Már egy rendes SSL tanúsítványra sincs pénz? (Barion)

Barion. Biztos többen ismerik, mint fizetési szolgáltató.

Napokban mobiltelefonom kellett feltölteni. Prepaid, mert nem vagyok hajlandó feleslegesen hizlalni bizonyos köröket és keveset is költök (<2500 Ft/hó). Tudom, sóher vagyok. :)

Bankkártyával (VISA, belföldi) akartam fizetni a Barion oldalán. Sajnos a Yettelnél csak ez az egy lehetség van - se K&H, se Simple.
Mivel nem akart működni a fizetés (Cloudfare issue volt), ezért többször is próbálkoztam pár nap elteltével. Kíváncsiságból megnéztem a https://secure.barion.com/ oldal tanúsítványát:

CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = E6
verify return:1
depth=0 CN = barion.com
verify return:1
---
Certificate chain
 0 s:CN = barion.com
   i:C = US, O = Let's Encrypt, CN = E6
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Sep 23 21:18:11 2024 GMT; NotAfter: Dec 22 21:18:10 2024 GMT

Igen, Let's Encrypt DV. Jóska Pista mezőgazdasági őstermelő weblapjánál tökéletesen megértem, hogy elegendő egy DV cert. Még egy áruház (Auchan, Tesco, Lidl, Aldi, Metro stb.) weblapjánál is elfogadom.

Na de basszus, egy FIZETÉSI SZOLGÁLTATÓNÁL???!!! Komolyan ennyire igénytelennek kell lenni és magasról le**** az IT biztonságot???!!!

( sibike | 2024. 11. 02., szo – 14:19 )

Az EV cert csak a lehuzasrol szol szerintem.

( kruska v | 2024. 11. 02., szo – 15:10 )

CDN mögött van a site. Amit látsz, az a Cloudflare Edge cert. Persze ott is lehet feltölteni "rendes" certet a nagyobb csomagokban, az olcsóbb szinteken még az Advanced Certificate Manager-ben is csak a Letsencrypt, SSL.com, és a Google Trust Services DV típusokból lehet választani.

( benz | 2024. 11. 02., szo – 22:18 )

Komolyan ennyire igénytelennek kell lenni és magasról le**** az IT biztonságot???!!!

/s/IT biztonsagot/IT biztonsag latszatat/
FTFY

( tompos v | 2024. 11. 02., szo – 22:19 )

Tulajdonkeppen mi a fajasod?

Technikai v. marketing v. milyen problemat okoz neked es miert?

Szerintem az a problémája, hogy a barion az ISO27001/NIS2 megfelelést valószínűleg így - tehát a CF segítségével - implementalta. Mi lehet az oka másként, hogy 0 static kontenttel, 90+ százalékban magyar kliensekkel ezt kell használni?

Amúgy te szívesen fizetsz olyan fizetési szolgáltatónál, amelyiknek meg arra sincs pénze/erőforrása/igénye, hogy vegyen egy 100$ értékű tanúsítványt?

Error: nmcli terminated by signal Félbeszakítás (2)

Letsencryptet megbízhatóan integrálni egy fokkal nehezebb (nagyobb szaktudást igényel), mint egy "rendes" certet.

Viszont ő leírta, h az OV-t hiányolja. Amit várok, h írja le, h mi hozzáadott értéket vár az OV-től.

Mint user, teszek rá, h mennyi pénzt adott ki rá, az érdekel, mit ert el vele.

Mivel a CF mögött van, aztán végképp full mind1.

BTW a max. 90 napos frissítési gyakoriság miatt a Letsencrypt bizonyos szempontból biztonságosabb.

Alapjába véve igazad van, azonban míg LE-t bárki pakolhat fel, egy OV elvileg validalja a céget.

CF mögött meg csak addig van, amíg ki nem derül, milyen címek vannak a háttérben. Egy elbarmolt CF API hívás, etc., aztán annyi. Enterprise csomagot meg a látottak alapján nem hiszem, hogy vesznek...

Szerk: a simple pl DV-t használ, szóval az sem az igazi. Mondjuk ződ mindkettő, csak épp ezeket az szerzi be, aki a domainhez hozzáfér. Nem kell ecsetelni, hogy azért ezt nem nehéz megugrani egy célzott támadással. 

Error: nmcli terminated by signal Félbeszakítás (2)

Ok, de egy atlag usernek feltunik hogy OV tanusitvany helyett DV van? Meg nekem sem tunik fel.

Nem igazan lattom a LE-vel a problemat, kiveve talan 2 eve amikor egy par regi browseren nem ment, akkor a fontosabb domaineken csereltem .

Max akkor hasznalok fizetost ha sok gepre kell szetteritenni ugyanazt a tanusitvanyt

Az vele a probléma, hogy ha erre sem futja, akkor valószínűleg minden másra sem. jozsibacsihusboltja.hu színvonal.

Én az LE -t is automatizált disztribucioval teritem -300+ tanúsítvány másképp nem karbantartható-, erre nincs eltérés. 

Error: nmcli terminated by signal Félbeszakítás (2)

A cf mogotti source-ok elerwdenek limitalasa, pl. : https://serverfault.com/questions/601339/how-do-i-deny-all-requests-not…

 

Egyebkent pontositok a kerdesen. Mi gyakorlati haszna van? Meg mindig nem ertem a kinlodast. Le tudnal írni egy konkrét, a valo vilagban elképzelhető peldat?

írja le, h mi hozzáadott értéket vár az OV-től

OV tanúsítványnál bekérik a cég dokumentumait is azonosítás céljából, szóval nemcsak abban lehetsz biztos, hogy a valami.hu weboldalhoz kapcsolódtál, hanem abban is, hogy az melyik cégé (*)

 

(*) pontosabban melyik cégé volt éppen a tanúsítvány kiadásának pillanatában

A fájásom nagyon egyszerű: elvárom egy fizetési szolgáltatótól, hogy legalább OV tanúsítványokat használjon az internet felől elérhető bejáratokon. Belső rendszereiben lehet DV, akár saját céges CA-val kiadott is.

Az OV nagyobb védelmet nyújt nekem, mint ügyfélnek, hogy azzal beszélgetek, akivel hiszem, hogy beszélgetek. Nagyobb bizalmat is nyújt: van pénz IT-ra, költenek a biztonságra, nem 0 Ft-ból kell összetákolni mindent.

Gondold végig: Mi kell egy DV tanúsítvány igényléséhez / megújításához? Mennyiben több ennél egy OV?

Nyilvan add vmennyire biztonsagot, de a gyakorlatban szart sem er.

> mint ügyfélnek, hogy azzal beszélgetek, akivel hiszem, hogy beszélgetek.

Hogyan? Lehet, h nem tudok vmit, es van vmi verifikacio ilyen esetre a bongeszokben, akkor pls ird le.

 

Azzal, h a CF moge raktak a cuccot, viszont erdemben adtak a biztonsagnak. Ezerszer jobban bizok bennuk, mint barmelyik masik hagyomanyos szolgaltato oldschool validalasaban.

Az a hajszálnyival nagyobb biztonság már nekem bőven elég, hogy egy fizetési szolgáltatónál elvárjam az OV-t.

Hogyan? Lehet, h nem tudok vmit, es van vmi verifikacio ilyen esetre a bongeszokben, akkor pls ird le.

A böngésző ezen a téren nem ellenőriz semmit. Nem is nagyon tudna. Magából a tanúsítványból nem feltétlenül derül ki, hogy DV, OV vagy EV-vel nagy dolgunk. Bár ahogy most nézem a 2.23.140.1.1 és 2.23.140.1.2.1 OID-jú mező tartalmaz erről információt: domain validation, extended validation.

Az OV (organization validation) a folyamatokban nyújt többet. A CA jobban tudja ellenőrizni az igénylő személyét. Bekérnek céges dokumentumokat, személyazonosságot kell igazolni, számlát is kiállítanak, amit valakinek ki kell fizetnie - biztos te is ismered ezen folyamatokat. Ezek a pluszok nekem fontosak egy fizetési szolgáltatónál.

Másrészt mi kell egy DV tanúsítvány igényléséhez? DNS-hez kell tudni hozzáférni, webtárhelyhez. Pont. Ha ezek nincsenek védve MFA-val, akkor még könnyebben tud valaki bejutni rájuk és mókolni a tanúsítványokkal. Ne adj isten a privát kulccsal is.

Azt nem vitatom, hogy szigorúan szűk technikai értelemben (kulcsgenerálás, CA általi aláírás, tanúsítvány telepítés) semmi különbség nincs DV, OV és EV között. Pl: NIST P-384 ugyanazt jelenti mindegyik esetben.

A CF-t vegyük ki a képből a tanúsítvány DV/OV/EV mivolta miatt. Ortogonális rá nézve. Azzal egyetértek, hogy a CF a semminél több IT security szempontból. Mondjuk azt is lehet rosszul használni - láttam már rá példákat.

( gyuri23 | 2024. 11. 03., v – 00:07 )

Szerkesztve: 2024. 11. 03., v – 00:13

Milyen a "rendes" tanúsítvány? A tanúsítvány a hitről szól és nem a technológiáról.

https://en.wikipedia.org/wiki/DigiNotar

https://www.microsoft.com/en-us/security/blog/2017/08/08/microsoft-to-r…

https://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-f…

Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.

( willy v | 2024. 11. 03., v – 15:05 )

Miért lenne a Let's Encrypt problémás egy fizetési szolgáltatónál? 

$ dig +short IN DNSKEY barion.hu @1.1.1.1
256 3 13 oJMRESz5E4gYzS/q6XDrvU1qMPYIjCWzJaOau8XNEZeqCYKD5ar0IRd8 KqXXFJkqmVfRvMGPmM1x8fGAa2XhSA==
257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+ KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==
$ dig +short IN DNSKEY barion.com @1.1.1.1
256 3 13 oJMRESz5E4gYzS/q6XDrvU1qMPYIjCWzJaOau8XNEZeqCYKD5ar0IRd8 KqXXFJkqmVfRvMGPmM1x8fGAa2XhSA==
257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+ KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==

$ dig +short IN CAA barion.com @1.1.1.1
0 issue "amazon.com"
0 issue "comodoca.com"
0 issue "digicert.com; cansignhttpexchanges=yes"
0 issue "letsencrypt.org"
0 issue "pki.goog; cansignhttpexchanges=yes"
0 issue "sectigo.com"
0 issue "ssl.com"
0 issue "visa.com"
0 issuewild "amazon.com"
0 issuewild "comodoca.com"
0 issuewild "digicert.com; cansignhttpexchanges=yes"
0 issuewild "letsencrypt.org"
0 issuewild "pki.goog; cansignhttpexchanges=yes"
0 issuewild "sectigo.com"
0 issuewild "ssl.com"
 

https://crt.sh/?q=barion.com
 

Nem hiszem, hogy te nagyobb biztonságban lennél bármi más megoldással. De ha elmagyarázod....

Mi nincs beállítva? Megnézted a CT-t is?

Ahol ennyi CA-t felsorolnak, az nálam a "nincs beállítva" kategória. A CAA rekord lényege pont az lenne, hogy leszűkítse 1-2 CA-ra, akik tanúsítványt adhatnak ki az adott domainre.

Basszus, ezek amatőrök a Barionnál. Így kileakelni a teljes belső infrát.... Zseniálisak. (erős szarkazmus)

( ricsip v | 2024. 11. 04., h – 09:08 )

Szerkesztve: 2024. 11. 04., h – 09:09

Ha bejön az apple újabb agymenése, egy CA szolgáltató sem fog talponmaradni a LE mellett, ha tényleg 45 naponként kell majd végigfuttatni a cert (megújító) igényléseket. A DV certekre meg 10 nap lifetime-ot akarnak (?!)

Nagyhülyemultiéknál egy purchase order nem fut végig 45 nap alatt, nemhogy a műszaki részre is maradjon még idő.

ha egyszer kifizetted a certet X evre, azon belul mar barmikor kerhetsz ujat. legalabbis a namecheapnel nemkell (kellett) ujra fizetnem ha nyomok egy cert renew-et. az persze mas kerdes hogy az uzemeltetoknek X naponta vegig kell menni mindenhol es lecserelni a pem fajlt. majd beindul az automatizalas

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez most arról szól, h. egy tanúsítvány maximális praktikus lehetséges élettartama az eddiginek a töredékére csökken. Így sokkal hamarabb lejár, ezért adott időtávban (1év, 2év, 100év) sokkal sűrűbben kell megújítani, mint korábban. Az h. milyen megállapodás van mögötte a fizető fél és a kiadó között, az egy teljesen más kérdés. Nagyüzemi cert igénylőknél el tudom képzelni, hogy nekik valami mennyiségi csomagot adnak el, amiben van mondjuk hasraütök 100 db cert / év. De amíg ebből 100 darab 1éves cert-et tudtak generálni, most kb. 8x annyi certre lenne szükség 1év alatt. Nekem eddig mindig egyedi cert-eket kellett generálnom, egyedi PO alapján, egyedi jóváhagyással. Ha letelt az 1 év (normális nemkupleráj helyen előtte 1 hónappal már sikított a monitoring), új PO nyitás, és ismételten ki kellett fizetni egy új cert árát.

- Az h. a még érvényben levő cert megújítása történt ami valamilyen technikai megvalósítás/tény miatt "lightosabb" v. a meglevő jelenlegi adatok alapján új cert gyártása történt +1 év érvényességi idővel, és hogy a 2 között mi a lényegi különbség, azt rábízom valakire h. fejtse ki nekem. -

Az h. mi alapján számolt el a cégem a Digicert-tel / Versigin-nal, azt nekem nem kellett ismernem. De kétlem h. ami 1 db 1 évig érvényes cert ára volt X, most a 45 napos cert X/8 lenne, és akkor az évi 8x megújítással jön ki az éves X ár.

( gelei v | 2024. 11. 04., h – 15:22 )

Valaki le tudja írni 2-3 mondatban, hogy gyakorlati szempontból mi a különbség a LE-féle cert és a tetszőleges, elvárt cert között?

(A "de ez igénytelen", meg a "nincs rá száz dollárjuk?" jellegű okfejtés az elméleti, nem gyakorlati.)

Nagyon egyszerű: mielőtt egy random weboldalon beírnám a kártyaadataimat, megnézem a tanúsítványt, hogy kinek adom oda. Ha csak a domaint lehet tudni, semmi egyebet, akkor egyszerűen nem bízom meg benne, és megszakítom a tranzakciót.

(mielőtt megkérdeznéd: igen, a gyakorlatban is megteszem)

Hát, tekintve hogy pl. a Magyar Államkincstár is a Simplepay-t használja, így igen, végülis "így jártak", de főleg azok, akik ilyen cert-sznobizmus miatt sárgacsekken kell, hogy befizessék az SZJA előleget, meg a többi úri huncutságot. :)