использование своего сертификата (ssl)

[zoofield]

В общем пишу сюда, т.к. не знаю куда правильно.

На сайте небоходимо работать по ssl. Техническая часть несложная - настроил апач, сгенерил свои сертификаты. https://... - работает. Но вот сертификат подписан мной же на моем сервере, а не в центре сертификации - поэтому любой браузер ругается на это.

Много сайтов предлагают свои сертификаты. Платно. И поэтому вопрос первый - если покупать сертификат - на какой сайт лучше (из личного опыта или ещё почему-нить) обратиться.

Можно ли зарегистрировать свой сертификат в центре, какие подводные камни?
Инфы чё-то не нашел по такому вопросу.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Не совсем правильно наверно формулировка - сайты продают не свои сертификаты, а подписывают своим ключем сертификаты плиентов... По деньгам они наверно все в одном диапазоне.

---

Продавцы воздуха, мать их...

[zoofield]

Это и бесит, что приходится платить за то, что и так хорошо работает...

[snorlov]

Это и бесит, что приходится платить за то, что и так хорошо работает...

Зачем платить, у тебя свой центр сертификации в любом случае есть, публичный сертификат для своего CA - то генерил, следовательно ты с сертификатом клиента должен дать сертификат твоего СA, браузер ругается потому, что сертификат твоего сайта он не может проверить, ну нет у него сертификата твоего СА, по которому сертификат сайта можно проверяется...

[zoofield]

А как это технически реализовать? Сайт открыт для всех, а не для избранных клиентов.

[---nebo---]

Дело в том, что использоваие сертификата, выданного публичным (за бабки) центром сертификации, позволяет клиентам удостовериться в том, что они подключены именно к тому сайту, к которому они хотят подключиться. Ответственность за это несет цент сертификации, который выдал сертификат.

Ну, например, хочеш ты зайти на paypal.com и залить кудата капусту, набираеш в браузере адрес сайта и нажимаеш ентер, а у тебя с сетке висит плохой дядя и занимается DNS spoofing'ом(подменяет резолв адрес-айпи) и выдает тебе точно такой же сайт по дизайну или еще чета. Ты вводиш свой логин и пароль и у него уже есть твои логин и пароль. Короче конектился в одно место, а попал в совсем другое. А так, када ты конектишся и видиш, что по ссл не работают или сертификат выдан фиг знает кем, ты начинаш сомневаться куда ты будеш вводить свой логин и пароль.

Центр сертификации гарантирует что те кто общаются между собой, действительно те за кого себя выдают.

Работать оно будет и так и так.

[snorlov]

А как это технически реализовать? Сайт открыт для всех, а не для избранных клиентов.

Если я правильно понимаю, ssl - сессия нужна для передачи конфиденциальных данных, и кроме того, что человек попал туда куда хотел, а на не подставу, имитирующую тебя, кроме того, сертификат твоего CA, публичный, по нему идет проверка сертификата твоего сайта... Может имеет смыл обьяснить клиентам и офрмить страничку, что делать...

[terminus]

Дело в том, что использоваие сертификата, выданного публичным (за бабки) центром сертификации, позволяет клиентам удостовериться в том, что они подключены именно к тому сайту, к которому они хотят подключиться. Ответственность за это несет цент сертификации, который выдал сертификат.
....
Работать оно будет и так и так.

Есть еще один момент из-за которого броузеры не хотят хавать неподписанные сертификаты - такие сертификаты можно перехватить по схеме man-in-the-middle и подменит на свой же неподписаный. Несекюрно. Поэтому-то для обеспечения настоящей секюрности необхидимо иметь у себя подписаный за 1000$ сертификат. Такие дела.

[zoofield]

Теория в целом мне понятна.
Всё-таки вопрос первый опять - где лучше приобрести оные?

[---nebo---]

Вообще ругается браузер, потому что в эго списке доверенных центров нету твоего. В опере, например, Инструменты-Настройки-Безопасность-Управоение сертификатами. Там можно посмотреть такой список + импортировать доверенные центры сертификации в формате стандарта X.509 .ca.
Знаю точно что такую бяку можно сделать на Win2003/2008, проверял. На фряхе и линухе не пробовал.
Можно попробовать создать эго там(Win2003). Импортировать информацию о центре и сам сертификат(по сути приватный и публичный ключ). Информацию о центре в формате .ca засунуть в браузеры, а ключами подписать апач.

[ViktorichZ]

http://firstvds.ru/ru/products/ssl/index.html
самый простой, 800р в год, думаю вам будет достаточно

[Sadok123]

freessl.ru

там можно и на тест взять бесплатно, потом продлить. проверял тестовые - все ОК.