Melyek a jó SSL tanúsítvány kibocsátók?

Security-all

Eddig csak ingyenes SSL tanúsítványokat használtam (StartSSL), olyan helyekre, ahol ez elég volt.
Most szükségünk lenne egy webshophoz egyre, ami jobb ezeknél. Zöld lakatot ad a böngészőben. Illetve látok néhol olyat, hogy nem csak zöld lakat van, hanem mellé a zöldbe oda van írva a név is, pl. a bankom ilyen. Ez más típus?
Ilyen tanúsítványt is lehet sok helyről venni.
A tapasztalatok / vélemények érdekelnek.
Melyik céget érdemes elkerülni (miért), melyik jó (miért).

Érdemes szerintetek valamelyik ismert nevű kibocsátótól venni, mint mondjuk Verisign, vagy amíg az elterjedt böngészők elfogadják, addig mindegy?
Nem szeretnék úgy járni, hogy mondjuk veszek a StartSSL tanúsítványt, és a Mozilla meg összerúgja velük a port és hirtelen nem jó.

Nemzetközileg elfogadott tanúsítvány kell, csak Magyarországon működő nem jó.

Előre is köszönöm
G

  • 2905 megtekintés

( SzBlackY | 2016. 10. 21., p – 12:06 )

A nevesített izé az az Extended Validation cert (EV cert), átlagosan egy nagyságrenddel drágább szokott lenni... A Mozilla most éppen a Let's encrypt-et támogatja, ők EV tanúsítványt nem fognak adni.

És innentől magánvélemény: szerintem kb. mindegy, kitől veszed, ha a célcsoportodnál rendben van.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( n.balazs v | 2016. 10. 21., p – 12:40 )

A sima zöld lakat csak a https-t jelenti, illetve a böngésző általi elfogadást. Ha zölddel kiírja a nevet, akkor az EV (extended validation) tanúsítvány. Jelenleg ilyet nem tudsz venni itthon. Egy nagyságrenddel többe kerül, mint a sima tanúsítvány.
Olyan céget válassz, akikkel tudsz kommunikálni, van tapasztalatuk PKI-ban, régóta a piacon vannak. Itthon 2 ilyen cég van: Microsec és Netlock. Mindegyik tanúsítványait elfogadják a böngészők. Microsecnél: https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tam…, Netlocknál: https://www.netlock.hu/html/ssl/bongeszok.html.

Sajnos a Mozilla egy hisztis társaság. Bármikor, bárkivel képesek összerúgni a port. Ha a bizalmi szolgáltató hibázik, akkor teljesen jogos a kirúgás.

A Microsec és Netlock tanúsítványait is elfogadják nemzetközileg.

Akkor az Adobe hazudik.
Az oldalukon hivatkoznak European Union Trust List (EUTL)-re. Az EUTL hivatkozik az NMHH listájára, ahol a bizalmi szolgáltatók listáján szerepel a Microsec.
Továbbá néhány verzió óta a Windows tanúsítványtárából is dolgozik az Adobe (lásd: Szerkesztés -> Beállítások -> Aláírások -> Ellenőrzést megnyitva az "Együttműködés a Windows rendszerrel" rész nekem bepipált állapotban van. Továbbá a Szerkesztés -> Beállítások -> Megbízhatóságkezelő fülön az EUTL előtt szerepel nálam a pipa alapértelmezetten). Így el kellene fogadnia a microseceset is.

A Netlock és a Firefox nem tökéletes. Pl. az AXA esetében Firefox használatkor a NetLock Üzleti Eat. (Class B Legal) tanúsítványt importálni kell hogy rendben legyen.
https://www.facebook.com/balazs.gergely.71/activity/1226195197414708?co…
https://www.netlock.hu/docs/segedletek/bongeszo_firefox_sha256.pdf
--
Légy derűs, tégy mindent örömmel!

( ricsip v | 2016. 10. 21., p – 13:21 )

Comodo http://www.comodo.com/msexchange
DigiCert http://www.digicert.com/unified-communications-ssl-tls.htm
Entrust http://www.entrust.net/microsoft/
GeoTrust http://www.geotrust.com/ssl/ssl-certificates-san-uc/
GlobalSign http://www.globalsign.com/ssl/buy-ssl-certificates/unified-communicatio…
GoDaddy https://www.godaddy.com/ssl/ssl-certificates.aspx
Symantec
(formerly VeriSign) https://www.symantec.com/theme.jsp?themeid=san-ssl-certificates
Thawte http://www.thawte.com/ssl/san-uc-ssl-certificates/index.html
WISeKey http://www.wisekey.com/en/Products/digital-identities/Pages/ssl-solutio…

Ezek mind jók (és drágák), cserébe tudnak több nevet is (ha erre nincs szükséged, kereshetsz az adott szolgáltatónál olcsóbb 1-neves cert-et is).
--
WP8.x kritika: http://goo.gl/udShvC

+1

Szép dolog ez az egész tanúsítványosdi, csak szerintem többnyire az ügyfelek megkopasztásáról szól. Arra építik az egész iparágat, hogy néhány nagy kiadó bekerüljön az operációs rendszer/böngésző/stb. szoftverekbe alapértelmezetten elfogadottként, és ezért rengeteg suskát le lehet gombolni róluk. A kiadók meg a szuperzöld certekért gombolnak le rengeteg suskát a júzerekről. Az olvasót meg senki nem kérdezi meg, hogy megbízik-e pl. a Verisign-ban.

Pontosan emiatt jött létre a LetsEncrypt. Amennyiben meg tudod úszni EV cert nélkül, akkor csakis őket érdemes használni szvsz. Fizetni pénzlehúzó bandának nem szabad.

Miért ne?

Meg tudod mondani fejből, hogy ki állítja ki a bankodnak a certeket? Ha igen: mennyivel jobban garantálja az a kiállító, hogy tényleg a bankoddal beszélgetsz?
Ha egy 3rd party CA-t megtörnek és annak a nevével kiállítanak egy érvényes, és a böngésződ által elfogadott certet a bankod nevére, akkor ugyanúgy nem tudsz ellene védekezni, akár a Symantec állítja ki (igen, ránéztem, hogy az én bankom mit használ :) ), akár a LE.

Ami viszonylag stabilan tudna skálázódni ekkora méretre és használható az lenne, az kb. az, hogy HSTS, kötelező key pinning HTTPS felett, DNSSec-el biztosítva publikálod a publikus kulcsot a DNS-ben (*), és úgy használod a certet. Így hosszabb időre, több, független, kriptoval alátámasztott csatornát kéne egy MITM-hez törni...

(*): DANE, ez az, ezt kerestem... sajnos a böngészők csak extensionökkel támogatják.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

És ellenőrzöd is minden belépéskor, hogy akivel beszélgetsz, szintén Symantec certet nyomott a kezedbe?

Na akkor a második kávé után részletesebben: a mostani CA rendszerben meg kell bíznod több száz CA-ban, hogy egyik sem állít ki (véletlenül, szándékosan, ...) érvényes certet a bankodnak és adja oda valaki másnak. Ha végre elterjedne a DNSSec és a DANE, akkor az IANA-ban és a TLD-d üzemeltetőjében kell megbíznod - userként is (nem kellene megnézned, hogy a bankod certjét ki állította ki és ellenőrizgetned) és üzemeltetőként is (nem több száz, hanem 2-3 cég lőhet csak lábon). Persze ezzel egy egész, mocsok nagy bevételt generáló iparág (ti. a mostani CA-alapú PKI) menne a levesbe, úgyhogy nagyon sokat ellenérdekeltek benne - inkább 10 év múlva jön a VFEC (very f***in' extended certificate), újabb 10 év múlva a SWDNFUTTC (seriously, we did not f*** up this time cert); természetesen mindig visszaemelve az árát a mostani EV cert nagyságrendre.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem szoktam ellenőrizni, hogy a kibocsátó ugyanaz maradt-e.

Megnézem, hogy zöld mezőben ott van-e a bank neve, aztán ennyi.

Egyébként ha ma megnézném és Symantec helyett más lenne, az se mondana túl sokat nekem. Lehet, hogy lejárt az előző és más céghez mentek? Bármi lehet. Volt néhány CA, akik nevében valakik valamikor ki tudtak adni tanúsítványokat. Ebből kiindulva... akár a Symantec cert is lehetne hamis.

Igen, pont ezt írjuk, hogy az egész CA-alapú PKI broken :)

Ha ugyanezt DNSSec+DANE alapon oldanák meg, kettő darab szervezetben kéne megbíznod: IANA és az ISZT-ben (oké, plusz annyi ccTLD/gTLD üzemeltetőjében, amennyinek az oldalaid látogatod...). Most több százban, aminél áll a szokásos biztonsági mondás a leggyengébb láncszemről...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Jópofa, legközelebb megnézem. Épp tegnap vettem egy "gyors" SSL-t a netlock-tól, 3 perc volt az egész bankkártyával. Mondjuk 5070 Ft volt egy évre és nem az ügyfél fizette (https-t akartam elérni http-ről browserben, de ezt nem engedte, jogosan, ezért a másik is https lett)

----------------
vamtarifaszam.hu