ls -1Itt lakik a HUP PartnerünkHUP tweetjeiNépszerű témákNépszerű fórum témákÚj felhasználók
|
Magyar, több wildcardos ssl cert kapható?Olyan tanúsítványra lenne szükségem ami több wildcard domain nevet tartalmaz egyszerre. Pl érvényes a következő címekre: StartSSL-nél tudok ilyet készíteni, tehát műszakilag lehetséges, de most a magyar számla feltétlenül szükséges lenne mert... felesleges bürokrácia van. Magyar viszonteladóknál eddig csak vagy SAN/UC-s vagy wildcardos certet láttam. Tudtok ajánlani olyan szolgáltatót aki ki tudja elégíteni az igényeimet? Köszönöm a javaslatokat!
»
|
KeresésNavigációBelépésÁllásajánlatokHWSWFriss blogbejegyzésekHUP napi hírlevélInformációKövess minket! |
A hazai szolgaltatok kozul a Netlock "UCC SSL tanúsítvány - fokozott biztonságú, "C" osztályú" tanusitvanyt hasznalom erre a celra.
Köszönöm, ennek utánanézek.
Szia
privátban küldd el, hogy pontosan milyen márka melyik verziója kell.
Pl Comodo Multi-Domain Wildcard SSL tőlem kb 68e áfával - ez 3 domaint tartalmaz.
A Microsec is ad ki ilyen tanúsítványt. Valószínűleg az Extra UCC felel meg neked. A https://ssl.e-szigno.hu oldalon találsz bővebb információt.
Ez sem jó:
"Az Extra UCC tanúsítvány [...] 3 wildcard tartománynevet hitelesít"
A Microsecnek egyébként elfogadott már mindenütt a CA-ja?
Nagyon be van állva a hitelességszolgáltatói piac, még mindig irreálisan drágán adnak ki tanúsítványokat. A több tízezer forintért akarnak eladni 1-2 domainre szóló certeket, amikor ezt már az ingyenesek is tudják (letsencrypt, startssl). Közben a bonyolultabb tanúsítványok felé, amikben még lenne pénz meg lehetőség, nem igazán nyit senki. :-/
Hány wildcardra van szükséged?
Kétfelé választanám az elfogadás kérdését. Egyrészről a Microsec CA-i elég régóta elfogadottak sok helyen. A böngészőtámogatásról a lista: https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tamogatas.html. De megtalálható a Windows tanúsítványtárában, Adobe tanúsítványtárában, Centos 7 java cacertsben, Centos 7 openssl truststoreban is.
Másrészről ha valamilyen alkalmazást fejlesztesz, akkor úgyis saját truststoret célszerű definiálnod. Oda pedig azt teszel be, amit akarsz.
Lehet, hogy beálltnak tűnik. Csak sajnos a hitelesítésszolgáltatás iszonyatos befektetéseket igényel, így csak megfelelő méretben éri meg csinálni. Hogy mitől drága egy tanúsítvány, az egy másik történet. Csak röviden: nem mindegy, hogy fokozott vagy minősített a tanúsítványod, nem mindegy, hogy class1, class2, class3, nem mindegy a felelősségvállalás mértéke, nem mindegy, hogy mit kérnek tőled a tanúsítványban szereplő adatok módosításáért, nem mindegy a hitelesítésszolgáltató auditáltsága stb. A másik, hogy például egy EV certificate jóval drágább, mint egy nem EV.
Mit értesz bonyolultabb tanúsítványok alatt? Tudsz példát mondani?
Ha saját alkalmazást fejlesztek, amiben én akarok hitelesíteni akkor saját trustroot-ot teszek bele. Itt nem erről van szó hanem klasszikus "multiplatform böngészős SSL-ről". Valamiért úgy rémlett hogy a Microsec nem annyira volt elfogadott mint a Netlock, ez bizonyára már nincs így.
Hogy fokozott, minősített, esetleg szivárványpónis-e a tanúsítványom, az szerintem a hitelességszolgáltatókon kívül senkit nem érdekel. ;-) A világ döntő többsége 3 dolgot különböztet meg:
- elijesztős nembiztonságos (self-signed)
- sima (class 1, class 2, class 3, tökmindegy mi)
- netbankolós nagyonbiztonságos (EV)
Minden más csak fikció - a felhasználó sosem fog a biztosítási pénzből kapni, vagy a tanúsítvány osztályát megnézni. Az informatikus meg ha biztosra akar menni akkor rögzíti a cert ujjlenyomatát, az a class 999-nél is többet ér. (Pro tipp: egy jól beállított HPKP+HSTS a felhasználói biztonságban is többet ér mint egy class 3 magában)
Persze, biztos vannak olyan elszigetelt esetek amikor a tanúsítvány osztálya számít (pl. törvényben előírt), de lássuk be hogy ez egyáltalán nem tipikus.
A bonyolultabbra azt hiszem elég jó konkrét példát írtam a nyitóposztban. Nagyobb szervezeteknél, (nálunk például közoktatásban) előfordul hogy rengeteg domaint kell lefedni, és itt gondot okoz hogy a wildcard (*) csak egyetlen szinten használható. Konkrét esetben nálunk a "hivatalos" oldalak közvetlenül vannak *.intezmeny.hu, viszont minden tanárnak, diáknak lehetősége van saját oldalt publikálni *.users.intezmeny.hu címen. Ezt kapásból nem fedi le egy wildcard cert, és ez csak egy példa a sub-sub domainek közül. Ha esetleg még van egy tartalék TLD ami alatt mindent meg kell ismételni akkor már biztosan nem lehet ráhúzni a sablon "azért-van-így-mert-ezt-mondta-a-marketinges" cert konstrukciókat.
A dolog engem személyesen ott kezd bosszantani amikor egy ilyen certért évente 200e-300eFt-ot el akarnak kérni, pedig semmiben nem különbözne a kiállítása egy sima SAN certtől. :-/
Te jelenleg csak a titkosítói tanúsítványt nézed, holott egy aláírói tanúsítványnál elég nagy jelentősége van a "szivárványpóninak". Lásd: e-személyin lévő aláírói tanúsítvány "érdekes mivolta".
A te esetedre 3 megoldást tudok elképzelni:
- saját CA, amit szervezeten belül elfogadsz -> rootCA terjesztési probléma
- csinálsz saját CA-t, amit felülhitelesítesz egy trusted CA-val
- kérsz subCA-t valamelyik hitelesítésszolgáltatótól
A 2. és 3. esetben én megkeresném a Netlockot és a Microsecet, hátha tudnak adni rá valami normális konstrukciót.
Amit SAN certnek írsz, az valójában az UCC tanúsítvány. Nyilván nem fogja senki se ugyanannyiért osztogatni az UCC tanúsítványt, mint ami csak 1 domainre érvényes.
Igen, teljesen igazad van, csak titkosítási tanúsítvány kell és valóban UCC. Ha ehhez saját CA-t javasolnak valahol, akkor ott szerintem gond van, vagy nem értik mit szeretnék.
Igazából az derült ki eddig, hogy a Netlock-nak és a StartSSL-nek van elfogadható megoldása. Hogy másnak miért nincs ha nincs, az engem kevéssé érdekel, és bosszant ha mást akarnak eladni nekem mint amire szükségem van. Ha már aláírás, én személyesen a WoT-t sokkal jobb modellnek tartom - de ez itt pont annyira nem releváns mint a Class 3.
Ha viszont tudsz olyan szolgáltatót aki elfogadható áron UCC certet ad, akkor nagyon megköszönöm ha tudtomra adod.
https://letsencrypt.org/
---
Referrall https://goo.gl/7S2vlp (koding) | https://goo.gl/muWzKz (digitalocean)
Ők egyáltalán nem tudnak wildcardot.
Ellenben webserver-be jó esély-el úgyis veszel fel virtualhost-okat amikre automatikusan megújul stbstbstb. Vagy van valami érdemi oka a wildcard-nak?
---
Referrall https://goo.gl/7S2vlp (koding) | https://goo.gl/muWzKz (digitalocean)
Én is letsencrypt párti vagyok, de itt wildcardra van szükség. Van pl ~1200 felhasználónk akinek a felhasználóneve automatikusan érvényes subdomain. El sem férne ennyi egy certben, de ha mégis, akkor sem vállalnám be hogy újragenerálja az automatika minden alkalommal mikor változás van :-)
Bónusz hogy a letsencryptes oldalakat alapból nem fogadja el a Blackberry, mert az IdenTrust-öt aki aláírt nekik, nem ismeri.
Ez még hagyján, noha bosszantó - de a TLS támogatás is el van hangyányit maradva, igaz, "csak" a levelezés terén. Legjobb tudomásom szerint a mai napig csak 1.0 támogatott a BB10 10.3-ban is, legalábbis 3 hónapja ez volt még a helyzet.
------------------------
{0} ok boto
boto ?
Januártól már tudni fognak
Már csak bő 3-at (hónap) kell aludni addig! :-)
Szerk.: Most látom, hogy lentebb is írták.
-
sub
[sub]
Ha mar felhoztatok ujra temanak:
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
Kicsit meg varni kell..
Ez jo hir \0/