Затрудняюсь ответить :(
0,0
рейтинг
6 февраля 2009 в 23:20

Разработка → Обзор SSL-сертификатов: типы, выбор, приемущества.

Многие задавали себе вопрос, чем различаются разные SSL-сертификаты, зачем его получать и почему нельзя использовать самоподписанный.

Здесь я попытаюсь ответить на эти вопросы, рассмотрев:

  • Причемущества от наличия SSL вообще, и подписанного сертификата в частности.
  • Типы SSL-сертификатов.
  • Пути их получения.


Я не претендую за 100% верность данной статьи, она основана только на моем мнении и личном опыте :)

SSL — Secure Sockets Layer — стандарт передачи защифрованных данных через сеть. Касательно web-индустрии это протокол HTTPS.

О сертификатах вообще и зачем их нужно подписывать.



Для начала разберемся, что такое SSL-сертификат.

Здесь и далее речь пойдет приемущественно о web-сайтах. Вопросы SSL + FTP, Email, цифровых подписей исходного кода и пр. до поры оставим в стороне.


SSL-сертификат, это индивидуальная цифровая подпись вашего домена. Он может быть:

  1. Самоподписанным. Это значит, что вы сами выдали себе сертификат, и сами его подписали.
  2. Подписанный недоверенным центром сертификации. Это значит, что сертификат сайта проверен, но сам «проверяющий» доверия не удостоен.
  3. Подписанный доверенным ЦС. Это значит, что данные сертификата проверены компанией, которая имеет на это право, они как минимум существуют.


Разберем их более подробно.

Самоподписанный сертификат не гарантирует ничего. Любой человек может взять и выдать себе такой сертификат. Все браузеры выдают клиенту предпреждение о том, что сертификат не надежен.
Подписанный не доверенным ЦС сертификат тоже не подтверждает ничего, т.к. существуют ЦС, продающие сертификаты всем желающим и без проверок. Большинство браузеров реагирует на такие сертификаты аналогично самоподписанным.

Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:

  • Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
  • Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
  • Данные этой компании проверены и зарегистрированы центром сертификации.


На доверенные сертификаты браузеры ошибку не выдают.

Но это технически. А теперь о том, что показывает доверенный сертификат посетителю вашего сайта.

  • Это действительно тот сайт, на который мы шли, а не дефейс или фишинг.
  • Сайт создан в серьез и надолго. В общем случае, желающие «поиграть недельку» не готовы выложить деньги за сертификат.
  • Сайт принадлежит компании, либо зарегистрированному физ. лицу, а не неведомому анониму. Плюсы понятны — желающие обмануть или украсть редко стремятся удостоверить свою личность.
  • Компанию волнует защищенность информации и подтверждение своей подлинности.
  • Если что-то случится, эту компанию можно найти через сертификатора.


Многих пользователей (особенно зарубежных — наши пока к этому не привыкли) самоподписанный сертификат (или отсутствие SSL в вещах, касающихся услуг\финансов\privacy) может если и не отпугнуть, то поставить жирный минус в вашу пользу.

Мой личный вывод: на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть.

Типы сертификатов.



Допустим, руководствуясь соображениями из 1 части статьи вы решили купить подписанный сертификат. Каково же будет ваше удивление, когда на сайте ЦС вы узнаеете, что они бывают разные :)

Типы сертификатов:

Esential SSL — самый не дорогой и быстро оформляемый сертификат. Доступен как для юридических, так и для физических лиц. Проверяется только право владения доменным именем, личные данные или регистрация компании не проверяются. Выдается на 1 домен.

Instant SSL — доступен и для физ. лиц, и для юр. лиц. Проверяется право владения доменом, регистрационные данные компании либо личность физ. лица. Выдается на 1 домен.

SGC SSL-сертификат. — Аналогично Instant SSL, но с поддержкой 40-битных расширений (актуально для старых ОС и браузеров). Выдается на 1 домен, либо wildcard (см. ниже).

Обычный Wildcard. — тоже самое, что и обычный сертификат, но выдается не на 1 домен, а на все поддомены корневого домена. Т.е. не только на domain.com, a и на www.domain.com, bill.domain.com и т.д. Стоит на порядок дороже.

EV (Extended Validation) сертификат. — сертификат расширенной проверки, доступен только юридическим лицам. Проверяется владение доменом, компания, нотариально заверенные переводы документов на английский язык, требует подтверждения данных третьей стороной. Позволяет установить на сайте картинку-подтверждение владением и отображается в браузерах как гарантированно доверенный (зеленым цветом), против желтого у обычных сертификатов. Стоит в 2-3 раза дороже обычного, регистрация занимает продолжительное время.

В браузере выглядит так:



EV Wildcard и EV SGC. — аналогично Wildcard и SGC, но с расширенной проверкой.

Instant и Essential сертификаты позиционируются как продукт для сайтов частных лиц и органзаций, не связанных с электронной коммерцией.
Extended Validation — для сайтов, связанных с финансами, услугами (интернет-банкинг, платежные системы, интернет-магазины и пр.).

В следующей статье я напишу, как выбрать регистратора и получить сертификат.
Никита я @differentlocal
карма
55,0
рейтинг 0,0
Затрудняюсь ответить :(
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (90)

  • +1
    спасибо за статью :)

    не знал, что есть разные типы сертификатов
  • +1
    Мой хостер предлагает следующие сертификаты:
    SSL (TrustLogo)
    Geotrust SSL (Smart Seal)

    Последний самый дорогой. Чем они отличаются?

    Кстати, обнаружил, что Comodo предлагает бесплатный сертификат на 90 дней. www.instantssl.com
    • +1
      А представьте вы заходите на сайт, он показывает что сертификат доверенный и выдан Comodo, вы работаете дальше, отдаете ему свои деньги… а в конце концов оказывается что сайт принадлежит мошенникам и у них триальный SSL сертификат сделанный на скорую руку…
      • 0
        Возможно, хотя, надеюсь, что с essential/instant невозможно работать с платежными системами.
        • +1
          о_0 т.е. без ертификата можно, а с хиленьким нельзя!?

          SSL это способ защиты передаваемой информации. сертификат — спооб удостовриться что «защищенно» передаете тому кому планировали. при этом уровень сертификата хотя и должен влиять на уровень доверия к ресурсу, на самом деле ни на что не влияет. редкий юзер смотрит подробности, большинству достаточно того, что броузер не ругается :)
  • 0
    супер статья, спасибо =) а то пол жизни генерил CSR-ы инсталил сертификаты на серваки а как оно всё изнутри толком то и незнал :\
  • +4
    А про самое важное не написали: в браузере хранится набор CA сертификатов, которыми проверяется сертификат сайта. И что если браузер такого CA не знает, будет выдано предупреждение.
    • +1
      Точнее хранится набор сертификатов доверенных CA и, как следствие, если каким-то образом в набор попал «левый» сертификат CA, то браузер будет принимать все сертификаты подписанные им как подписанные доверенным ЦС со всеми вытекающими
      • +1
        Точнее говоря там хранятся корневые сертификаты. Сертификат сайта проверяется по дереву сертификатов и важно не чтобы он был подписан доверенным центром, а чтобы в ветвь дерева, по которой мы движемся, проверяя цепочку сертификатов, имела начало в доверенном центре.
        • 0
          Угу, и тут есть одна неочевидная проблема. Если кто-то получит себе место в этой цепочке, он сможет легко организовать атаку из категории man in the middle. Юзер ведь в случае успешного соединения не проверят, кем выдан сертификат сайта, которым он пользуется.
          • +1
            Нет, такой проблемы тут нет. Вклиниться в это дерево возможно только в случае, если злоумышленнику удастся создать свой центр сертификации(заверенный опять же по этому дереву), либо доверенный центр сертификации выдаст сертификат не тому, кому надо. Вероятность обеих ситуаций почти нулевая, к тому в любом случае будет кому отвечать.
            • 0
              Увы, не нулевая. Сейчас ищу пост в блоге, в котором товарищ описывал процедуру получения места в цепочке. Год назад примерно читал.
              • 0
                Не нашёл, пока только это. Примерный смысл той дискуссии сводился к тому, что в браузере должна быть привязка конкретного certificate issuer'а к конкретному сайту как один из вариантов противодействия атаке MINM.
                • +1
                  Ну в этом случае администратора ждет ответственность.

                  Понимаете смысл сертификации не только в обеспечении безопасности, а в том числе и в том, что если эта безопасность будет нарушена, то вы сможете найти нарушителя.
                  • +1
                    Смысл сертификата только в безопасности обмена информацией именно с тем с кем вы подразумеваете. И все. Никаких гарантий, что получатель сертификата, вас не кинет, сертификационный цент не дает. Проверенно на личном опыте.

                    Стандартная гарантия от СЦ, что вы понесете убыток, при перехвате зашифрованной информации и тогда в пределах определенной суммы вам его возместят. Но как вы сами понимаете, это фактические нереально.
                    • 0
                      «Смысл сертификата только в безопасности обмена информацией именно с тем с кем вы подразумеваете.»
                      по-моему это тоже самое, что написал я:
                      «Смысл сертификации не только в обеспечении безопасности, а в том числе и в том, что если эта безопасность будет нарушена, то вы сможете найти нарушителя.»

                      • 0
                        Безопасность только «обмена информацией», а не вообще «безопасность». + никаких гарантий поиска нарушителя.
                        • 0
                          ну я написал именно «безопасность», потому что не хотел распространяться на длинное объяснение, безопаcноcть чего мы хотим обеспечить, а уж на эту тему я много чего написать могу:), я думаю из контекста итак понятно. Кстати если уж на то пошло, то я вас тоже могу поправить — мы обеспечиваем целостность и конфиденциальность передаваемой информации, а это не все свойства безопасности:)

                          Как это никаких гарантий? — У нас две стороны(предполагая SSL гипотетически неуязвимым и это действительно почти так) — мы и сервер, с которым общаемся, естественно, сами мы нарушить ничего не можем — поэтому нарушитель у нас возможен только один — а он как раз легко и находится по сертификату.
                          • 0
                            Хорошо, по поводу первого мы пришли к единению, теперь по поводу второго на реальном примере. Возможно те, кто давно в интернете помнят был такой oxbill.com
                            Так вот сертификат Thawte нифига не являлся гарантом благонадежности, так же как и то, что де юре конторка была фиг знает где (где не помню уже но очень далеко), а де факто сидели в питере.
              • 0
                Ну если он вклинится, и совершит какие-то противоправные действия, то его в любом случае будет ждать ответственность
        • 0
          Промежуточные тоже хранятся. Они же нужны, чтобы построить эту самую цепочку.
  • 0
    «Причемущества» от наличия SSL вообще, и подписанного сертификата в частности
    • 0
      Буквы «и» и «е» также перепутаны
  • +1
    Спасибо, интересно. Покажу клиенту :-)

    p.s. если приводите картинку вида «как выглядит в браузере», то почему бы не показать, как это выглядит в разных браузерах, в том числе если сертификат считается не надеженым.
  • 0
    Упорядочил знания. Продолжайте!
  • +4
    Хотелось бы прокомментировать один момент из статьи.
    1) «Самоподписанный сертификат не гарантирует ничего.» — ничего, кроме шифрования данных при передаче, что само по себе немаловажно.
    2) «Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:
    Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
    Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
    Данные этой компании проверены и зарегистрированы центром сертификации.»

    — насколько я знаю (из своего опыта), все это не так. Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что вы оплатили стоимость сертификата со своей банковской карты. Больше ничего этот сертификат не подтверждает. Никто не станет проверять, является ли плательщик, некий Ivan I Ivanov, гендиром или главбухом фирмы «Roga'n'Co», которую он указал при покупке или он все-таки тот самый «Вася-кардер из соседнего подъезда». Если там кто что и проверяет, так это только банк — карту.
    То есть, на мой взгляд, конечный вариант данного абзаца текста мог бы быть более достоверным, если бы содержал следующее:

    «Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) НЕ подтверждает, что:
    Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
    Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
    Данные этой компании проверены и зарегистрированы центром сертификации»,
    а подверждает только, что кто-то-таки заплатил за него $900(ну, в случае с Thawte для примера) и честно получил запрошенный сертификат от Thawte или VerySign.
    • +2
      Вы сами то сертификат покупали? они как раз и проверяют фирму, должность и т.п.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Эм, простите, в этом и смысл шифрования соединения — защита от перехвата, ну пропусит он через себя, и что он увидит? =)
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Вы не правы. Почитайте про шифрование основанное на открытых ключах.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Собственно эту проверку браузеры и производят, благодаря прошитым в них сертификатам известных CA.
                Видимо мы просто несколько не поняли друг друга ;)
    • +1
      Еще как проверяют, вплоть до валидности телефона указанного на сайте и данных о владельце этого телефона, не говоря уже о должности и компании.
      Ваши слова сравнимы с тем, что Webmoney будет выдавать аттестат не проверяя ничего, а просто подтверждая факт перевода определенной суммы в пользу аттестатора (варианты с покупкой фиктивного аттестата, обходными путями не рассматриваются).
      • +2
        я даже больше скажу — известны случаи, когда VeriSign (с другими не работал) высылал своего представителя на место для визуального обследования, интерьвью с руководством и т.п. еще один интересный, но правда скорее коммерческий момент, опять-таки по поводу VeriSign — взрослый Extended Validation сертификат этой компании означает, помимо всего прочего, страхование потребителя услуг сайта компании, которой выдан сертификат. другими словами, если подставному фишинговому ресурсу каким-то образом удалось пройти через все процедуры проверки и получить сертификат, а потом, скажем, Вася, поведясь на эту подставу слил туда данные по своим кредиткам и был брошен на деньги и есл Вася сможет доказать этот факт — VeriSign выплачивает пострадавшему компенсацию.

        от того и куча проверок и перепроверок. CA — это бизнес, основаный на доверии и авторитете. оступишься раз ипиши пропало.
        • 0
          СЦ выплачивают компенсацию в случае, если информацию в процессе обмена между сервером и пользователем перехватили, расшифровали и нанесли убыток. Никаких гарантий благонадежности СЦ не выдает.
    • +2
      Я получал пару лет назад сертификат Thawte.

      Проверялось все: регистрационные документы компании, ИНН, выписки из налоговой, договор на обслуживание компании интернет-провайдером, договор на обслуживание телефонной компанией, документы владельцев компании и еще уж не помню точно чего. Нам перезванивали несколько раз из ЮАР, уточняли детали, мы им перезванивали, подтверждали информацию.

      В качестве третьей удостоверяющей стороны выступало РБК, с которым мы тоже подписывали соответствующие документы.

      Короче говоря, правильный сертификат проверяется так, что можно повеситься. Это занимает кучу времени. (К правильным я по личному опыту отношу Thawte и VerySign.)

      Да, есть примеры выдачи сертификатов без всяких проверок. Сам недавно получал сертификат от GoDaddy — не проверялось вообще ничего и заняло около суток.

      Тут просто надо понимать — есть разные конторы и разные сертификаты.
      • 0
        Проблема в том, что юзер не смотрит на коревой сертификат CA которым подписан сертификат сайта, который он смотрит. В идеале нужно вообще вычищать половину CA из репозитория браузера/операционной системы. Однако рядовые пользователи этого делать всё равно не будут и смысла напрягаться по поводу «истинно правильного» сертификата всё равно нет.
      • 0
        Тут просто надо понимать — есть разные конторы и разные сертификаты.


        … у каждого из них свои размеры Consumer Warranty (т.е. бобло которым сертификатор ответит за неправильно/не тому/хакерам выданный сертификат).
        это размер колеблется от 2000 у godaddy до 1`000`000 и больше у thawte/verisign/comodo.
        естественно чем больше сумма warranty тем больше будет проверок, вплоть до отправки ревизора.

        грубо говоря, чем дороже сертификат тем больше мозгов клиенту вынесут при получении.
    • 0
      Насчет первого пункта в корне с вами не согласен.

      SSL — это шифрование с взаимной аутентификацией. О какой взаимной аутентификации может идти речь, если я себе прямо сейчас могу выдать сертификат, что мой сайт является сайтом microsoft или что-то в этом роде?
      • –1
        При должной сноровке можно получить валидный (т.е. с доверенным CA на вершине цепочки) сертификат на любой домен. При ещё большей сноровке можно даже получить место в валидной цепочке CA.
        • 0
          o_0
          точно! сноровистые парни получают сертификаты как хотят, а издатели теряют миллионы на consumer warranty и ни сном, ни духом об этом…

          пруфлинк бы, да…
          • 0
            Где-то в жж обсуждалось, некто (из не самых последних людей в программерском сообществе) утверждал, что у них в конторе был сертификат из доверенной цепочки. Помню, что обсуждалась идея перехвата и расшифровки SSL-трафика ФСБ, и данное утверждение было приведено как пример того, что слепо доверять SSL не стоит и нужно бы проверять, что Certificate Issuer у сайта не изменился.

            Увы, поиск по постам в жж практически не работает, пока найти не удалось.
            • 0
              вот тут подсказали
              признаться нахожусь в трансе o_0
            • 0
              Коллега, не портите себе карму :)
              ФСБ не пользуется зарубежными криптоалгоритмами, а сертификатов ГОСТовых CA c операционными системами/браузерами не поставляется.
              Я уж молчу про то, что и Интернетом они пользуются не то чтобы очень активно :)
              Ну и не говорю уже о том, что владение ключом «сертификата из доверенной цепочки» никак не позволяет расшифровывать выбранный трафик.
    • –1
      — насколько я знаю (из своего опыта), все это не так. Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что вы оплатили стоимость сертификата со своей банковской карты. Больше ничего этот сертификат не подтверждает. Никто не станет проверять, является ли плательщик, некий Ivan I Ivanov, гендиром или главбухом фирмы «Roga'n'Co», которую он указал при покупке или он все-таки тот самый «Вася-кардер из соседнего подъезда». Если там кто что и проверяет, так это только банк — карту.

      бред и опыт у вас мизерный.
      если вы покупали у thawte SSL123, то конечно, головняка не у вас не было (хотя почту админа по хуизу они все равно проверяют, т.ч. заказать и оплатить сертификат на www.microsoft.com вам не удастся). но вы попробуйте купить wildcard или EV у thawte и сразу заметите насколько все становится серьезнее… можете даже не покупать, а нажать ссылочку «Get a quote» и пообщатьс с менеджерами, они вам расскажут какие документы и как подготовить для получения нормального сертификата.

      З.Ы.: вы б еще на проверки у godaddy кивали, ага…
  • +1
    Сайт создан в серьез и надолго. В общем случае, желающие «поиграть недельку» не готовы выложить деньги за сертификат.
    Довольно спорное утверждение, RapidSSL можно купить за $15 на год.
    • 0
      RapidSSL использует MD5 и годится теперь разве только в качестве дешевого средства для избавления от надоедливой надписи в браузере о «плохом» сертификате.
      Если сертификат нужен для серьёзных дел, то RapidSSL лучше обходить стороной.
      • +1
        каких именно серьезных дел?
        поверьте, большинству клиентов начхать на ваш сертификат, лишь-бы броузер не ругался :(
  • +1
    ИМХО от дефейса сертификат тоже не понятно чем защищает.
    • 0
      SSL защищает подлинность сайта и конфиденциальность передаваемых пользовательских данных.
      Целостность сайта (защиту от дефейса) SSL обеспечивать и не должен…
      • +2
        Речь идет о фразе в статье
        Это действительно тот сайт, на который мы шли, а не дефейс или фишинг.

        Правильно она должна звучать
        Это действительно тот сайт, на который мы шли, а не фишинг.

        потому что от сертификат никак не может защитить от дефейса.
        • 0
          Угу, погорячился немного. Впрочем, от явной подмены страницы — не спасет, а вот на редирект или iframe с другого узла — браузер будет гадко матерится.
  • +3
    Автор, вы бы вещи своими именами называли, раз уж взялись писать о предмете. Сертификат называется X.509, а не SSL, и на те виды, о которых Вы написали, делится чисто умозрительно. Технически сертификаты делятся по совсем другим параметрам. А то у людей по мотивам статьи сложится совсем неверное впечатление. Вы вообще к сертификатам какое отношение имеете? Или так, почитали на досуге?
    • +1
      Я не протокол описываю для сисадминов (для этого есть RFC или Википедия), а статью понятную для обычных людей :)

      Естественно умозрительно.
      • 0
        Вот именно потому что есть RFC, и нужно писать название правильно. Чтобы этот RFС можно было найти. Да и в википедии они называются совсем по другому (хотя, не спорю, поставили алиас).
  • 0
    > Мой личный вывод: на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть.

    Разумеется, должен. Неподписанный сертификат (или подписанный недоверенным CA) ведет к non-compliance стандарту PCI DSS (www.pcisecuritystandards.org), следовательно, вы, как мерчант, не можете выполнять операции с пластиковыми картами. То есть будет как в небезызвестной песне: «Кинул пацана? Заплатите штраф!» :)
  • 0
    Еще можно поговорить про разные версии SSL и TLS и про иерархию. Есть ведь root-сертификат, которым подписаны каналы самых крупных СА (Verisign), и так далее. Тоесть вся система держится на доверии к CA. Cхема такова:
    Клиент (к): Ты кто?
    Сервер (с): Я web.website.com
    к: Чем докажешь?
    с: Нууу, меня знает SmallCA
    к: Мне с этого что? С чего я должен доверять его словам?
    с: Подлинность его ответа удостоверяет Verisign.
    к: О, VeriSign! Тогда я тебе верю. Verisign все знают. Серьёзная контора. На NASDAQ котируется. Ей еще Thawte принадлежит.
  • 0
    «на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть»
    Скажите, у меня браузер «криво» настроен или WebMoney «забила» на получение сертификата?
    • 0
      У Webmoney «свой» ЦС, фактически самогенеренные сертификаты.
      Они (по крайней мере раньше) во время установки предлагали добавить их ЦС в список доверенных, в таком случае вы вышеприведенной картинки не увидите.
      • 0
        На всех отечественных и зарубежных сайтах использующих https, которыми я пользуюсь, сначала, я вижу что-то вроде этого:

        а позже, при повторных заходах, я вижу диалог со скриншота приведенного выше.

        Приведите, пожалуйста, пример отечественного сайта использующий сертификат подписанный доверенным ЦС.
        • 0
          https://banking.webmoney.ru

          • 0
            banking.webmoney.ru использует недействительный сертификат безопасности.

            К сертификату нет доверия, так как он является самоподписанным.

            (Код ошибки: sec_error_ca_cert_invalid)
            • 0
              Вы что-то путаете, там вполне валидный сертификат, выданный Network Solutions L.L.C.
              • +1
                Если и путаю — то не я, а мой Firefox 3.0.5 и IE7.0.6

                Ошибка в сертификате безопасности этого веб-узла.
                Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации.

                Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер.
                Рекомендуется закрыть веб-страницу и не работать с этим веб-узлом.
                Щелкните здесь, чтобы закрыть веб-страницу.
                Продолжить открытие этого веб-узла (не рекомендуется).
                Подробнее

                Если, щелкнув ссылку, вы попали на эту веб-страницу, проверьте адрес веб-узла на панели адреса, чтобы убедиться в том, что он указан правильно.
                При переходе на веб-узел с адресом https://example.com попробуйте добавить к адресу 'www', например, https://www.example.com.
                Если вы хотите проигнорировать эту ошибку и продолжить, по крайней мере не вводите никаких личных данных и не сообщайте конфиденциальных сведений на этом веб-узле!

                Дополнительные сведения можно найти в разделе справки Internet Explorer «Ошибки сертификатов».
        • 0
          https://www.portmone.com.ua/v2/ru/login/
          • 0
            www.portmone.com.ua использует недействительный сертификат безопасности.

            К сертификату нет доверия, так как он является самоподписанным.

            (Код ошибки: sec_error_ca_cert_invalid)
            • 0
              У Портмоне все ОК
              Вроде все ОК.
        • 0
          Контрольная панель masterhost. У них сертификат правильно подписан.
        • 0
          https://www.reg.ru/
    • 0
      У них своя политика, потому как они не доверяют доверять другим.
    • 0
      WM об этом спрашивали уже, они сказали, что скоро установят подписанные сертификаты.
  • 0
    Или google.com:
    • +1
      А тут вообще все прозрачно :) сертификат выдан для google.com а не для www.google.com.
      Почему они так поступили — другой вопрос, я не знаю.
      • 0
        сертификат выдан для google.com а не для www.google.com.

        наоборот ;)
        • 0
          М-да :) ошибся.
  • 0
    Меня давно интересует такой вопрос: нельзя ли сделать свой центр сертификации и его сертификат подписать у VeriSign (к примеру). Всё с целью получить возможностьт генерить много сертификатов для себя. Насколько я понимаю, технически это возможно, а практически?
    • 0
      Практически это тоже возможно, но не со всеми корневыми центрами сертификации.
    • 0
      а практически дорого. очень дорого!
    • 0
      Денег стоит много. Вот у GlobalSign'а сейчас есть специальное предложение для бизнесов — фактически, они відают бизнесу сертификат с правом быть CA (конкретные условия можно почитать у них на сайте).

      На VeriSign'е свет клином не сошелся. Более того, они overpriced behemoth… Налог на глпость собирают.
      • 0
        А примерный уровень цен неизвестен? Они предлагают списаться с ними, боюсь будет долго.
        Кстати, какие требования надо предъявлять к таким центрам как GlobalSign, как проверить, что с их подписями не будет проблем на разных устройствах типа телефонов?
    • 0
      Конечно, можно. Вот, скажем, РБК не так давно стали доверенным сертификационным центром (http://ssl.ru), а до этого они выступали посредником в продаже сертификатов Thawte.
  • 0
    Esential SSL -> Essential SSL
  • 0
    В начале комментов что то все набросились на автора… не хорошо.
    Я раньше и не задумывался откуда сертификаты берутся.а теперь знаю.спасибо.
    А то что статья не совершенна ничего в этом страшного нет.даже хабр не идеален.
  • +1
    вобщем если просуммировать то получается:

    — сертификат нужен для шифрования даных которые пользователем серверу(сайту).

    — надежность шифрования никак не зависит от того, каким способом получен сертификат (самосгенеренный и полученый от изесного СertАuthority генерятся с использованием одинакового алгоритма)

    — сертификат выданный одним из известных CA хорош тем, что подтверждает что ключ шифрования которое вам предлагает использовать некий https://сайт, действительно выдан этому сайту (владельцу домена).

    — кроме этого, условием для выдачи подписаного сертификата могут являться подтверждение личности, подтверждение контактов (адрес/тел/почта), подтверждение регистрации компании, подтверждения права ведения бизнеса, другое.

    — цена подписанного сертификата зависит от кол-ва тех проверок/даных которые необходимы для получения данного сертификата. Вот почему есть разные цены на сертификаты.

    так?

    и, я так понимаю, в следующей статье автор расскажет какой именно тип сертификата он выбирает и почему?
  • 0
    Мой Файрфокс ругается на свой собственный родной сайт — их сертификат самоподписанный. Выдают себя за других?
    ...Google? Тссссс…
    • 0


      Чиво-чиво?
      • 0
        mozilla.org использует недействительный сертификат безопасности.

        Сертификат действителен только для *.mozilla.org

        :)
  • НЛО прилетело и опубликовало эту надпись здесь

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.