Eddig csak ingyenes SSL tanúsítványokat használtam (StartSSL), olyan helyekre, ahol ez elég volt.
Most szükségünk lenne egy webshophoz egyre, ami jobb ezeknél. Zöld lakatot ad a böngészőben. Illetve látok néhol olyat, hogy nem csak zöld lakat van, hanem mellé a zöldbe oda van írva a név is, pl. a bankom ilyen. Ez más típus?
Ilyen tanúsítványt is lehet sok helyről venni.
A tapasztalatok / vélemények érdekelnek.
Melyik céget érdemes elkerülni (miért), melyik jó (miért).
Érdemes szerintetek valamelyik ismert nevű kibocsátótól venni, mint mondjuk Verisign, vagy amíg az elterjedt böngészők elfogadják, addig mindegy?
Nem szeretnék úgy járni, hogy mondjuk veszek a StartSSL tanúsítványt, és a Mozilla meg összerúgja velük a port és hirtelen nem jó.
Nemzetközileg elfogadott tanúsítvány kell, csak Magyarországon működő nem jó.
Előre is köszönöm
G
Hozzászólások
MÁV Informatika
DigitalOcean 10$ kredit- Cloudatcost VPS 50%: MEQy2epUny - <3 openSUSE, Ubuntu, KDE <3
2014.07.31-e óta nem bizalmi szolgáltatók.
Ezen röhögtem egyet.
Oké, mert nem komolynak szántam.
DigitalOcean 10$ kredit- Cloudatcost VPS 50%: MEQy2epUny - <3 openSUSE, Ubuntu, KDE <3
A nevesített izé az az Extended Validation cert (EV cert), átlagosan egy nagyságrenddel drágább szokott lenni... A Mozilla most éppen a Let's encrypt-et támogatja, ők EV tanúsítványt nem fognak adni.
És innentől magánvélemény: szerintem kb. mindegy, kitől veszed, ha a célcsoportodnál rendben van.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Nem is hiszem, hogy EV-re szükség lenne.
Csak a más típus kérdésre válaszoltam. (egyébként én sem látom túl sok értelmét azon túl, hogy a CA-k megint kaszálhattak egyet :) )
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
De hát ha nem kell EV, csak zöld lakat, akkor akár a Letsencrypt is elég: https://community.letsencrypt.org/t/which-browsers-and-operating-system…
Van egyébként értelme nem let's encrypt-et használni, hacsak nincs olyan igény, amit az nem támogat?
Nem ismertem ezt az CA-t korábban. Kipróbáltam, zöld, ingyen volt, szóval eddig jó.
A sima zöld lakat csak a https-t jelenti, illetve a böngésző általi elfogadást. Ha zölddel kiírja a nevet, akkor az EV (extended validation) tanúsítvány. Jelenleg ilyet nem tudsz venni itthon. Egy nagyságrenddel többe kerül, mint a sima tanúsítvány.
Olyan céget válassz, akikkel tudsz kommunikálni, van tapasztalatuk PKI-ban, régóta a piacon vannak. Itthon 2 ilyen cég van: Microsec és Netlock. Mindegyik tanúsítványait elfogadják a böngészők. Microsecnél: https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tam…, Netlocknál: https://www.netlock.hu/html/ssl/bongeszok.html.
Sajnos a Mozilla egy hisztis társaság. Bármikor, bárkivel képesek összerúgni a port. Ha a bizalmi szolgáltató hibázik, akkor teljesen jogos a kirúgás.
A Microsec és Netlock tanúsítványait is elfogadják nemzetközileg.
Ha a PDF-eknél a "Legalább egy aláírás hibás." (Az aláíró ismeretlen...) elfogadást jelent. :D
Frissíteni kellene a PDF olvasó programot... :)
Nincsenek elérhető frissítések.
Telepítve: Adobe Acrobat Reader DC - Hungarian (15.020.20039)
(De azért mindjárt letöltöm az Adobetól a legújabbat hátha)
Csak a Netlockét eszi az Acrobat, Microsecét nem.
Akkor ezért. (amit néztem Microseces :))
Ha megbízol a Microsec-ben, mint tanúsítványkiadóban, akkor megetetheted a root cert-jüket az Adobe Acrobattal, és többet nem fog nyavalyogni.
Akkor az Adobe hazudik.
Az oldalukon hivatkoznak European Union Trust List (EUTL)-re. Az EUTL hivatkozik az NMHH listájára, ahol a bizalmi szolgáltatók listáján szerepel a Microsec.
Továbbá néhány verzió óta a Windows tanúsítványtárából is dolgozik az Adobe (lásd: Szerkesztés -> Beállítások -> Aláírások -> Ellenőrzést megnyitva az "Együttműködés a Windows rendszerrel" rész nekem bepipált állapotban van. Továbbá a Szerkesztés -> Beállítások -> Megbízhatóságkezelő fülön az EUTL előtt szerepel nálam a pipa alapértelmezetten). Így el kellene fogadnia a microseceset is.
Ne keverd össze a webszerverek tanúsítványát (AATL és, ha bekapcsolod, a Windows root CA-k) a digitális aláírással (amiben szerepel az EUTL is).
A Netlock és a Firefox nem tökéletes. Pl. az AXA esetében Firefox használatkor a NetLock Üzleti Eat. (Class B Legal) tanúsítványt importálni kell hogy rendben legyen.
https://www.facebook.com/balazs.gergely.71/activity/1226195197414708?co…
https://www.netlock.hu/docs/segedletek/bongeszo_firefox_sha256.pdf
--
Légy derűs, tégy mindent örömmel!
Comodo http://www.comodo.com/msexchange
DigiCert http://www.digicert.com/unified-communications-ssl-tls.htm
Entrust http://www.entrust.net/microsoft/
GeoTrust http://www.geotrust.com/ssl/ssl-certificates-san-uc/
GlobalSign http://www.globalsign.com/ssl/buy-ssl-certificates/unified-communicatio…
GoDaddy https://www.godaddy.com/ssl/ssl-certificates.aspx
Symantec
(formerly VeriSign) https://www.symantec.com/theme.jsp?themeid=san-ssl-certificates
Thawte http://www.thawte.com/ssl/san-uc-ssl-certificates/index.html
WISeKey http://www.wisekey.com/en/Products/digital-identities/Pages/ssl-solutio…
Ezek mind jók (és drágák), cserébe tudnak több nevet is (ha erre nincs szükséged, kereshetsz az adott szolgáltatónál olcsóbb 1-neves cert-et is).
--
WP8.x kritika: http://goo.gl/udShvC
Comodo: https://en.wikipedia.org/wiki/Comodo_Group#Certificate_hacking
valamint: https://bugzilla.mozilla.org/show_bug.cgi?id=1311713
--
NetBSD - Simplicity is prerequisite for reliability
https://letsencrypt.org/
+1
Szép dolog ez az egész tanúsítványosdi, csak szerintem többnyire az ügyfelek megkopasztásáról szól. Arra építik az egész iparágat, hogy néhány nagy kiadó bekerüljön az operációs rendszer/böngésző/stb. szoftverekbe alapértelmezetten elfogadottként, és ezért rengeteg suskát le lehet gombolni róluk. A kiadók meg a szuperzöld certekért gombolnak le rengeteg suskát a júzerekről. Az olvasót meg senki nem kérdezi meg, hogy megbízik-e pl. a Verisign-ban.
Pontosan emiatt jött létre a LetsEncrypt. Amennyiben meg tudod úszni EV cert nélkül, akkor csakis őket érdemes használni szvsz. Fizetni pénzlehúzó bandának nem szabad.
Hát nemtom, én valami 1500 Ft-ért vettem a saját VPS-emre dv cert-et, akkora lehúzásnak nem éreztem (napi 5 Ft kb.)
Persze a letsencrypt ettől is olcsóbb, ez kétségtelen. Tervezem én is bevezetni több helyen...
Végülis jah, én is nagyon szivesen bankolnék egy lentsencryptes certen keresztül ... Te is ? :)
Miért ne?
Meg tudod mondani fejből, hogy ki állítja ki a bankodnak a certeket? Ha igen: mennyivel jobban garantálja az a kiállító, hogy tényleg a bankoddal beszélgetsz?
Ha egy 3rd party CA-t megtörnek és annak a nevével kiállítanak egy érvényes, és a böngésződ által elfogadott certet a bankod nevére, akkor ugyanúgy nem tudsz ellene védekezni, akár a Symantec állítja ki (igen, ránéztem, hogy az én bankom mit használ :) ), akár a LE.
Ami viszonylag stabilan tudna skálázódni ekkora méretre és használható az lenne, az kb. az, hogy HSTS, kötelező key pinning HTTPS felett, DNSSec-el biztosítva publikálod a publikus kulcsot a DNS-ben (*), és úgy használod a certet. Így hosszabb időre, több, független, kriptoval alátámasztott csatornát kéne egy MITM-hez törni...
(*): DANE, ez az, ezt kerestem... sajnos a böngészők csak extensionökkel támogatják.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Az enyémet tudom fejből. Symantec. Valamikor megnéztem.
És ellenőrzöd is minden belépéskor, hogy akivel beszélgetsz, szintén Symantec certet nyomott a kezedbe?
Na akkor a második kávé után részletesebben: a mostani CA rendszerben meg kell bíznod több száz CA-ban, hogy egyik sem állít ki (véletlenül, szándékosan, ...) érvényes certet a bankodnak és adja oda valaki másnak. Ha végre elterjedne a DNSSec és a DANE, akkor az IANA-ban és a TLD-d üzemeltetőjében kell megbíznod - userként is (nem kellene megnézned, hogy a bankod certjét ki állította ki és ellenőrizgetned) és üzemeltetőként is (nem több száz, hanem 2-3 cég lőhet csak lábon). Persze ezzel egy egész, mocsok nagy bevételt generáló iparág (ti. a mostani CA-alapú PKI) menne a levesbe, úgyhogy nagyon sokat ellenérdekeltek benne - inkább 10 év múlva jön a VFEC (very f***in' extended certificate), újabb 10 év múlva a SWDNFUTTC (seriously, we did not f*** up this time cert); természetesen mindig visszaemelve az árát a mostani EV cert nagyságrendre.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Nem szoktam ellenőrizni, hogy a kibocsátó ugyanaz maradt-e.
Megnézem, hogy zöld mezőben ott van-e a bank neve, aztán ennyi.
Egyébként ha ma megnézném és Symantec helyett más lenne, az se mondana túl sokat nekem. Lehet, hogy lejárt az előző és más céghez mentek? Bármi lehet. Volt néhány CA, akik nevében valakik valamikor ki tudtak adni tanúsítványokat. Ebből kiindulva... akár a Symantec cert is lehetne hamis.
Igen, pont ezt írjuk, hogy az egész CA-alapú PKI broken :)
Ha ugyanezt DNSSec+DANE alapon oldanák meg, kettő darab szervezetben kéne megbíznod: IANA és az ISZT-ben (oké, plusz annyi ccTLD/gTLD üzemeltetőjében, amennyinek az oldalaid látogatod...). Most több százban, aminél áll a szokásos biztonsági mondás a leggyengébb láncszemről...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Nem tökéletes megoldás, de FF alá van certificate patrol extension...
És Comodo-son? lásd feljebb: http://hup.hu/node/150108#comment-2031371
És nem csak őket nyomták fel.
... és az MKB pl. tőlük vesz...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Jópofa, legközelebb megnézem. Épp tegnap vettem egy "gyors" SSL-t a netlock-tól, 3 perc volt az egész bankkártyával. Mondjuk 5070 Ft volt egy évre és nem az ügyfél fizette (https-t akartam elérni http-ről browserben, de ezt nem engedte, jogosan, ezért a másik is https lett)
----------------
vamtarifaszam.hu
Mi sok tanúsítványt vettünk tőlük: www.ssls.com bár egyik sem EV-s volt.