startssl ingyenes cert hogyan

 ( Tyra3l | 2011. január 30., vasárnap - 15:16 )

http://hup.hu/node/98628 temaban procika peldajabol okulva gondoltam megosztom masokkal is, hogy hogyan lehet startssl-es 1 eves ingyenes ssl certet krealni, es beallitani.

a cert letrehozasa kb. annyi, hogy:
1, regisztralsz a startssl.com-on (chrome-ot nem szereti), ottani certet feltelepited. (szerk: tobben felreertettek, ez a cert nem azert kerul a bongeszodbe, hogy utana elfogadja a startssl altal kiallitott certet, hanem ezzel authentikalod magad a startssl.com fele, ez alapjan ered el a control panelt)
2, megerosited a domained tulajdonjogat egy postmaster@domained cimre kuldott ellenorzokod megadasaval.
3, cert wizarddal generalsz egy privat kulcsot (vagy opcionalisan a sajat kulcsoddal csinalsz egy csr-t es azt toltod fel), majd generalsz egy certet, es azt letoltod.
4, https://www.startssl.com/?app=21 ennek megfeleloen kitoltod az apache configot

- amit erdemes lehet tudni: ha a startssl-es webfelulettel generaltatod a private key-t, akkor le lesz vedve jelszoval, ami nem tul szerencses, mert minden apache start/restart-nal be fogja kerni a jelszot, openssl rsa -in private.key -out private.key.unencrypted paranccsal le lehet pucolni a jelszot a private kulcsrol.
- a koztes kulcsot ne felejtsd el beallitani, kulonben a firefox picsogni fog: https://www.startssl.com/?app=25#31 a minta apache config ezt is bemutatja, gyakorlatilag a https://www.startssl.com/certs/ca.pem es https://www.startssl.com/certs/sub.class1.server.ca.pem fajlokat kell letolteni es SSLCACertificateFile, SSLCertificateChainFile configokkal megadni az apache-nak.

ha valaki csak kivancsi, hogy hogyan nez ki egy ilyen cert mukodes kozben, az megtekintheti a https://kodorgo.hu/ oldalon (tartalom nincs rajta, csak a cert bemutatasa volt a cel)

Tyrael

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hm
A kodorgo.hu-t mozilla kekkel jeloli, otp.hu-t zolddel.
IE otp-t bezolditi, kodorgo-t nem.
Azért nem ugyanaz a feeling az r=1 usernek...

na, ez egy nagyon fogalmatlan eszrevetel volt.
az, hogy az IE, illetve firefox zoldnek mutatja a certet, ahhoz nem eleg a "sima" ssl cert, hanem EV cert kell:
http://en.wikipedia.org/wiki/Extended_Validation_Certificate

- Establish the legal identity as well as the operational and physical presence of website owner;
- Establish that the applicant is the domain name owner or has exclusive control over the domain name; and
- Confirm the identity and authority of the individuals acting for the website owner, and that documents pertaining to legal obligations are signed by an authorised officer.

tehat latszolag eleg szigoru feltetelekkel adjak, es arban is egy premium kategorias szolgaltatasrol beszelunk, altalaban legalabb a duplaja az ara egy EV-s certnek mint a normalnak, minden szolgaltatonal.
http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers

tobbnyire fizetesi intezmenyek, bankok, nagyobb online boltok szoktak zold certet venni.
pl. se a https://www.facebook.com -nak, se a https://magyarorszag.hu -nak nincs zold certje, innentol kezdve nem latom okat, hogy miert zavarna az r=1 usert hogy csak normal kek cert van az oldalon (foleg ugye hogy nem is minden browser jeleniti meg zoldnek a zold certet, pl. google chrome), de egy ingyenes certtol elvarni azt, amit meg a fizetos certek kozott is premium szolgaltatas, raadasul termeszetenel fogva nem is intezheto az intezmeny/ceg validacioja nelkul, na hat ez eleg nagy butasagra vall.

Tyrael

Zöldet is lehet venni a startssl-től. Most akciósan 200 dollár egy évre, ha jól láttam.

http://www.startssl.com/?app=30
csak az elso EV-s cert 200 dolar, utana minden tovabbi mar csak 50 (gondolom mert a ceges scanning-et csak egyszert kell megcsinalni)

es ezzel is messze olcsobbak, mint a nagy szolgaltatok (verisign, thawte), viszont imho ahova zold cert kell, ott a presztizs miatt erdemes a nagyoktol venni. :/

Tyrael

elismerem, nem értek hozzá, csak észrevételt akartam tenni az r=1 user szemszögéből.
és köszi a kedves szavakat :)

elnezest, ha megbantottalak volna, se a szandekos csusztatast, se az emberi butasagot nem toleralom jol, bar talan meg mindig a hup-os atlag folott vagyok ezen kepessegemmel.

Tyrael

Mellesleg a chrome unstable-be már réges régen benne van a "zöld" jelölés ;)
http://www.eisenberger.hu/~u-foka/chrome-ev-cert.png

kosz, ezt nem tudtam.

Tyrael

Thx

+1

+2

+1

Köszi a linket/írást.

Ha az ember egy év után újra generál magának kulcsot, az megengedett?

Ezt egy domain.hu címhez lehet regisztrálni vagy mail.domain.hu, web.domain.hu, x.domain.hu címekhez külön kéne?
Bocs, ha túl triviális/értelmetlen a kérdés... :)

szia, ujrageneralast mindjart kiprobalom, gyanus hogy nem engedi.
regisztracional valaszthato 1 tetszoleges aldomain, a domain melle.
tehat a kodorgo.hu melle meg valaszthattam 1 aldomaint, ami nalam a www.kodorgo.hu lett.
a szervereden viszont oda konfolod, ahova akarod, ergo ha neked mar van a subdomain nelkuli, illetve a www subdomainre certed, de szeretnel az admin.domain.hu -ra, akkor azt is megoldhato (egyszeruen csak ahhoz a vhosthoz konfolod fel ezt a certet), viszont azzal nem art tisztaban lenni, hogy 1 ip-hez tobb vhosthoz kulonbozo certet kuldeni meg nem teljesen supportalt a bongeszokben.

Tyrael

Nem feltetlen toled kerdem, de ebbe a szalba tartozik: Wildcard certet tud a startssl (akar fizetosen is)?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

http://www.startssl.com/?app=40
ez alapjan igen (kiveve az igyenest, meg az EV certet)

Tyrael

"2, megerosited a domained tulajdonjogat egy postmaster@domained cimre kuldott ellenorzokod megadasaval"

Ha valahol csak aldomainem van pl. a domain.hu így a postmaster@domain.hu nem az enyém de az aldomain.domain.hu az en felugyeletem alatt van így az ellenorzo e-mail postmaster@aldomain.domain.hura megy az is mukodik?

Az az tudok-e így certet kapni toluk pl. a www.aldomain.domain.hu-ra, vagy ezt is csak a domain.hu tulajdonosa teheti meg?
--
Légy derűs, tégy mindent örömmel?

Van egy lista, hogy milyen domain-t tud ellenőrizni. Az alattiakat nem.

Pl. .hu, .2000.hu, .agrar.hu, .bolt.hu, .co.hu, stb... hosszú a lista, nézd meg.

Mindenesetre ha mondjuk nem cég.co.hu, hanem valami.cég.co.hu, akkor nem fog menni a feletted levő domain gazdája nélkül.

a validacional nem adhatsz meg subdomaint, szoval ha nem fersz hozza a postmaster/hostmaster/webmaster, illetve talan a domainregnel megadott contact fiokhoz, akkor nem tudsz igy certet regelni.

Tyrael

Amelyik TLD-nél van (publikus) whois, ott a whoisban lévő email címeken keresztül lehet validálni, a postmaster, stb. RFC-kben ajánlott email címek ezeken felül vannak.

"illetve talan a domainregnel megadott contact fiokhoz"
de koszi a megerositest, anno nem volt idom/turelmem kitesztelni, hogy biztos nezi-e azt.

Tyrael

Köszönöm a válaszod.

kiprobaltam az ujrageneralast.
a helyzet az, hogy regebben volt A domainre 1 eves certem, ami lejart kb. fel eve, de mar nincs meg ahhoz a startssl-es accom, most ezzel az accal mindenfele problema nelkul tudtam certet csinalni arra a domainre, szoval szerintem evente meg lehet ujitani az ingyenes certet, de azert 1% esellyel elkepzelhetonek tartom, hogy csak azert mukodott, mert masik accot regeltem, de az eleg gagyi megoldas lenne, raadasul nem is irnak semmit arrol, hogy ne lehetne a free certet 1 evnel tovabb hasznalni.

Tyrael

Értem, köszi.

Megjegyeztem a címet, mert lehet még rá szükségem.

Ez a startcom-nál úgy működik hogy személyt illetve szervezetet azonosítanak (akár class1 akár class2) ha az azonosítás valid, akkor kérhetsz bármi sajátnak mondott entitásra tanúsítvány (szerver, kliens, stb). Azaz az érdekli hogy az adott "entitást" ki üzemelteti, ki tartja felette a kontrollt. Kiegészíteném annyival, hogy az azonosítás általában előbb lejár mint a tanúsítvány amit az azonosítás érvényességének akár utolsó napján is létrehozhatsz, és semmilyen hatása nincs tanúsítványra az azonosítás érvényességének megszűnte.

imho Class 1-es certhez csak a domain folotti kontrollt kell bizonyitani (megerosito level a postmaster@domain cimre megy)

http://www.startssl.com/?app=40
Identification es Organization Details csak Class 2/3-nal van.

Tyrael

Próbáltad már personal validáció nélkül? :) (arra célzok nem tudsz bejelentkezni)
Valamit nem jól írhatok ha így félreérthető...

akkor lehet, hogy ugyanazt ertjuk a company/organization validacio alatt.
http://www.verisign.com/ssl/ssl-information-center/ssl-basics/index.html#a7

komolyabb certekhez (erre celoztam a Class 2/Class 3 certtel) nemcsak a domain feletti hatalmat, de a szervezet authoritivsagat is ellenorzi a kibocsajto ceg.

Tyrael

Nem akarok vitatkozni, neked akartam segíteni.
A startsslnek mindegy kié a domain, ha van 1 szervezeted amit ellenőriztettél, akkor ahhoz 4012012db (akár nem a tulajdonában lévő) domaint is beadhatsz, ilyenkor a class2 organization validációt a class2 personal validáció előzi meg.
Class1 azért megtévesztő, mivel az első personal (client) cert a böngésződbe települ a regisztrációkor, ha ezzel csinálsz domain validációt akkor class1 certet tudsz kérni, de ha közben ezt a class1-re kérsz validációt akkor ha class2 lesz belőle akkor már kérhetsz új certet a kontroll alatt lévő domainjeidre.
Azaz per regisztráció kell neked validálni magad. És a kiállított certificate-k önálló életet élnek. A logikában próbáltam segíteni, lehet hogy rosszul.

hopsz, ezt anno nem vettem eszre.
igen, en voltam ertetlen, nem esett le, hogy a szal elejen az azonositas alatt a kliens oldali ssl certre gondolsz.

az utokornak osszefoglalva:
- a kliens oldali certet az azonositashoz kapod, ezzel jelentkezel be a startssl-es admin panelbe, ez 1 evig valid.
- barmikor tudsz (sikeres belepes utan)ujabb kliens oldali ssl certet generalni, ezaltal helyes hasznalat mellett a vegtelensegig megorizheted az accountodat.
- amennyiben elveszitened az (osszes) kliens oldali certet, akkor regisztralj egy uj accountot, es keresd fel a CertMastert, hogy atkossek az uj kliens certet a regi accountodhoz, lasd https://startssl.com/?app=25#14
- a kulonbozo tipusu tanusitvanyokhoz szukseg van az adott entitas tulajdonlasanak igazolasara, ezutan a validalt entitasokra mar letrehozhatsz tanusitvanyokat, a validacio lejaratanak idopontjaig, mikortol is ujra el kell jatszani a validacios processt.
- a kliens oldali accountodtol fuggetlenul, a mar kiallitott ssl tanusitvanyok a lejarati datumig ervenyekes maradnak.
- a kliens oldali cert megorzesere 2 nyomos okod van:
-- ha revoke-olni szeretned a korabban kialitott tanusitvanyt, azt csak arrol az accountrol tudod megtenni, ahonnan anno ki lett allitva.
-- a kulonbozo Validaciok (domain name, email, personal identity, organization) X napig ervenyesek, ergo ha megvan az accountod, akkor a megadott idon belul letrehozott tanusitvanyokat mar egyszerubb elkesziteni.

Tyrael

Kösz még 1x.

Szerintetek van különbség a
StartSSL (free, Class 1) és a RapidSSL között? https://www.servertastic.com/rapidssl/

Vagy mindkettő ugyan azt tudja, csak az egyik ingyen?

A StartSSL-ről azt írják, hogy a domain és az e-mail nincs hitelesítve, a 10 dollárért a Rapid ezt megcsinálja? Nem találtam infót róla.

http://webdesign.about.com/od/ssl/tp/cheapest-ssl-certificates.htm
http://www.startssl.com/?app=1

köszi

figyelj oda, hogy a 10 dollaros ar, az csak 10, vagy tobb domain vasarlasa eseten el, valamint ez egy reseller ar, a rapidssl sajat oldalan ennel joval magasabb osszeg szerepel($79)
a kulonbseg amit biztosan latok, az az, hogy logikus modon a free-re nem ad a startssl warranty-t.

Tyrael

De add : "US $ 10,000 insurance guaranteed"


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

valoban, epp csak a szemem nem szurta ki.

Tyrael

Nekem pont most járt le egy 2 éves godaddy-s certem, lecseréltem erre a startssl-es free-re, teljesen jól működik :)

/ Ha valami.domain.tld-re akar valaki certet (én is így akartam): csak a domain.tld-t kell validál(tat)ni, megcsinálni a valami.domain.tld-re a CSR-t, feltölteni, kiválasztani a domain.tld-t, végül megkérdezi milyen subdomain-t szeretnél hozzá, ekkor írod be neki a valami-t. /

Köszi,

Üdv.

Tyrael:
A rapid valóban 10-es csomagban 10 dollár, de 1 db is csak 15-re jön ki.
A free startSSL-ről az összehasonlító oldalon http://webdesign.about.com/od/ssl/tp/cheapest-ssl-certificates.htm azt írják, hogy az is 10.000 dollárra van biztosítva. (bár ezt a startssl.com-on egyelőre nem találom)

Nem nagyon tudom, hogy akkor most van-e különbség :) köszi

zooly:

a rapidnál viszont pont fordítva van, ha a www.domain.hu -ra és a domain.hu-ra is akarod az ssl-t, akkor a www.domain.hu -ra kell megcsinálni és az fog menni a www nélkülin is.

Köszönöm szépen a leírást!

----------------------------
színes ingyen domain domain

nagy problémám, hogy megcsináltam szépen egy ilyen certet saját fájlt töltöttem fel, de elszúrtam mert a szerver ahol alkalmazni akartam nem fogadja a 4096(?) bitest.
Most szeretném valahogy kijavítani de a firefox: ssl_error_handshake_failure_alert hibakódot adja a belépés helyett. De próbáltam másik böngészővel is, hasonlóképpen nem tudok bejelentkezni.

a bejelentkezeshez szukseg van arra a certre, amit a regisztraciod soran a bongeszodben talalhato tanusitvanytaroloba hozzaadott a site.
tehat arrol a geprol es bongeszobol lepj be, ahol anno a regisztraciot csinaltad.
amennyiben ez nem lehetseges, es nem exportaltad ki a bongeszodbol azt a certet a regisztracio utan, akkor nem fogsz tudni belepni, regisztralj egy uj fiokot a siteon, es csinald ujra a validacios/cert generalos lepeseket.

Tyrael

Kössz szépen, ez volt a gond. A noteszom elhasalt és azon volt minden ilyen. De most csinálok mentést.

Tipp: Ezt tedd szokasodda.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Fel szeretném hozni ezt a topic-ot, mert úgy látom megújításról nem esett szó.

Ha jól látom a startssl.com oldalán, akkor ahhoz hogy ugyanahhoz az aldomain-emhez megújítsam az 1 év után lejárandó cert-emet, először vissza kell vonatni (revocation), ami viszont pénzbe kerül ($25). Ez így van vajon? Ugyanahhoz az aldomain-hez nem lehet ingyenesen évről évre megújítani?

Vagy ha igen, akkor hogy? Meg kell várni míg magától lejár - tehát 1-2 nap múlva maguktól visszavonják?

Ha nem működik az ingyenes megújítás, tudnátok ajánlani CA-t, ahol az összes desktop böngésző és összes stock mobil böngésző ismeri ezt a CA-t?

Kösz.

fogsz kapni egy emailt:

Idézet:
This mail is intended for the person who owns a digital certificate issued by the StartSSL™ Certification Authority (http://www.startssl.com/).

The Class 1, server certificate for yourdomain.com and serial number XYZ is about to expire in about two weeks. Please log into the StartSSL Control Panel at https://www.startssl.com/?app=12 and get a new certificate for this purpose.

belepsz, csinalsz ujat.

Tyrael

Kevesebb mint 30 napon belül lejár a cert-em, ezért beléptem a startssl-re a böngészőmben letárolt kulccsal, majd email auth-ot kértem, ezek után kaptam mailt egy kóddal, majd a weboldalon azonosítottam magam. Majd domain auth-ot kértem, kaptam mailt kóddal és azonosítottam magam.

Ezek után új cert-et akartam csinálni, de ugyanahhoz a subdomain-emhez nem engedi, mondván, hogy vissza kell vonnom először (revoke). Ez pénzbe kerül.

Tehát nem látom, hogy tudok ingyenesen új cert-et csinálni ugyanahhoz az subdomain-emhez, amelyhez az előzőt is csináltam. Megvanak az előző .csr és .key fájlok is, azonos .csr-t feltöltve sem engedi a cert létrehozását a régi subdomain-hez.

Tudnál ebben esetleg ötletet adni?

két hét.

Akkor két héttel előtte. Kösz.

Visszajelzésnek: így történt. 2 hét elteltével megjött a mail és most már megengedte újítani a startssl az oldalukon a cert-emet domaina auth után.

Kösz nektek.