» »

Kateri SSL certifikat

Kateri SSL certifikat

nojus ::

Zamina me kateri SSL certifikat bi mi priporočali za spletno trgovino.
Sedaj imam Geotrust Quick SSL Premium, ampak mi je hudičevo drag (renew pride 40k). So se full podražli!!!
Npr. od Godaddy.com pride 10x ceneje.

Na trgovini ni funkcije kreditnih kartic, je samo moneta. Gre za trgovino http://www.novela.si/trgovina/

Full hvala na nasvete!
sovražim Gargamela.

gregy ::

glede na naše izkušnje ... imamo 20-30 nakupov na dan, in niti eden se ni v letu in pol obregnil ob to kateri certifikat imamo ... imam pa navadnega SIGEN-CA slovenskega .. brezplačnega ... 8-)

laufamo pa in kartice in Moneto ...
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
Vstopnice.com so moja strast ...

Poldi112 ::

Ta cena je precej normalna.
Problem neznanih certifikatov je pa da ti vržejo security warning:
Website certified by unknown authority.
Če te to ne moti, potem ok.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

nojus ::

kakšen je pa postopek za pridobitev certifikata SIGEN-CA?

Samo izpolnim pole in to je to. Aja, pa nikjer na strani nisem zasledil da je free. A je ziher?
sovražim Gargamela.

kekz ::

Certifikat je zaupanja vreden toliko, kolikor je zaupanja vreden izdajatelj. Če imaš samo slovensko klientelo, je v resnici sigen-ca več vreden kot verisign.

Škoda je le, da sigen-ca ne poskrbi, da bi bil krovni certifikat vgrajen v brskalnike.

To je podobno kot, čigavi osebni izkaznici boš bolj zaupal, slovenski ali ameriški? Slovensko bolj poznamo, vemo kako jo dobiš, kako deluje administracija, ki jih izdaja, za ameriško večina od nas ne ve nič. Torej?

Poldi112 ::

Mogoče za advanced uporabnike, za 98% kupcev je pa verisign isto kot sigen-ca. Razlika je da jih pri sigen-ca browser opozarja, da nekaj smrdi, pri verisign pa ne.
Pa tudi pri advanced uporabnikih, a je tu kdo ki sigen bolj zaupa kot verisign-u in če ja, zakaj?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

kekz ::

Jaz mu bolj zaupam!
Za sigen-ca jamči država Slovenija. Za slovenske CA velja zelo strog zakon, sem ga tudi študiral in je res kar paranoično strog. Brez spoštovanja zakonodaje pa ne moreš biti javni izdajatelj certifikatov.
Za Verisign jamči samo neka (sicer svetovno eminetna firma) o katere podrobnostih ne vem prav dosti. Sploh glede na tole novo ameriško politiko velikega brata ...

Kar se tiče osebnih certifikatov, glede zaupanja sploh ni dileme. Da prisobiš sigen, je obupno stroga procedura. Za thawte je zelo enostavno (verisign še nisem poizkušal).

Moj posel so računalniške komunikacije, vključno z varnostjo.

OwcA ::

Verisign srednje komplicira:
To continue processing your certificate for the common name ______, VeriSign must
receive validation of your business identity using one of the choices below.

NOTE: If you already submitted a DUNS number and have received this e-mail, we
were unable to apply it to your order. The most common reasons are the organization
in the order does not match the DUNS number, the report is in a revision status, or
the report may not reference officially filed state/government proof of right
documents. Please provide an alternate form of Proof of Right document. Examples
are listed below.

Acceptable Proof of Right
- DUNS report that meets VeriSign's requirements
- Articles of Incorporation
- Business License
- Certificate of Formation
- Doing Business As
- Registration of Trade Name
- Charter Documents
- Partnership Papers

Karkoli jim že pošlješ mora biti prevedeno v angleščino.

Če slučajno nisi lastnik domene za katero kupuješ cetrifikat, te čaka še nekaj papirologije:
We have received your order for a digital certificate. In order for us to authenticate your domain we have to confirm that your organization has the legal right to use that domain, however, the domain name submitted with your order is registered to a different organization than listed on your enrollment.

For your convenience, we have attached a pre-edited domain authorization letter. Please copy the contents below the dotted line, follow the directions and fax it to (650) 961-8870. Please also include your order number and common name on the fax cover sheet.
Otroška radovednost - gonilo napredka.

kekz ::

Sicer je tako. Ta certifikat samo potrjuje tvojo identiteto.

Pač sigen ali verisign ali kdo drug zagotavlja, da si to res ti oz. da je tvoja trgovina res to, za kar se predstavlja. S tem da verisign po mojem mnenju potrjuje samo ime. Pač dokazati jim moraš, da se dejansko tako imenuješ in si lastnik domene kot se predstavljaš.

Sigen-ca zahteva tudi podatke o registraciji podjetja in tako posredno potrjuje tudi tvojo dejavnost in ne samo imena.

Brez potrditve bi lahko vsak na spletu v svoji trgovini trdil, da je npr. Mercator in izvabljal št. kreditnih kartic lahkovernežem ob (lažnem) nakupu.

Sama varnost podatkov od izdajatelja ni odvisna. Zasebni ključ, ki skrbi za varnost podatkov nikoli ne zapusti računalnika v katerem je zgeneriran (če ga sam ne prenašaš). Tega nikoli ne vidi niti sigen-ca niti verisign. To pomeni, da šifriranih podatkov, ki prihajajo na tvojo spletno stran niti verisign niti sigen-ca, torej nihče razen tebe (imetnika zasebnega ključa) ne more odšifrirati.

Certifikat je v bistvu s strani CA-ja z njihovim zasebnim ključem podpisan tvoj JAVNI ključ.

kekz ::

Aja, pa to že kar nekaj časa ni več SSL. Po novem (že več kot 5 let) je to TLS.
SSL (secure socket layer) se je imenovalo do verzije 3.0, od verzije 3.1 je TLS (transport layer security).
SSL 3.1 = TLS 1.0
Gre v bistvu za omrežni protokol (med transportnim in sejnim slojem), ki ga je razvil Netscape.

Zvedavec ::

Ni dovolj, da je samo prevedeno v angleščino. Mora prevesti sodno zapriseženi prevajalec in mora biti sodno overjeno. Ker pa je sodna overovitev v slovenščini, je treba prevesti še to, vse skupaj pa še enkrat overiti na Ministrstvu za zunanje zadeve (zadeva se ureja po Haaški konvenciji o odpravi potrebe overitve tujih javnih listin (drugače bi bil postopek še bolj zapleten), dobiti je treba potrditev, imenovano Apostille) in na koncu overiš še na veleposlaništvu ZDA. Tako približno po spominu, na MZZ ali pa na veleposlaništvu točno razložijo postopek.
Kar nekaj dela in stroškov, ampak na srečo to potrebuješ le prvič, za podaljševanje pa ne.

kekz ::

Pomeni, da kar dobro poskrbijo za dejansko preverjanje identitete. Vem da pri Thawte ni bilo tako komplicirano. Torej oni vedo dosti o moji organizaciji (za katero želim certifikat). Manjka obratno. Jaz ne vem dosti o njih. Kako hranijo svoje podatke (ključe), kdo ima dostop, itd. Tudi če dobro skrbijo za te zadeve, pa če je mogoče dobiti dostop le z odločbo (ameriškega) sodišča, že ni najbolje, da o raznih njihovih tričrkovnih organizacijah ne govorim.

Odtujitev njihovih podatkov v končni fazi namreč pomeni, da lahko privzamejo tvojo identiteto. Lahko berejo podatke, ki so bili namenjeni samo tebi, lahko ponaredijo dokumente kot bi bili tvoji, itd.

Zgodovina sprememb…

  • spremenilo: kekz ()

kekz ::

Če delaš s samo znanimi kupci (partnerji), ki ti zaupajo, je pa certifikat, ki ga narediš čisto sam povsem dovolj dober. :D

Identiteta sicer ni potrjena s strani CA-ja, šifriranje je pa še vedno prvoklasno v redu. Identiteto je mogoče potrditi direktno med partnerjema (npr. po telefonu ali z osebnim stikom). Potrebno le prvič, potem uvrstiš certifikat med zaupanja vredne.

Tako so do nedavnega delale pri nas celo banke :D (so izdajale svoje certifikate in ti ga osebno predale)

Zgodovina sprememb…

  • spremenilo: kekz ()

Poldi112 ::

>Odtujitev njihovih podatkov v končni fazi namreč pomeni, da lahko privzamejo tvojo identiteto. Lahko berejo podatke, ki so bili namenjeni samo tebi, lahko ponaredijo dokumente kot bi bili tvoji, itd.

Kako že lahko prevzamejo tvojo identiteto? Web certifikat imaš navadno samo za kodiranje povezave med teboj in stranko. In ta certifikat je ok samo dokler si na svoji strani (na drugi ti browser že jamra, ker se ime ne ujema).
Pa tudi če ne, dokumente še vedno podpisuješ s privatnim ključem, ki ga CA nima.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

kekz ::

Če nekdo pridobi ključ CA-ja, lahko naredi svoj par ključev na tvoje ime.

Npr. ker je domena mercator.si že zasedena, si pridobi eno podobno (mercator.com, merkator.si, ...).
Podpiše ključe (s CA ključem) in je potrjeno ti (oz. v danem primeru mercator).

Isto s podpisovanjem. Naredi si svoj par ključev, potrdi s CA-jevim ključem (naredi certifikat) in to uradno gledano postanejo tvoji ključi. Podpis s takim zasebnim ključem (ki ga sicer ti nimaš) bo potrjeno šel skozi preverjanje, da si podpisal ti.

Enako s šifriranjem. Uporabnikom spet da lažni certifikat (saj je pristno potrjen od (ukradenega) CA. S svojim lažnim zasebnim ključem odšifrira taka sporočila.

Z odtujitvijo CA-jev zasebnega ključa pade vsa varnost vseh certifikatov, ki so jih izdali, saj ne moreš vedeti, kateri so pravi in kateri lažni.

64202 ::

To je sicer že verjetno offtopic... ampak današnje privzeto stanje v brskalnikih je to, da ljudje prepustijo proizvajalcu brskalnika, da se namesto njih odloči, komu bodo zaupali :)
I am NaN, I am a free man!

Poldi112 ::

Ok, samo zdaj mi povej v čem si bolj varen če pri sigen vzameš certifikat. Če nekdo verisign-u ukrade ca isto lahko naredi tvoj certifikat in se izdaja z njim.
Pa se je to že kdaj zgodilo? V tem primeru bi verjento update-ali root certifikate v browserjih in bi bil problem resen.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

kekz ::

Žal res. Zato potem uporabniki sploh ne vedo, da gre pri certifikatih za načelo zaupanja (izdajateljem).
Dilema pri poznavalcih pa je, ali res zaupati "vgrajenim" in ali res zaupati samo "vgrajenim".

kekz ::

Saj nisem govoril, da ga ukrade verisignu. Namigoval sem, da lahko NSA (CIA,...) pride do njihovega certifikata, da lahko načrtno ponarejajo identitete nekoga (zaradi dobrih razlogov).
Recimo, da verjamem, da ga od sigen-ca ne morejo dobiti. Recimo, da verjamem, da ga SOVA tudi ne bo, ker nimajo kaj početi z njim. :D

Poldi112 ::

Jaz se ne obremenjujem s tem. Če mi browser javi da je cert sumljiv sem pač malo bolj previden. Primarna vrednost je da zagotovi varen prenos mojih podatkov. Za identifikacijo se na ne sekiram (razen pri svojih, za ssh).
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

kekz ::

Recimo en scenraij (za vohunski film).
NSA pride do root certifikata. Postavijo proxy. Uporabniki vzpostavljajo šifrirane seje s svojimi bankami, ta promet npr NSA prestreže (lahko naposredno, lahko z fejkanjem DNS-jev, na nižjem sloju protokolov (pod IP), pač vključite domišljijo :D ).

Vi dejansko vzpostavljate SSL(TLS) sejo s proxyem. Certifikat je v redu, saj je potrjen s strani priznanega CA (kar naredi NSA). Oni to pri sebi analizirajo, hkrati pa še vzpostavijo sejo naprej do taprave banke in simulirajo sejo kot bi dejansko bila med uporabnikom in banko brez posrednika.

Zakaj bi to delali? Npr. zbirajo "sumljive" bančne transakcije (al kaida itd...)
Dejansko kljub certifikatu (če lažno zaupaš izdajatelju) ne moreš vedeti, če te ne opazuje veliki brat.


To pomeni, da je dejansko še najbolj zaupanja vreden certifikat, ki mu ročno osebno preveriš identiteto, pa čeprav si ga lahko tudi sam naredil (če neposredno preveriš identiteto, so vsi enako varni). Fora CA-jev je ravno v tem, da ni treba ročno preverjati, ker zaupaš izdajatelju.

Še bombonček.
Kot slovenski državljan si po zakonu dolžan zaupati sigen-ca. To je tako kot bi ti nekdo pokazal osebno izkaznico, ki jo je izdala država Slovenija. Nimaš pravice reči, ne zaupam osebni izkaznici, ker ne zaupam izdajatelju (Sloveniji) (ker bi npr. to talala kar vsem povprek brez preverjanja).

Poldi112 ::

Moja banka uporablja svoj CA za podpis client certifikatov. Kako je z drugimi ne vem, ampak malo dvomim da plačujejo neki instituciji. Tako da tu se NSA lahko obriše pod nosom.
Večji problem je koliko je banka varna (pokončna), če jim pridejo strici in rečejo da hočejo videti tvoje podatke. Bi rekel da jim je to veliko lažje kot zajebavanje s krajo ključev.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

kekz ::

Osebnega za tvojo avtentikacijo menda res. Kaj pa spletnega za njihovo avtentikacijo?
SKB uporablja thawte, A banka uporablja verisign, ...

Poldi112 ::

Seveda. Ampak dokler samo bereš njihove strani podatkov o tvojih računih nihče ne more gledati, ane.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO		20181239 (55434) MrStein
»

Prijava z certifikatorm sigen-ca, custom

Oddelek: Izdelava spletišč		196164 (5800) jkreuztzfeld
»

uvažanje certifikatov na nov računalnik

Oddelek: Pomoč in nasveti		97778 (6443) -žiga-
»

Arnes nudi digitalna strežniška potrdila

Oddelek: Novice / Omrežja / internet		104325 (3548) poweroff
»

SSL, kaj je kako deluje skratka čimveč o tem

Oddelek: Programiranje		82065 (1846) 1234qwer

Več podobnih tem