apache SSL cert

Web, mail, IRC, IM, hálózatok

Sziasztok

venni szeretnénk 2 szerverünkhöz SSL cert-et. Eddig sajáttal üzemelt, ami viszont kezd elég ciki lenni. Szóval cél, hogy a https kéréseknél ne dobjon fel hibás tanúsítvány ablakot :)

Kérdéseim:

1. Jól látom, hogy pl. a netlocknál a Nem minősített (FB) tanúsítványok- SSL (szerver) tanúsítvány-Expressz (C) megfelelne erre a célra? (19.2k/év)
http://www.netlock.net/html/ar.html

2. Ha a 2 külön vason futó szerver neve xxx.nev.hu és yyy.nev.hu ezekhez 2 ilyen certet kell vennünk, vagy 57.6k-ért egy wildcard certet? Vagy egy sima szerver cert elég, ha a nev.hu szintig megegyezik a 2 szerver neve?

Előre is kösz a segítséget.

  • 2011 megtekintés

( bounty v | 2009. 05. 20., sze – 14:20 )

jó közben alaposabban utánaolvastam és rájöttem, hogy
1. igen
2. előbbi (2 cert)

de azért jólesne egy megerősítés :)

( csuhi | 2009. 05. 20., sze – 14:32 )

Én nem paráznék ezen, meg főleg nem adnék egy fillért se tanúsítványért. Inkább törne le a keze annak aki így megbonyolította a nemfizetős tanúsítványok kezelését az firefoxban (és az ieben).

A magyarorszag.hu -nál is sikítozik mindkettő, mégis be tudják vallani az adójukat az emberek ezen keresztül.

Szerintem inkább akkor nagyanakodj, ha nem sikít a böngésző, már ez a ritkább.

--
http://csuhai.hu

Nem felejtettem el, csak így ahogy van vicc az egész.
Egyrészt mivel a titkosított weboldalak felénél bejelez - sokszor azoknál is akiknek fizetős tanúsítványuk van, de csak pl a www.akarmi.hu domainre, az akarmi.hu-ra meg nem vették meg külön - ezért sok ember már csuklóból nyomja a kivétel hozzáadását.

Másrészt vannak technikák a hitelesítés hamisítására. Nem adok tippeket, itt is volt már róla szó, gugli megtalálja.

A harmadik, hogy attól ha Gengszter Bt. kicsengeti a zsetont, még Gengszter Bt. marad. Ha ügyesen csinálja, még offshore cégezni se kell hogy ne tudd meg soha hogy ki áll mögötte. Magyarul nem az a hitelesség alapja hogy kinek mennyi pénze van.

--
http://csuhai.hu

Egyrészt mivel a titkosított weboldalak felénél bejelez - sokszor azoknál is akiknek fizetős tanúsítványuk van, de csak pl a www.akarmi.hu domainre, az akarmi.hu-ra meg nem vették meg külön - ezért sok ember már csuklóból nyomja a kivétel hozzáadását.

Ez nem a rendszer hibaja.

Másrészt vannak technikák a hitelesítés hamisítására. Nem adok tippeket, itt is volt már róla szó, gugli megtalálja.

Semmi sem tokeletes(gondolok itt pl. az IPKI-ben nem olyan reg kihasznalt md5 collision altal generalt rogue CA-ra), de ez termeszetesen nem jelenti azt, hogy innentol akkor boldog-boldogtalan hitelesitgethet mindenkit, mer ugyis mindegy...

A harmadik, hogy attól ha Gengszter Bt. kicsengeti a zsetont, még Gengszter Bt. marad. Ha ügyesen csinálja, még offshore cégezni se kell hogy ne tudd meg soha hogy ki áll mögötte. Magyarul nem az a hitelesség alapja hogy kinek mennyi pénze van.

Felreerted. Az IPKI nem azt akarja megmondani, hogy Gengszter Bt. jo vagy rossz ceg (bar tetszik az elgondolasod :)), hanem csupan azt, hogy a Gengszter Bt. az a Gengszter Bt. es nem a Maffia Bt. vagy a Jofiuk Bt. (es sajnos a tortenelem azt mutatja, hogy ezt se mindig tokeletesen, de...lasd 2. pont)

Nem értem a kérdést.

Elmondom, hogy csináltam én, aztán ha másra vagy kiváncsi, megnézed a faqban.

1, regisztrálom magamat, ilyenkor ellenőrzik az általam megadott emailcímet. (email, benne kód)
2, megmondom, melyik domain az enyém. Ilyenkor küldenek egy levelet a postmaster@domain, vagy hostmaster@domain, vagy valami harmadik címre, nem emlékszem, én postmasterre küldettem. (email, benne kód).

Ez volt az azonosítási fázis. Ezután van (talán) 30 napom, hogy a saját certet feltöltsem, és ők aláírják. (Vagy akár generálnak is egyet).

Ez a free cert.

A fizetősökben többet kell azonosítani, pl. igazolvány másolatot kérnek, ha jól emlékszem.

De persze ebben a postban arról volt szó, hogy hogyan lehet a saját magam által aláírt tanúsítványt kiváltani, mert beszólnak a browserek.

Én meg azt mondtam, hogy www.startssl.com, ingyen, és a firefox nem fog pofázni.

G

Mi a problémád a Microsec-es kibocsátással? Igen, be kéne lapátolni a CA-ik kulcsát a böngészőkbe, igen, addig sikítani fog a browser, amíg nem -- viszont elég gyorsan rövidre lehet zárni a dolgot, letöltöd, berakás előtt telefonálsz, hogy te CA-kulcs kivonatot szeretnél egyeztetni, aztán ha elég sokan b...tatják őket ilyesmivel, akkor talán ők is elkezdik a FF fejlesztőket ...tani a kulcsaiknak az alaptelepítésbe történő berakása érdekében.

( eax | 2009. 05. 20., sze – 19:57 )

"Ha a 2 külön vason futó szerver neve xxx.nev.hu és yyy.nev.hu ezekhez 2 ilyen certet kell vennünk, vagy 57.6k-ért egy wildcard certet?"

Attol fugg, hogy mi az xxx meg yyy. Ha logikailag egybe tartozo valamik (www., img., kep., static.), akkor jo lehet a wildcard, ha viszont valami egeszmas (pl. kulonbozo ugyfelek dolgai), akkor erdemes kulon certet venni mindegyikhez, igy ha az egyik kompromittalodik, az a tobbire nincs hatassal.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( asza v | 2009. 05. 20., sze – 21:55 )

Ha csak az a lényeg, hogy a böngésző ne reklamáljon, akkor az említettnél van jóval gazdaságosabb megoldás is, pl. RapidSSL.

( cus | 2009. 05. 21., cs – 00:11 )

Újabban elvileg meg lehet adni egy tanúsítványban alternatív neveket is, nem tudom, hogy a Netlock ezt mennyire támogatja, persze ez inkább akkor jó, ha egy gép több doménnéven is elérhető:
Infó erről: http://www.verisign.com/ssl/buy-ssl-certificates/subject-alternative-na…

Két gépre a legjobb a két tanúsítvány. Vagy az is megoldás, ha egy tanúsított gép van, és onnan reverse-proxyzod a másik gép szolgáltatásait.

( bounty v | 2009. 05. 22., p – 09:47 )

Köszönöm az ötleteket, egyelőre csináltattam 2xfreeSSL certet, a vezetőség meg 1 hónap alatt eldönti majd mit szeretne :)