| 1.1, Timka (??), 23:52, 30/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
туда им и дорога, ssl сертификаты не для того были придуманы, чтобы на них можно было забить на годы.
| | |
| |
| 2.9, dry (?), 12:23, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 +стопятьсот
я понимаю, еще ситуацию с самоподписанными сертификатами, не всякой конторе целесообразно
выкидывать бабло на покупку сертификата у доверенного центра, но в этом случае юзер может
установить корневой сертификат в хранилище руками единожды, если это ему действительно надо.
но ситуация с просроченными сертификатами и прочими говносертами у которых хост в CN не совпадает - однозначно сливать, без вопросов.
| | |
| |
| 3.20, User294 (ok), 09:44, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> я понимаю, еще ситуацию с самоподписанными сертификатами
На этой планете полно кретинов с самоподписанными и при том просроченными сертификатами - это вообще жесть.Сайт на который все забили называется.Например, у региональных сайтов МТСников такое замечено...
| | |
| |
| 4.27, Littleendian (?), 17:11, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >> я понимаю, еще ситуацию с самоподписанными сертификатами
>
>На этой планете полно кретинов с самоподписанными и при том просроченными сертификатами
>- это вообще жесть.Сайт на который все забили называется.Например, у региональных
>сайтов МТСников такое замечено...
У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТС на сайте
замечательно расписано о том, что необходим HTTPS, порт 443 и т. п., но при этом
они совершенно спокойно отправляют пользователей на ничем не защищенный обычный
http://217.74.241.102/selfcare/. Видимо, кто-то у них там на входе коллекционирует
номера телефонов и пароли. ;)
| | |
| |
| 5.29, User294 (??), 20:25, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТС
Ну вот у половины их региональных сайтов выгибон - отсылка смсок через HTTPS.Дык если уж охота вы***уться SSLом и я даже понимаю что платить верисайнам и тафтам всяким жаба давит а еще куча CA (вклчюая и бесплатные) кажутся не спортивными - может тогда хотя-бы ставить на валидность сертификата разумные сроки или уж обновлять его по их истечении?А то браузеры от протухшего сертификата верещат благим матом еще с времен FF2.
| | |
|
|
|
|
| 1.6, Ruslan (??), 11:53, 31/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Ну не только FF3 так себя ведёт, IE7 тоже очень похоже на стандартную ошибку выдаёт экран и ничего. Чем больше проблем - тем быстрее их исправят!
У нас на сервере, после выхода 7 версии IE, для внутреннего портала быстро осознали необходимость покупки сертификата (вместо самоподписанного), а то денег нет, то ещё чего - все правильно.
| | |
| |
| 2.7, Nick (??), 11:59, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>быстро осознали необходимость покупки сертификата (вместо самоподписанного), а то денег нет,
>то ещё чего - все правильно.
покупать для _внутреннего_? :)
а унитазы у вас не алмазные случаем?
| | |
| |
| 3.8, Ruslan (??), 12:18, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
не совсем точно выразился, некоторые контрагенты тоже с ним работают, так что пардон ;)
| | |
| 3.10, zxc (??), 13:31, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>> быстро осознали необходимость покупки сертификата (вместо самоподписанного),
>> а то денег нет, то ещё чего - все правильно.
> покупать для _внутреннего_?
29.99 USD / year - разве это много?
| | |
| |
| 4.11, Nick (??), 13:33, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>29.99 USD / year - разве это много?
килограмм - это тяжело?
| | |
| 4.13, universite (ok), 18:25, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>> У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>>> быстро осознали необходимость покупки сертификата (вместо самоподписанного),
>>> а то денег нет, то ещё чего - все правильно.
>> покупать для _внутреннего_?
>
>29.99 USD / year - разве это много?
Для внутренних целей есть самоподписанные сертификаты.
Речь идет о монопольном положении некоторых центров сертификации.
| | |
| |
| 5.19, Ivanych (?), 09:28, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Речь идет о МОНОПОЛЬНОМ положении НЕКОТОРЫХ центров сертификации.
Долго пытался уловить глубокий сакральный смысл этой конструкции...
| | |
| 5.21, User294 (ok), 10:05, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Речь идет о монопольном положении некоторых центров сертификации.
Это как?У того же фаерфокса в trusted CA вагон и маленькая тележка разных CA по дефолту.Это теперь монополией называется?Кхм...
| | |
|
|
| 3.14, аноним (?), 19:41, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> покупать для _внутреннего_? :)
Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно бесплатно взять там сертификат, firefox в течении года и слова не пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить через кричащие им о криворукости админа предупреждения, чем потратить время на заполнение формы и сделать своей компании нормальный сертификат..
Проблема самоподписанного сертификата в том, что он не гарантирует НИ-ЧЕ-ГО. Там может стоять вообще отсутствие шифрования или какой-нибудь 48-битный шифр. А пользователь будет думать, мол https - значит секьюрно. Сертификация от компании тем и отличается, что они заведомо не выдают бредовых сертификатов, и есть некоторая минимальная гарантия, что хоть шифроваться будет нормально.
| | |
| |
| 4.15, Nick (??), 19:46, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Сертификация от компании тем и
>отличается, что они заведомо не выдают бредовых сертификатов, и есть некоторая
>минимальная гарантия, что хоть шифроваться будет нормально.
весь массовый софт (свободный и нет),
который пользуют юзера у себя на рабочих станциях, идет с гарантиями "AS IS",
т.е. без оных.
А вы тут вещаете о гарантиях на другом конце сети :)
Все эти сертификаты - простое надувание щек большими конторами, дабы рубить все
то же, что и остальные.
| | |
| |
| 5.17, Konwin (??), 21:00, 31/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Сертификат - это механизм, подразумевающий механизм обратной проверки, вплоть до корневого удостоверяющего центра, вот что подразумевает сертификат от центров, входящих в список корневых доверенных центров сертификации. Надувание щёк тут не причём, не занимайтесь ребячеством, это чисто технический вопрос.
| | |
| 5.30, User294 (??), 23:04, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>идет с гарантиями "AS IS",
А долбоклювы которые дату сертификата выбирают по методу от балды и по наступлении часа Х не обновляют их - по какой гарантии? :)
| | |
|
| 4.23, rlynx (??), 13:41, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >> покупать для _внутреннего_? :)
>
>Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно
>бесплатно взять там сертификат, firefox в течении года и слова не
>пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но
>нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить
>через кричащие им о криворукости админа предупреждения, чем потратить время на
>заполнение формы и сделать своей компании нормальный сертификат..
Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?
| | |
| |
| 5.24, mr_gfd (?), 14:52, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
>>Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно
>>бесплатно взять там сертификат, firefox в течении года и слова не
>>пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но
>>нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить
>>через кричащие им о криворукости админа предупреждения, чем потратить время на
>>заполнение формы и сделать своей компании нормальный сертификат..
>
>Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что
>бы можно было потом им раздавать клиентские сертификаты, а так же
>создавать сертификаты для веб-серверов?
А чем не устраивает виндовый CA? Или Вам в интранет ходить не мелкомягкими продуктами нужно?
| | |
| 5.25, Аноним (25), 15:29, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?
Не знаю, то ли это, но почитайте http://www.startssl.com/?app=22
| | |
| |
| 6.26, rlynx (??), 15:52, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?
>
>Не знаю, то ли это, но почитайте http://www.startssl.com/?app=22
Не совсем то... Нужен как раз корневой сертификат... Что бы потом самому на его основе генерить сертификаты для веб-серверов и для клиентов что бы их туда пускало.
P.S.: у нас апач... Но и там для апач не то.
| | |
| |
| 7.28, Аноним (25), 17:18, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Корневой сертификат принадлежит им, как вы хотите его у них взять? И что потом - выдавать непонятно что непонятно кому и вам должны верить, что это типа по прежнему starcom? ;)
Создайте свой корневой сертификат и используйте его. Внесите его как доверенный во все ваши браузеры, после этого всем выдаваемым им сертификатам автоматически будет доверие.
| | |
| |
| |
| 9.33, rlynx (??), 16:17, 03/09/2008 [^] [^^] [^^^] [ответить] | +/– | Да-да Именно это я и хотел сказать, только умных слов сложить не мог вместе ... текст свёрнут, показать | | |
| 9.34, dry (?), 12:58, 07/09/2008 [^] [^^] [^^^] [ответить] | +/– | Может заодно скажете где и за почем выписывают сертификаты с KU keyCertSign 1... текст свёрнут, показать | | |
|
|
|
|
| 5.31, User294 (??), 23:33, 01/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена?
При чем тут контроллер домена?Подписыванием сертификатов занимается CA (Certification Authority).Ее корневой сертификат вы можете и сами сгенерить но если его публичная часть не установлена у юзеров в браузере - браузеры будут вопить что сертификаты подписало какое-то autority которое они за доверяемое не считают.По дефолту у браузеров установлены сертификаты (ессно только публичная часть ключа) кучи CA которым браузер доверяет.Эти CA могут своим сертификатом подписать чей-то еще, удостоверив что вон тот человек - не какая-то левая редиска а и правда Вася Пупкин, Инк.
| | |
|
|
|
|
| 1.18, Аноним (18), 08:54, 01/09/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Firefox 3 мешает работе сайтов с просроченными SSL сертификатами
Firefox заботится о настоящей безопасности, а вся статья - бред сивой кобылы. Если фирму не колышит продление сертификатов безопасности, нафиг она вообще в сети присутсвует?
| | |
| 1.35, Аноним (18), 21:09, 23/12/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хваленный startssl.com неизвестен браузеру IE7 и Opera, его признает только Firefox!
| | |
|
