использование своего сертификата (ssl)

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
zoofield
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-09-05 10:51:33
Откуда: 2:5071
Контактная информация:

использование своего сертификата (ssl)

Непрочитанное сообщение zoofield » 2009-05-05 16:25:12

В общем пишу сюда, т.к. не знаю куда правильно.

На сайте небоходимо работать по ssl. Техническая часть несложная - настроил апач, сгенерил свои сертификаты. https://... - работает. Но вот сертификат подписан мной же на моем сервере, а не в центре сертификации - поэтому любой браузер ругается на это.

Много сайтов предлагают свои сертификаты. Платно. И поэтому вопрос первый - если покупать сертификат - на какой сайт лучше (из личного опыта или ещё почему-нить) обратиться.

Можно ли зарегистрировать свой сертификат в центре, какие подводные камни?
Инфы чё-то не нашел по такому вопросу.
* Origin: ()

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: использование своего сертификата (ssl)

Непрочитанное сообщение terminus » 2009-05-05 16:40:45

Не совсем правильно наверно формулировка - сайты продают не свои сертификаты, а подписывают своим ключем сертификаты плиентов... По деньгам они наверно все в одном диапазоне.

---

Продавцы воздуха, мать их...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
zoofield
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-09-05 10:51:33
Откуда: 2:5071
Контактная информация:

Re: использование своего сертификата (ssl)

Непрочитанное сообщение zoofield » 2009-05-05 16:48:35

Это и бесит, что приходится платить за то, что и так хорошо работает...
* Origin: ()

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: использование своего сертификата (ssl)

Непрочитанное сообщение snorlov » 2009-05-05 17:16:32

zoofield писал(а):Это и бесит, что приходится платить за то, что и так хорошо работает...
Зачем платить, у тебя свой центр сертификации в любом случае есть, публичный сертификат для своего CA - то генерил, следовательно ты с сертификатом клиента должен дать сертификат твоего СA, браузер ругается потому, что сертификат твоего сайта он не может проверить, ну нет у него сертификата твоего СА, по которому сертификат сайта можно проверяется...

Аватара пользователя
zoofield
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-09-05 10:51:33
Откуда: 2:5071
Контактная информация:

Re: использование своего сертификата (ssl)

Непрочитанное сообщение zoofield » 2009-05-05 17:35:45

А как это технически реализовать? Сайт открыт для всех, а не для избранных клиентов.
* Origin: ()

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: использование своего сертификата (ssl)

Непрочитанное сообщение ---nebo--- » 2009-05-05 17:53:47

Дело в том, что использоваие сертификата, выданного публичным (за бабки) центром сертификации, позволяет клиентам удостовериться в том, что они подключены именно к тому сайту, к которому они хотят подключиться. Ответственность за это несет цент сертификации, который выдал сертификат.

Ну, например, хочеш ты зайти на paypal.com и залить кудата капусту, набираеш в браузере адрес сайта и нажимаеш ентер, а у тебя с сетке висит плохой дядя и занимается DNS spoofing'ом(подменяет резолв адрес-айпи) и выдает тебе точно такой же сайт по дизайну или еще чета. Ты вводиш свой логин и пароль и у него уже есть твои логин и пароль. Короче конектился в одно место, а попал в совсем другое. :smile: А так, када ты конектишся и видиш, что по ссл не работают или сертификат выдан фиг знает кем, ты начинаш сомневаться куда ты будеш вводить свой логин и пароль.

Центр сертификации гарантирует что те кто общаются между собой, действительно те за кого себя выдают.

Работать оно будет и так и так.
...участки под застройку в живописном месте Интернет

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: использование своего сертификата (ssl)

Непрочитанное сообщение snorlov » 2009-05-05 17:59:52

zoofield писал(а):А как это технически реализовать? Сайт открыт для всех, а не для избранных клиентов.
Если я правильно понимаю, ssl - сессия нужна для передачи конфиденциальных данных, и кроме того, что человек попал туда куда хотел, а на не подставу, имитирующую тебя, кроме того, сертификат твоего CA, публичный, по нему идет проверка сертификата твоего сайта... Может имеет смыл обьяснить клиентам и офрмить страничку, что делать...

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: использование своего сертификата (ssl)

Непрочитанное сообщение terminus » 2009-05-05 18:08:09

---nebo--- писал(а):Дело в том, что использоваие сертификата, выданного публичным (за бабки) центром сертификации, позволяет клиентам удостовериться в том, что они подключены именно к тому сайту, к которому они хотят подключиться. Ответственность за это несет цент сертификации, который выдал сертификат.
....
Работать оно будет и так и так.
Есть еще один момент из-за которого броузеры не хотят хавать неподписанные сертификаты - такие сертификаты можно перехватить по схеме man-in-the-middle и подменит на свой же неподписаный. Несекюрно. Поэтому-то для обеспечения настоящей секюрности необхидимо иметь у себя подписаный за 1000$ сертификат. Такие дела. :(
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
zoofield
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-09-05 10:51:33
Откуда: 2:5071
Контактная информация:

Re: использование своего сертификата (ssl)

Непрочитанное сообщение zoofield » 2009-05-05 18:16:19

Теория в целом мне понятна.
Всё-таки вопрос первый опять - где лучше приобрести оные?
* Origin: ()

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: использование своего сертификата (ssl)

Непрочитанное сообщение ---nebo--- » 2009-05-05 18:27:22

Вообще ругается браузер, потому что в эго списке доверенных центров нету твоего. В опере, например, Инструменты-Настройки-Безопасность-Управоение сертификатами. Там можно посмотреть такой список + импортировать доверенные центры сертификации в формате стандарта X.509 .ca.
Знаю точно что такую бяку можно сделать на Win2003/2008, проверял. На фряхе и линухе не пробовал.
Можно попробовать создать эго там(Win2003). Импортировать информацию о центре и сам сертификат(по сути приватный и публичный ключ). Информацию о центре в формате .ca засунуть в браузеры, а ключами подписать апач.
...участки под застройку в живописном месте Интернет

ViktorichZ
сержант
Сообщения: 152
Зарегистрирован: 2008-10-30 12:15:26

Re: использование своего сертификата (ssl)

Непрочитанное сообщение ViktorichZ » 2009-05-05 21:14:37

http://firstvds.ru/ru/products/ssl/index.html
самый простой, 800р в год, думаю вам будет достаточно

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: использование своего сертификата (ssl)

Непрочитанное сообщение Sadok123 » 2009-05-06 8:50:32

freessl.ru

там можно и на тест взять бесплатно, потом продлить. проверял тестовые - все ОК.