Magyar, több wildcardos ssl cert kapható?

 ( hzsolt94 | 2016. június 10., péntek - 8:49 )

Olyan tanúsítványra lenne szükségem ami több wildcard domain nevet tartalmaz egyszerre. Pl érvényes a következő címekre:
pelda.hu
*.pelda.hu
*.egyik.pelda.hu
*.masik.pelda.hu
example.com
*.example.com
*.one.example.com
*.two.example.com

StartSSL-nél tudok ilyet készíteni, tehát műszakilag lehetséges, de most a magyar számla feltétlenül szükséges lenne mert... felesleges bürokrácia van.

Magyar viszonteladóknál eddig csak vagy SAN/UC-s vagy wildcardos certet láttam. Tudtok ajánlani olyan szolgáltatót aki ki tudja elégíteni az igényeimet?

Köszönöm a javaslatokat!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A hazai szolgaltatok kozul a Netlock "UCC SSL tanúsítvány - fokozott biztonságú, "C" osztályú" tanusitvanyt hasznalom erre a celra.

  • https://www.netlock.hu/html/ssl/megrendeles.html
  • Köszönöm, ennek utánanézek.

    Szia

    privátban küldd el, hogy pontosan milyen márka melyik verziója kell.
    Pl Comodo Multi-Domain Wildcard SSL tőlem kb 68e áfával - ez 3 domaint tartalmaz.

    A Microsec is ad ki ilyen tanúsítványt. Valószínűleg az Extra UCC felel meg neked. A https://ssl.e-szigno.hu oldalon találsz bővebb információt.

    Ez sem jó:
    "Az Extra UCC tanúsítvány [...] 3 wildcard tartománynevet hitelesít"

    A Microsecnek egyébként elfogadott már mindenütt a CA-ja?

    Nagyon be van állva a hitelességszolgáltatói piac, még mindig irreálisan drágán adnak ki tanúsítványokat. A több tízezer forintért akarnak eladni 1-2 domainre szóló certeket, amikor ezt már az ingyenesek is tudják (letsencrypt, startssl). Közben a bonyolultabb tanúsítványok felé, amikben még lenne pénz meg lehetőség, nem igazán nyit senki. :-/

    Hány wildcardra van szükséged?

    Kétfelé választanám az elfogadás kérdését. Egyrészről a Microsec CA-i elég régóta elfogadottak sok helyen. A böngészőtámogatásról a lista: https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tamogatas.html. De megtalálható a Windows tanúsítványtárában, Adobe tanúsítványtárában, Centos 7 java cacertsben, Centos 7 openssl truststoreban is.
    Másrészről ha valamilyen alkalmazást fejlesztesz, akkor úgyis saját truststoret célszerű definiálnod. Oda pedig azt teszel be, amit akarsz.

    Lehet, hogy beálltnak tűnik. Csak sajnos a hitelesítésszolgáltatás iszonyatos befektetéseket igényel, így csak megfelelő méretben éri meg csinálni. Hogy mitől drága egy tanúsítvány, az egy másik történet. Csak röviden: nem mindegy, hogy fokozott vagy minősített a tanúsítványod, nem mindegy, hogy class1, class2, class3, nem mindegy a felelősségvállalás mértéke, nem mindegy, hogy mit kérnek tőled a tanúsítványban szereplő adatok módosításáért, nem mindegy a hitelesítésszolgáltató auditáltsága stb. A másik, hogy például egy EV certificate jóval drágább, mint egy nem EV.

    Mit értesz bonyolultabb tanúsítványok alatt? Tudsz példát mondani?

    Ha saját alkalmazást fejlesztek, amiben én akarok hitelesíteni akkor saját trustroot-ot teszek bele. Itt nem erről van szó hanem klasszikus "multiplatform böngészős SSL-ről". Valamiért úgy rémlett hogy a Microsec nem annyira volt elfogadott mint a Netlock, ez bizonyára már nincs így.

    Hogy fokozott, minősített, esetleg szivárványpónis-e a tanúsítványom, az szerintem a hitelességszolgáltatókon kívül senkit nem érdekel. ;-) A világ döntő többsége 3 dolgot különböztet meg:
    - elijesztős nembiztonságos (self-signed)
    - sima (class 1, class 2, class 3, tökmindegy mi)
    - netbankolós nagyonbiztonságos (EV)
    Minden más csak fikció - a felhasználó sosem fog a biztosítási pénzből kapni, vagy a tanúsítvány osztályát megnézni. Az informatikus meg ha biztosra akar menni akkor rögzíti a cert ujjlenyomatát, az a class 999-nél is többet ér. (Pro tipp: egy jól beállított HPKP+HSTS a felhasználói biztonságban is többet ér mint egy class 3 magában)
    Persze, biztos vannak olyan elszigetelt esetek amikor a tanúsítvány osztálya számít (pl. törvényben előírt), de lássuk be hogy ez egyáltalán nem tipikus.

    A bonyolultabbra azt hiszem elég jó konkrét példát írtam a nyitóposztban. Nagyobb szervezeteknél, (nálunk például közoktatásban) előfordul hogy rengeteg domaint kell lefedni, és itt gondot okoz hogy a wildcard (*) csak egyetlen szinten használható. Konkrét esetben nálunk a "hivatalos" oldalak közvetlenül vannak *.intezmeny.hu, viszont minden tanárnak, diáknak lehetősége van saját oldalt publikálni *.users.intezmeny.hu címen. Ezt kapásból nem fedi le egy wildcard cert, és ez csak egy példa a sub-sub domainek közül. Ha esetleg még van egy tartalék TLD ami alatt mindent meg kell ismételni akkor már biztosan nem lehet ráhúzni a sablon "azért-van-így-mert-ezt-mondta-a-marketinges" cert konstrukciókat.

    A dolog engem személyesen ott kezd bosszantani amikor egy ilyen certért évente 200e-300eFt-ot el akarnak kérni, pedig semmiben nem különbözne a kiállítása egy sima SAN certtől. :-/

    Te jelenleg csak a titkosítói tanúsítványt nézed, holott egy aláírói tanúsítványnál elég nagy jelentősége van a "szivárványpóninak". Lásd: e-személyin lévő aláírói tanúsítvány "érdekes mivolta".

    A te esetedre 3 megoldást tudok elképzelni:
    - saját CA, amit szervezeten belül elfogadsz -> rootCA terjesztési probléma
    - csinálsz saját CA-t, amit felülhitelesítesz egy trusted CA-val
    - kérsz subCA-t valamelyik hitelesítésszolgáltatótól

    A 2. és 3. esetben én megkeresném a Netlockot és a Microsecet, hátha tudnak adni rá valami normális konstrukciót.

    Amit SAN certnek írsz, az valójában az UCC tanúsítvány. Nyilván nem fogja senki se ugyanannyiért osztogatni az UCC tanúsítványt, mint ami csak 1 domainre érvényes.

    Igen, teljesen igazad van, csak titkosítási tanúsítvány kell és valóban UCC. Ha ehhez saját CA-t javasolnak valahol, akkor ott szerintem gond van, vagy nem értik mit szeretnék.

    Igazából az derült ki eddig, hogy a Netlock-nak és a StartSSL-nek van elfogadható megoldása. Hogy másnak miért nincs ha nincs, az engem kevéssé érdekel, és bosszant ha mást akarnak eladni nekem mint amire szükségem van. Ha már aláírás, én személyesen a WoT-t sokkal jobb modellnek tartom - de ez itt pont annyira nem releváns mint a Class 3.

    Ha viszont tudsz olyan szolgáltatót aki elfogadható áron UCC certet ad, akkor nagyon megköszönöm ha tudtomra adod.

    Ők egyáltalán nem tudnak wildcardot.

    Ellenben webserver-be jó esély-el úgyis veszel fel virtualhost-okat amikre automatikusan megújul stbstbstb. Vagy van valami érdemi oka a wildcard-nak?
    ---
    Referrall https://goo.gl/7S2vlp (koding) | https://goo.gl/muWzKz (digitalocean)

    Én is letsencrypt párti vagyok, de itt wildcardra van szükség. Van pl ~1200 felhasználónk akinek a felhasználóneve automatikusan érvényes subdomain. El sem férne ennyi egy certben, de ha mégis, akkor sem vállalnám be hogy újragenerálja az automatika minden alkalommal mikor változás van :-)

    Bónusz hogy a letsencryptes oldalakat alapból nem fogadja el a Blackberry, mert az IdenTrust-öt aki aláírt nekik, nem ismeri.

    Ez még hagyján, noha bosszantó - de a TLS támogatás is el van hangyányit maradva, igaz, "csak" a levelezés terén. Legjobb tudomásom szerint a mai napig csak 1.0 támogatott a BB10 10.3-ban is, legalábbis 3 hónapja ez volt még a helyzet.
    ------------------------
    {0} ok boto
    boto ?

    Januártól már tudni fognak

    Már csak bő 3-at (hónap) kell aludni addig! :-)

    Szerk.: Most látom, hogy lentebb is írták.

    -

    sub

    [sub]

    Ha mar felhoztatok ujra temanak:
    https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html

    Kicsit meg varni kell..

    Ez jo hir \0/