Magyar, több wildcardos ssl cert kapható?

Security-all

Olyan tanúsítványra lenne szükségem ami több wildcard domain nevet tartalmaz egyszerre. Pl érvényes a következő címekre:
pelda.hu
*.pelda.hu
*.egyik.pelda.hu
*.masik.pelda.hu
example.com
*.example.com
*.one.example.com
*.two.example.com

StartSSL-nél tudok ilyet készíteni, tehát műszakilag lehetséges, de most a magyar számla feltétlenül szükséges lenne mert... felesleges bürokrácia van.

Magyar viszonteladóknál eddig csak vagy SAN/UC-s vagy wildcardos certet láttam. Tudtok ajánlani olyan szolgáltatót aki ki tudja elégíteni az igényeimet?

Köszönöm a javaslatokat!

  • 2786 megtekintés

( p.zoltan | 2016. 06. 10., p – 11:54 )

Szia

privátban küldd el, hogy pontosan milyen márka melyik verziója kell.
Pl Comodo Multi-Domain Wildcard SSL tőlem kb 68e áfával - ez 3 domaint tartalmaz.

( n.balazs v | 2016. 06. 10., p – 16:01 )

A Microsec is ad ki ilyen tanúsítványt. Valószínűleg az Extra UCC felel meg neked. A https://ssl.e-szigno.hu oldalon találsz bővebb információt.

Ez sem jó:
"Az Extra UCC tanúsítvány [...] 3 wildcard tartománynevet hitelesít"

A Microsecnek egyébként elfogadott már mindenütt a CA-ja?

Nagyon be van állva a hitelességszolgáltatói piac, még mindig irreálisan drágán adnak ki tanúsítványokat. A több tízezer forintért akarnak eladni 1-2 domainre szóló certeket, amikor ezt már az ingyenesek is tudják (letsencrypt, startssl). Közben a bonyolultabb tanúsítványok felé, amikben még lenne pénz meg lehetőség, nem igazán nyit senki. :-/

Hány wildcardra van szükséged?

Kétfelé választanám az elfogadás kérdését. Egyrészről a Microsec CA-i elég régóta elfogadottak sok helyen. A böngészőtámogatásról a lista: https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tam…. De megtalálható a Windows tanúsítványtárában, Adobe tanúsítványtárában, Centos 7 java cacertsben, Centos 7 openssl truststoreban is.
Másrészről ha valamilyen alkalmazást fejlesztesz, akkor úgyis saját truststoret célszerű definiálnod. Oda pedig azt teszel be, amit akarsz.

Lehet, hogy beálltnak tűnik. Csak sajnos a hitelesítésszolgáltatás iszonyatos befektetéseket igényel, így csak megfelelő méretben éri meg csinálni. Hogy mitől drága egy tanúsítvány, az egy másik történet. Csak röviden: nem mindegy, hogy fokozott vagy minősített a tanúsítványod, nem mindegy, hogy class1, class2, class3, nem mindegy a felelősségvállalás mértéke, nem mindegy, hogy mit kérnek tőled a tanúsítványban szereplő adatok módosításáért, nem mindegy a hitelesítésszolgáltató auditáltsága stb. A másik, hogy például egy EV certificate jóval drágább, mint egy nem EV.

Mit értesz bonyolultabb tanúsítványok alatt? Tudsz példát mondani?

Ha saját alkalmazást fejlesztek, amiben én akarok hitelesíteni akkor saját trustroot-ot teszek bele. Itt nem erről van szó hanem klasszikus "multiplatform böngészős SSL-ről". Valamiért úgy rémlett hogy a Microsec nem annyira volt elfogadott mint a Netlock, ez bizonyára már nincs így.

Hogy fokozott, minősített, esetleg szivárványpónis-e a tanúsítványom, az szerintem a hitelességszolgáltatókon kívül senkit nem érdekel. ;-) A világ döntő többsége 3 dolgot különböztet meg:
- elijesztős nembiztonságos (self-signed)
- sima (class 1, class 2, class 3, tökmindegy mi)
- netbankolós nagyonbiztonságos (EV)
Minden más csak fikció - a felhasználó sosem fog a biztosítási pénzből kapni, vagy a tanúsítvány osztályát megnézni. Az informatikus meg ha biztosra akar menni akkor rögzíti a cert ujjlenyomatát, az a class 999-nél is többet ér. (Pro tipp: egy jól beállított HPKP+HSTS a felhasználói biztonságban is többet ér mint egy class 3 magában)
Persze, biztos vannak olyan elszigetelt esetek amikor a tanúsítvány osztálya számít (pl. törvényben előírt), de lássuk be hogy ez egyáltalán nem tipikus.

A bonyolultabbra azt hiszem elég jó konkrét példát írtam a nyitóposztban. Nagyobb szervezeteknél, (nálunk például közoktatásban) előfordul hogy rengeteg domaint kell lefedni, és itt gondot okoz hogy a wildcard (*) csak egyetlen szinten használható. Konkrét esetben nálunk a "hivatalos" oldalak közvetlenül vannak *.intezmeny.hu, viszont minden tanárnak, diáknak lehetősége van saját oldalt publikálni *.users.intezmeny.hu címen. Ezt kapásból nem fedi le egy wildcard cert, és ez csak egy példa a sub-sub domainek közül. Ha esetleg még van egy tartalék TLD ami alatt mindent meg kell ismételni akkor már biztosan nem lehet ráhúzni a sablon "azért-van-így-mert-ezt-mondta-a-marketinges" cert konstrukciókat.

A dolog engem személyesen ott kezd bosszantani amikor egy ilyen certért évente 200e-300eFt-ot el akarnak kérni, pedig semmiben nem különbözne a kiállítása egy sima SAN certtől. :-/

Te jelenleg csak a titkosítói tanúsítványt nézed, holott egy aláírói tanúsítványnál elég nagy jelentősége van a "szivárványpóninak". Lásd: e-személyin lévő aláírói tanúsítvány "érdekes mivolta".

A te esetedre 3 megoldást tudok elképzelni:
- saját CA, amit szervezeten belül elfogadsz -> rootCA terjesztési probléma
- csinálsz saját CA-t, amit felülhitelesítesz egy trusted CA-val
- kérsz subCA-t valamelyik hitelesítésszolgáltatótól

A 2. és 3. esetben én megkeresném a Netlockot és a Microsecet, hátha tudnak adni rá valami normális konstrukciót.

Amit SAN certnek írsz, az valójában az UCC tanúsítvány. Nyilván nem fogja senki se ugyanannyiért osztogatni az UCC tanúsítványt, mint ami csak 1 domainre érvényes.

Igen, teljesen igazad van, csak titkosítási tanúsítvány kell és valóban UCC. Ha ehhez saját CA-t javasolnak valahol, akkor ott szerintem gond van, vagy nem értik mit szeretnék.

Igazából az derült ki eddig, hogy a Netlock-nak és a StartSSL-nek van elfogadható megoldása. Hogy másnak miért nincs ha nincs, az engem kevéssé érdekel, és bosszant ha mást akarnak eladni nekem mint amire szükségem van. Ha már aláírás, én személyesen a WoT-t sokkal jobb modellnek tartom - de ez itt pont annyira nem releváns mint a Class 3.

Ha viszont tudsz olyan szolgáltatót aki elfogadható áron UCC certet ad, akkor nagyon megköszönöm ha tudtomra adod.

Én is letsencrypt párti vagyok, de itt wildcardra van szükség. Van pl ~1200 felhasználónk akinek a felhasználóneve automatikusan érvényes subdomain. El sem férne ennyi egy certben, de ha mégis, akkor sem vállalnám be hogy újragenerálja az automatika minden alkalommal mikor változás van :-)

Bónusz hogy a letsencryptes oldalakat alapból nem fogadja el a Blackberry, mert az IdenTrust-öt aki aláírt nekik, nem ismeri.

Ez még hagyján, noha bosszantó - de a TLS támogatás is el van hangyányit maradva, igaz, "csak" a levelezés terén. Legjobb tudomásom szerint a mai napig csak 1.0 támogatott a BB10 10.3-ban is, legalábbis 3 hónapja ez volt még a helyzet.
------------------------
{0} ok boto
boto ?