» »

Sigen-ca za strežnik

Sigen-ca za strežnik

SaXsIm ::

Pozdravljeni,

trenutno za en NGO postavljam strežnik za cloud (owncloud), pa me zanima, če ima kdo izkušnje s pridobitvijo strežniškega potrdila za organizacije pri sigenci. Ali se lahko strežniško potrdilo potem uporablja za več spletnih strani (gostujejo na istem strežniku), ali se ga lahko uporablja za več poddomen iste domene, tudi če ne gostujejo na istem strežniku? Prav tako nisem nikjer zasledil, kolikšna je cena izdaje certifikata? Če prav razumem, morem zahtevek podati na FURSu?

Prav tako dobrodošla mnenja, lahko pa me tudi usmerite na kakšno gradivo, ker sem precej laik na tem področju (kar je najbrž razvidno iz vprašanj).

Hvala za pomoč!
SaXsIm

stb ::

Kak poseben razlog, da moraš biti ravno pri sigen-ca?
Če so finance, imaš kar nekaj zastonj alternativ: https://letsencrypt.org/ https://www.startssl.com/
Morebitna avtentikacija uporabnikov (osebni sigen-ca certifikati) ni razlog, da uporabljaš strežniško potrdilo istega izdajatelja. Lahko uporabljaš kateregakoli in zahtevaš sigen-ca client certifikate uporabnikov.

SaXsIm ::

Tako je, predvsem iz finančnih razlogov, pa malce tudi zaradi zaupanja uporabnikov. Uporabljalo se bo predvsem za enkripcijo https povezav, tako da uporabniki ne bodo potrebovali svojih certifikatov. Hvala za povezavi, bom pregledal.

Kako pa je z ostalimi vprašanji, ki jih imam?
SaXsIm

stb ::

Postopek pridobitve sigen-ca potrdila za pravne osebe imaš opisan na
http://www.sigen-ca.si/prijavne-slu-pra...

wini ::

Jst za owncloud uporabljam startssl že več let pa ni nobenih težav.

Ribič ::

Ali imajo današnji browserji sploh inštalirano korensko potrdilo za sigen-ca? Pred leti sem imel težave pri ponudniku poštar-ca, ko sem pri dostopu spletne banke v firefox-u moral uvoziti tri certifikate - bančni, postar-ca root in še halcom-ca root, ki je bilo potrebno za varno povezavo na spletno stran poštarce, kjer si nato lahko prevzel korensko potrdilo... skratka kaos. Z drugimi browser-ji pa nevem kako je.


Kot zanimivost bi pa omenil še tole: https://letsencrypt.org/

jukoz ::

Ribič je izjavil:

Ali imajo današnji browserji sploh inštalirano korensko potrdilo za sigen-ca? Pred leti sem imel težave pri ponudniku poštar-ca, ko sem pri dostopu spletne banke v firefox-u moral uvoziti tri certifikate - bančni, postar-ca root in še halcom-ca root, ki je bilo potrebno za varno povezavo na spletno stran poštarce, kjer si nato lahko prevzel korensko potrdilo... skratka kaos. Z drugimi browser-ji pa nevem kako je.


Kot zanimivost bi pa omenil še tole: https://letsencrypt.org/


A ne bi bilo fino če browserji ne bi imeli vseh božjih certifikatov že po defaultu inštaliranih. Ste kdaj pogledali komu vse po defaultu slepo zaupamo? Od vseh bank tega sveta do gospodarskih zbornic in kot kaže Baltimoru. Zakaj že? Mam pa že rajši da si sam izberem komu bom zaupal kot da slepo verjamem izboru trenutnega browserja.

Poldi112 ::

Ne. Saj ne, da je trenutna situacija dobra, ampak menda ti je lažje pobrisati truststore, kot bi bilo praktično vsem ostalim ročno dodajati ca-je.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

videc ::

Ribič je izjavil:

Ali imajo današnji browserji sploh inštalirano korensko potrdilo za sigen-ca? Pred leti sem imel težave pri ponudniku poštar-ca, ko sem pri dostopu spletne banke v firefox-u moral uvoziti tri certifikate - bančni, postar-ca root in še halcom-ca root, ki je bilo potrebno za varno povezavo na spletno stran poštarce, kjer si nato lahko prevzel korensko potrdilo... skratka kaos. Z drugimi browser-ji pa nevem kako je.

Kot zanimivost bi pa omenil še tole: https://letsencrypt.org/
Današnji vodilni brskalniki nimajo privzeto nameščenih korenskih SIGEN-CA certifikatov, ker se ljudem na SIGEN-CA oz. SIGOV-CA ne da opraviti postopka, s katerim bi korenske certifikate vključili v brskalnike.
Postopek je znan, tako za IE, Firefox, Chrome, ... samo nekdo mora začeti postopek in ga speljati do konca.
Ko sem pred kakšnim letom na SIGEN-CA-i spraševal (telefonsko), ali mislijo to narediti sem dobil odgovor, ki ni vreden besede "odgovor", na pisno povpraševanje pa sploh nisem dobil odgovora.
Toliko o tem.
Še povezave, kakšen je postopek odobritve/uvrstitve v Firefox in IE.

pegasus ::

jukoz je izjavil:

A ne bi bilo fino če browserji ne bi imeli vseh božjih certifikatov že po defaultu inštaliranih.
Potem danes ne bi imeli niti tega kar imamo sedaj, NSA & friends pa bi imeli lahko veliko manjši proračun za rsa cracking hardver ... verjamem da bi to pozitivno vplivalo na proračune večih držav ;)

jukoz ::

Poldi112> Ne. Saj ne, da je trenutna situacija dobra, ampak menda ti je lažje pobrisati truststore, kot bi bilo praktično vsem ostalim ročno dodajati ca-je.

Res je. Problem pa nastane npr. na Androidu, ker če ročno naložim root cert začne jokat da so moje omrežne povezave lahko nadzorovane. Če pogledaš komu vse zaupaš brez besed je pa spisek zelo dolg. In seveda nepreverjen.

pegasus> Potem danes ne bi imeli niti tega kar imamo sedaj, NSA & friends pa bi imeli lahko veliko manjši proračun za rsa cracking hardver ... verjamem da bi to pozitivno vplivalo na proračune večih držav ;)

Hja, ali pa danes ko se lahko kadarkoli predstavijo kot "AC Camerfirma S.A." in jim veselo verjamem. Nimam pojma kdo ali kaj je to, ampak moj Android jim verjame.
Rabili bi da za določeno stran verjamem točno določenemu certu, ne da mi COMODO pravi da je slo-tech.com prava stran. Za slo banke naj mi jamči ne vem, BSI, ne pa mi za NLB jamči "Entrust, Inc.".
Certi delujejo tako ali tako po principu - "jaz ti trdim da sem NLB" CA pa pravi "OK, pokaži to in to in plačaj". S tem da je "to in to" lahko dejansko kakšno dokazovanje, lahko pa samo da si sposoben prebrat mail "admin@nlb.si". Ali pa nlb.eu, ali pa "hostmaster@live.fi and administrator@live.be", če se kdo spomni:

http://arstechnica.com/security/2015/03...

pegasus ::

Jah, chain of trust je trenutno best that we have ... sicer osebno čakam, da se DNSSEC razpase in da se nanj obesi vse te chaine ... do takrat pa lahko sam narediš svoj CA in nanj obesiš certe vseh tvojih prijateljev in se greste osamljen otoček zaupanja. Ker se med seboj poznate. Sicer pa se sprijazni z dejstvom, da kr en trust jamči za NLB :D

jukoz ::

Haha, kr en trust ja =)

Drugače pa ja, svoj CA že mamo za svoje projekte. In ko je treba nov cert izdat se ga pač izda, ko ga je potrebno preklicat se ga pa prekliče, brez komplikacij za stranko.

Sej zato me pa Android s svojimi opozorili tako moti. In ko stranki rečeš naj pogleda komu vse zaupa jih običajno kar malo zvije =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

pegasus ::

Srečen si lahko, če imaš stranke, ki opozorilo preberejo in razumejo. Večina ljudi namreč reče "ne dela" ...

SeMiNeSanja ::

Sam res....Android in dodajanje Trusted Root CA-jev je živ križ. Če ti že uspe za OS utupiti, da naj tvojega sprejme, ti jo na koncu še vedno Firefox zagode.

jukoz ::

pegasus> Srečen si lahko, če imaš stranke, ki opozorilo preberejo in razumejo. Večina ljudi namreč reče "ne dela" ...

Sej dela normalno, samo Android od 4.4 (? nisem ziher, lahko da tudi od 4.3) ne upošteva oznak da cert velja samo za web strani in teži da ti lahko prisluškujejo.

SeMiNeSanja> Sam res....Android in dodajanje Trusted Root CA-jev je živ križ. Če ti že uspe za OS utupiti, da naj tvojega sprejme, ti jo na koncu še vedno Firefox zagode.

Prevzeti ga moraš na PCju, nato jih pa naložiš na SD kartico. Drugače ne gre. Firefox pa ne podpira certov oz ne zna brati iz sistemskega stora. Moram reči da se nisem trudil kaj več. Če pa veš za kakšno metodo pa napiši.

noraguta ::

Kaj je bsploh problem v domeno daš kot trust source sigenco pa je.
Pust' ot pobyedy k pobyedye vyedyot!

Ribič ::

jukoz je izjavil:

A ne bi bilo fino če browserji ne bi imeli vseh božjih certifikatov že po defaultu inštaliranih. Ste kdaj pogledali komu vse po defaultu slepo zaupamo? Od vseh bank tega sveta do gospodarskih zbornic in kot kaže Baltimoru. Zakaj že? Mam pa že rajši da si sam izberem komu bom zaupal kot da slepo verjamem izboru trenutnega browserja.
Čisto nihče ti tega ne preprečuje. Odpri shrambo certifikatov v brskalniku in počisti vse korenske certifikate razen tistih, ki jim zaupaš. Samo potem se ne sprašuj zakaj ti nobena spletna stran ne deluje na varni povezavi. Sicer je pa deloma tudi res tole glede certifikatov - itak jih je že preveč, pa še to, da ne vemo komu zaupati. Dovolj je, da hekerji dobijo dostop do enega korenskega potrdila, pa lahko izdajajo certifikate za bilokatero stran. Ravno tole so pred leti počeli v iranu oz. egiptu, če se ne motim, ko so za gmail ali yahoo izdali ponarejeti certifikat.

videc je izjavil:

Današnji vodilni brskalniki nimajo privzeto nameščenih korenskih SIGEN-CA certifikatov, ker se ljudem na SIGEN-CA oz. SIGOV-CA ne da opraviti postopka, s katerim bi korenske certifikate vključili v brskalnike.
Postopek je znan, tako za IE, Firefox, Chrome, ... samo nekdo mora začeti postopek in ga speljati do konca.
Ko sem pred kakšnim letom na SIGEN-CA-i spraševal (telefonsko), ali mislijo to narediti sem dobil odgovor, ki ni vreden besede "odgovor", na pisno povpraševanje pa sploh nisem dobil odgovora.
Toliko o tem.

No, hvala za potrditev. Vidim, da se še ni nič spremenilo od takrat, ko sem se s tem na zadnje ukvarjal. Spomnim se, ko sem jih klical po telefonu, pa sem tudi dobil občutek, da ne vedo ravno kaj počnejo. Namreč po namestitvi korenskega certifikata sem želel preveriti, če je ta pravilen s primerjavo SHA fingerprinta. Jih pokličem po telefonu, pa se oglasi nek tehnik ki ni imel poima kaj to SHA fingerprint sploh je. Tako, da mi je potem vezal nekega drugega na telefon in še ta je le s težavo našel ter prebral cifro nazaj. Pa še to je verjetno šel gledat kar na isto spletno stran namesto, da bi preveril iz varne/ločene lokacije.

jukoz ::

Preberi si tole:

http://arstechnica.com/security/2015/03...

Na kratko, dobiš dostop do maila admin@nlb.eu (v linknem primeru admin@live.be) in ti poljuben CA izda cert. Ki mu browserji zaupajo. Glede na to komu vse browserji zaupajo ne boš opazil nobene razlike.

MrStein ::

videc je izjavil:

Današnji vodilni brskalniki nimajo privzeto nameščenih korenskih SIGEN-CA certifikatov, ker se ljudem na SIGEN-CA oz. SIGOV-CA ne da opraviti postopka, s katerim bi korenske certifikate vključili v brskalnike.
Postopek je znan, tako za IE, Firefox, Chrome, ...

Sigen, sigov, NLB, POSTA(r)CA &co so že leta in leta po defoltu v IE.

Kdor ne "verjame", naj si namesti svež Windows (lahko tudi XP, samo apdejti naj bodo) in obišče z IE omenjene spletne strani.

(razen če so nedavno kaj spremenili)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

stb ::

MrStein je izjavil:


Sigen, sigov, NLB, POSTA(r)CA &co so že leta in leta po defoltu v IE.

NLB že nekaj časa niti sebi ne zaupa več za izdajo strežniških certifikatov. ACNLB je uporabna samo še za izdajo klijentskih certifikatov (avtentikacija, podpisovanje pošte).
https://www.ssllabs.com/ssltest/analyze...

Tomas 33 ::

Ker je njihov Root samo zaupanja vreden samo v IE (+Crome na windows), na vseh ostalih platformah pa je potrebno potrjevati izjeme. Enako je s Poštarca Sigen, Halcom.

SeMiNeSanja ::

Za bančne in podobne strani se nikoli ne potrjuje izjeme, ampak se naloži ustrezni korenski certifikat. Sicer se moraš malo potruditi, da ga najdeš, ampak se da.

Tomas 33 ::

Sej, zato pa naj bi bil na takšnih straneh strežniški certifikat, katerega izdajatelj je že med trusted na večini sistemov/brskalnikov.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )

Oddelek: Informacijska varnost
5320866 (17431) MrStein
»

Sigen-ca - višek digitalizacije javne uprave LOL

Oddelek: Omrežja in internet
154237 (3456) buttcrack
»

eDavki in Halcom potrdila izdana po 3. juliju 2017

Oddelek: Informacijska varnost
102037 (1263) GupeM
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185336 (59531) MrStein
»

POSTArCA prevzem potrdila

Oddelek: Informacijska varnost
124853 (4130) techfreak :)

Več podobnih tem