, vagyis tulajdonképpen elsőként megoldotta a fenti problémát a nyílt forrású közösség számára. Ezek a tanúsítványok nem tartalmaznak semmilyen személyes információt a domain néven kívül.

A Class 2 tanúsítványoknál tényleges ellenőrzés történik. Magánszemélyek esetén ez abból áll, hogy elküldesz pár okmányt szkennelve, utána pedig felhívnak telefonon és feltesznek néhány ellenőrző kérdést. Engem egész konkrétan Eddy hívott fel. A Class 2 pénzbe kerül, de többet nyújt, mint az ingyenes változat (pl. wildcard címhez is kérhetsz tanusítványt), és itt a neved is szerepel benne. A firefox alapból csak az ún. EV tanúsítványoknál mutatja a nevet, a többinél (unknown)-t ír, de pár plusz kattintással ott is meg lehet nézni. Amúgy az ingyenes tanúsítványba is bekerülhet a neved, ha két Class 2 tanúsítvánnyal rendelkező ember leellenőrzi a személyazonosságodat.

A véleményem az, hogy DV tanúsítványért nem érdemes pénzt kiadni. Ha szükséged van valami extrára, akkor persze más a helyzet.

"Amúgy az ingyenes tanúsítványba is bekerülhet a neved, ha két Class 2 tanúsítvánnyal rendelkező ember leellenőrzi a személyazonosságodat."

StartSSL-es Class2 tanúsítvánnyal rendelkezőknek kell leellenőriznie, vagy bármelyik Class2 tanúsítvánnyal rendelkezőknek?

Szerintetek hogy találhatnánk ilyen tulajokat? Még nem teljesen értem a név kérdést pontosan (magánsszemély vs. cégnév a free certben), ezért újra rákérdezek. Ebben az esetben ugye bekerül név a free ssl-be, ekkor cégnév is bekerülhet vagy csak magánszemély neve?

köszi a részletes leírást, remélem nem rosszak a kérdéseim.

Tök jó, hogy egy másik topikban feltett kérdésre, a warranty-ra is megtaláltam a választ :)

üdv

tiborg

StartSSL-es Class2 tanúsítvánnyal rendelkezőknek kell leellenőriznie, vagy bármelyik Class2 tanúsítvánnyal rendelkezőknek?

Olyan személy kell, aki már legalább egyszer kapott StartSSL-es Class 2 tanúsítványt, de nem kell, hogy érvényes legyen. Viszont ha nem érvényes, akkor neki is le kell magát ellenőriztetnie évente valaki mással.

Szerintetek hogy találhatnánk ilyen tulajokat?

Hozz létre egy accountot, utána válaszd ki a honlapon felül a "StartSSL WOT"-ot, majd bal oldalon a "Notary Finder"-t.

Még nem teljesen értem a név kérdést pontosan (magánsszemély vs. cégnév a free certben), ezért újra rákérdezek. Ebben az esetben ugye bekerül név a free ssl-be, ekkor cégnév is bekerülhet vagy csak magánszemély neve?

Tudtommal csak magánszemély.

A céges kérdésekkel kapcsolatban nincs tapasztalatom, mert eddig csak magánszemélyként volt kapcsolatom velük. De megkérdezheted a certmaster kukac startcom pont org címen, általában gyors és korrekt válaszokat szoktam kapni.

( Fisher v | 2011. 02. 18., p – 11:57 )

Végigfutottam ugyan és lehet h felületes voltam, de nem láttam azt a tuti tippet. Lett végül is?

( Charybdis | 2011. 02. 19., szo – 17:13 )

azt tudja valaki, hogy a Firefox mi alapján jelzi kék vagy zöld háttérrel a hitelesített webhelyet a címsorban? Rákerestem többször is, de nincs találat. Gondolom a zöld a drágább, a kék meg az olcsóbb tanúsítvány? Egy "zöld" tanúsítvány mennyibe kerül, tehát hogy zölddel jelölje a Firefox?

( Charybdis | 2011. 05. 08., v – 10:44 )

A Netlocknak nincsen ügyfélszolgálata?

Április 10-e óta próbálok tőlük kérdezni. Emailre nem válaszolnak, pedig mindig visszajön az igazolás, hogy fogadták az emailem, és még egyedi azonosítót is rendelnek az ügyhöz.

Ha felhívom őket, akkor először váni kell kicsit, amíg kapcsolnak egy ügyintézőt.

De fél perc múlva mindig ugyanaz a szöveg jön, csak üzenetrögzítő jön be, arra kell rámondani a problémát, és majd megkeresnek... Aha, lószart keresnek meg.

Hogy lehet ennyire szar a Netlock "ügyfélszolgálata"? És ha lenne valami sürgős problémám, akkor hogy találnám meg őket?

Egyáltalán létezik ez a cég?

( xclusiv v | 2013. 03. 25., h – 19:25 )

Ha már feljött: cégemhez vennék, elsőre adta magát a netlock (400 dodótól olcsóbban én se láttam verisign-on).
Van valami jobb, megbízhatóbb, olcsóbb, egyszerűbb, stb. alternatíva?

( tomzol | 2014. 05. 11., v – 14:35 )

Tudnátok olyan SSL certificate-et ajánlani, ami kiszolgál 2 sub domain-t?
Nekem csak a webmail.xy.hu és a mail.xy.hu címhez kellene, hogy ne írjon mindig az ügyfélnél és ne kelljen a kivételek közé se tenni.
Ha jók az információim, akkor a Rapid SSL single domain esetében csak egy sub domain-re van lehetőség, ők a wildcard-ot ajánlják, viszont annyit nem akarok fizetni,mert nincs értelme esetemben.
A segítségeket köszi előre is!

Mindenkinek itt felettem: a ket certtel az a baj, hogy ketto darab IP is kell hozzajuk, hogy fajan menjen minden. Valszinu emberunk azert akar egy certet, mert egy IP-je van hozza.

Az SNI meg mindig nem tamogatott teljes mertekben mindenutt, es meg egy darabig nem is erdemes ra szamitani.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Azert bele lehet szaladni furcsa bugokba. Par ismeros keresett mar meg azzal, hogy Firefox + apache + SNI, es valamiert mindig sir, hogy nem jo neki a tanusitvany, mert a masik site-et kapja meg. Es ilyenkor nem tudsz mit csinalni, mert nincs nagyon sulyozasi lehetoseg, at lehet tenni masik IP-re a cuccot, es akkor mukodik.

Nem veletlen, hogy a nagyobb control panelek sem eroltetik az SNI-t. A tamogatott meg a mukodik kozott meg mindig van egy kis res, meg mindig nem teljesen szazas minden.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( bounty v | 2014. 05. 12., h – 15:11 )

Én most próbálom a startssl ingyenest, egyelőre tetszik. Felismeri chrome, ff, ie, annyit kellett igazolni hozzá, hogy enyém a postmaster@domain mailcím.

a 120USD -ért már céges írhatsz alá, ugye? míg 50 (60?) USD-ért magánban.
Azaz először magánemberként azonosítanak, majd cégként. De erősíts meg (v cáfolj).
Amíg nem számít, hogy a certben Kovács Elemér / Kovács kft látszódjon, hanem unverified (vagymi) addig jó az ingyenes is.

Olyannyira komolyan veszik, hogy ha a domainnevben barhol erre utalo karaktersorozat fordul elo (pay, buy, stb) akkor egyszeruen bannoljak a kervenyedet. Mi egy ugyfellel jartunk igy, a ceg neveben elofordul egy bannolt betusor (es nem foglalkoznak kereskedelmi dolgokkal), mar bannoltak is a kerest. Meg kellett venniuk a fizetost.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( uid_18247 | 2019. 02. 06., sze – 12:06 )

Thread necromancy.

Évek óta néha eszembe jut, hogy a NetLock tanúsítványainak többsége(?) nincs benne a Java trust store-ban. Most is kerestem egy ideig, de ezúttal sem találtam meg, hogy mi ennek az oka. Tudja valaki? Vagy itt van a szemem előtt, csak nem látom? :D

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás