Mám dotaz ohledně SSL certifikátu. Jak se dá u nás získat a kolik certifikát stojí. Co všechno je k tomu zapotřebí? Uvítal bych nějaké komplexní informace tedy od pořízení až po jeho instalaci.
Předem děkuji za příspěvky.
Mám dotaz ohledně SSL certifikátu. Jak se dá u nás získat a kolik certifikát stojí. Co všechno je k tomu zapotřebí? Uvítal bych nějaké komplexní informace tedy od pořízení až po jeho instalaci.
Předem děkuji za příspěvky.
Bohm nabízí: Nabízíme volné kapacity profesionálního PHP programátora 40 - 80 hod / měsíc
Nekoukej.cz poptává: Poptáváme vlastní flash hru se skore
Leopards.cz poptává: Webový marketing, tabulky, weby, člověk k ruce, z Pelhřimova
- potrebujes vyhrazenou IP adresu
- pak ti staci vybrat nejakeho providera co nabizi certifikat, naposledy jsme kupovali certifikat od http://certs.ipsca.com/ , na 2 roky za $69.
Poslali celkem 3 maily jako overeni ze zadana spolecnost a hostname pro ktery certifikat chceme existuje a za hodinu jsme meli certifikat vystaveny a funkcni.
Nasim providerum certifikatu bych se vyvaroval, protoze jejich korenove certifikaty nejsou primo soucasti prohlizecu, takze uzivatelum stejne bude vyskakovat tabulka ze je certifikat neplatny a pak to bude stejne jako tebou vygenerovany a podepsany certifikat.
Co je myšleno vyhrazenou IP adresou? To znamená, že bych si nemohl nechat vytvořit certifikát pro web, který mám umístěn na klasickém hostingu, kdy jednu IP sdílí mnoho stránek, které jsou na tom daném hostingu umístěny?Původně odeslal baz
Tohle téma mě také velice zajímá.
Jaké jsou rozdíly u certifikátů za 68$ a 800$? V zabezpečení? Snad jsou všechny 256 bitové, ne?
Zalezi od miery sifrovania a aj aky ma certifikat meno. Napr ked si kupis od slovenskej cert. autority certifikat, firefox a prehliadace ta budu stale varovat, ze mas neplatny certifikat, kdezto ked si kupis thawte alebo verisign, neexistuje nieco podobne.
Dobry pomer cena vykon je cert od godaddy.
Od ipsCa se dají koupit výhodně levné typy neověřených certifikátů a to za $38 na rok nebo $69 na 2 roky. Tento typ certifikátů je instalovaný ve většině prohlížečů. Tento typ certifikátů je na jednu doménu, např. www.cokoliv.cz
Potom jsou tzv. wildcard certifikáty které stojí u ipsca $276 na rok a $496 na 2 roky. Tyto jsou potom platné na libovolný počet domén 3 úrovně dané domény, př. *.cokoliv.cz (nebo *.subdomena.cokoliv.cz). U ipsca je navíc výhoda, že tyto certifikáty můžete instalovat na libovolný počet serverů pokud Vám tyto zajišťují služby subdomén. Používá to např. FORPSI. Lepší cena za wildcard certifikát má rapidssl.com, ta si účtuje $199 na rok. Licenčně jej smíte na rozdíl od ipsca instalovat pouze na jeden server (netuším jestli lze poznat porušení licenčních podmínek..). Rapid SSL využívají např. u pipni.cz
Potom je vyšší řada certifikátů (tyto nemají u ipsca). Na rapidssl.com je mají za $399 na rok. Tyto certifikáty jsou písemně ověřeny, že skutečně patří dané osobě/společnosti. Potom např. v IE je řádek adresy vysvícen zeleně a v FF3 je zeleně vysvícen název firmy, které certifikát patří. Je to dle mého názoru jen marketingový tah... Tyto certifikáty jsou vystaveny na konkrétní doménu, např. www.cokoliv.cz. Tento typ certifikátu, ale od firmy thawte inc. - běžná cena $899 na rok využívají na 802.cz (https://www.802.cz zde pozor ! https://802.cz na tento certifikát není funkční, resp. píše to upozornění, že certifikát není vystaven pro tuto doménu)
Nejvyšší řada certifikátů u rapidssl je True BusinessID® Wildcard, za $999 ročně. Fungují stejně jako běžné wildcard, ale řádek adresy v prohlížeči svítí zeleně, případně ve FF je zeleně zobrazena firma. Není mi známo, že by nějaká česká firma používala tento typ certifikátů.
Jiné certifikační autority mají podobné členění, ale jsou dražší - thawte, verisign atd. Myslím si, že v USA je důležité od jaké certifikační autority máte certifikát, podle toho Vás posuzují. U nás je to asi jedno...
Naposledy upravil Dali : 10.07.2008 v 20:39
Ještě co se týká síly šifrování. U rapidssl uvádějí Strong 128 / 256 bit SSL encryption. Co tím myslí v praxi nevím :)
U ipsca uvádějí 1024, 512, 256, 50 a 40 bitové šifrování, ale jaké je ve skutečnosti netuším.
Čím silnější šifra, tím déle trvá sestavení spojení a dle mého názoru je i větší zátěž na server při provozu. Změřeno to ovšem nemám.
Téměř u každé společnosti je stanovena jakási pojistná částka (u vyšších řad certifikátů) na ekonomické ztráty spojené při prolomení certifikátu, jeho kompromitaci či ztrátě. Částka je obvykle v řádů tisíců $. Jak potom funguje dokazování a plnění dané pojistky, ale také netuším :)
Dali, díky za skvělé vysvětlení. Dávám ti reputaci.
Takže podle tebe mají smysl a nejlepší poměr cena/výkon ty wildcard certifikáty za cca 200 - 300 dolarů ročně?
No to záleží na kolik serverů to chceš nasadit a případně na jaké domény (subdomény).
1 server, 1 doména (bez subdomén) - stačí prakticky to nejlevnější co je.
1 server, několik málo subdomén (do 5-10) - našel jsem "mezi" variantu na
godaddy.com - standard ssl certifikát, pro 5-10 domén ročně vyjde lépe bež wildcard. Lze vybrat variantu pro více domén/subdomén.
1 server, neomezeně subdomén - wildcard rapidssl.com
více serverů, neomezeně subdomén - wildcard ipsca.com
Dekuji, Dali!
Taky vyuziji prilezitost abych se zeptal:
- je treba zaplatit novy certifikat pri zmene hostingu?
- pri zmene IP adresy?
Muzu si poridit GoDaddy certifikat pro jiny hosting nez GoDaddy? Je jeste neco krome ceny a poctu bitu kryptovani, co bych mel vzit v uvahu pri porizeni certifikatu?
Cerifikát je vázán na doménové jméno, nikoliv IP adresu.
Nejsem technická podpora GoDaddy ;):D Podle mě zcela určitě. Je to jejich produkt, bude jim jedno pro jakou doménu platíš certifikát.
Výběr certifikátu můžeš provádět i podle jména vydavatele. Thawte, Verisign - drazí, ale pravděpodobně např. v USA uznávaní a respektovaní. Jak jsem psal, pro stránky cz je to podle mě jedno. Češi se na to moc nedívají kdo je vydavatel certifikátu. Pokud nemusí potvrdit žádnou hlášku ;) Ale to je jen můj názor, může to být jinak.
Dekuji, dekuji :) Priznam se, ze ani ja se nedivam kdo je vydavatel certifikatu. Ani moc nerozumim, co bych vlastne mohl zjistit. Cim je certifikat GoDaddy za 30$ horsi nez Thawte za 150$ ? :-/ Pokud tomu dobre rozumim jde jen o jakysi digitalni klic. Kryptovani prece provadi ten stejny program SSL.
Ano, jde jen o digitální klíč. Vystavitel certifikátu je viditelný až po kliknutí na ikonu zabezpečení v adresním řádku prohlížeče.
U Thawte platíte za jejich velikost (firemní velikost a rozšířenost). Thawte umí i certifikáty podporující národní znaky (např. čínština). Pokud se zde pletu, prosím upřesněte mě.
Jak jsem zde psal o certifikační autoritě ipsca.com, tak tuto moc nedporučuji. Například prohlížeč Opera jejich certifikáty vůbec nemají instalované. Navíc od loňského roku u nich žádná novinka, tzn. pravděpodobně stagnují.
Když jsem si dělal test Nokia telefonu, tak zde jsou instalovány kromě Nokiáckých certifikátů jen Thawte a Verisign. Proto jsou asi tyto certifikační autority tak drahé. Pokud máte jiné zkušenosti s certifikáty v různých zařízeních napište prosím.
Po chvili patrani jsem si nakonec nechal sveho hostera zaridit certifikat od GeoTrust. Kompatibilita je na http://www.geotrust.com/resources/co...isting/ssl.asp
GoDaddy byl sice levny, ale delka klice jeho certifikatu byla prilis mala. Ceska Sporitelna vyzaduje alespon 1024b pro komunikaci s platebni branou. Cena certifikatu od GeoTrust je necelych 1500,- rocne + dph
Myslím že certifikát je vázán hlavně na IP adresu.
Na jednom serveru (=na jedné IP adrese) může být hostováno několik webů. Každý má svoje doménové jméno, ale všechny mají společnou IP adresu. Webserver pozná až z HTTP hlavičky, který web má servírovat. Jenže HTTP jde už po šifrovaném spojení, takže certifikát je potřeba už při navazování spojení, což je dávno předtím než se server dozví, o který web vlastně půjde.
Říká se, že kdo chce mít HTTPS, musí mít vlastní IP adresu. To není tak úplně pravda, teoreticky by stačila i běžná sdílená IP adresa, ale certifikát na tuto sdílenou IP adresu by musel obsahovat seznam všech HTTPS webů, které jsou na ní hostované, takže by se musel obnovovat, vždy když by na ní přibyl nebo ubyl nějaký web (samozřejmě se to týká jen šifrovaných webů, nešifrované se můžou přidávat/ubírat libovolně).
Prosím nevytrhávat z kontextu. Odpověď byla na dotaz, zda při změně webhostingu a tedy IP adresy je nutné měnit certifikát. To nutné není.
Při vystavování certifikátu do něj, kromě jiných, vkládáte zejména údaj obecný název (CN = commona name) a nikoliv IP adresu.
S IP adresou je certifikát "svázán" až v konfiguraci webserveru či jiné služby.
Pochopitelně do obecného názvu certifikátu můžete uvést i IP adresu, ale návštěvníci by do adresního řádku museli zadávat IP adresu místo jmenného názvu.
Dnes (cca rok a půl) již není ani toto pravda. O dalších informacích se rád podělím, ale myslím, že to již nesouvisí s tímto vláknem.
Aha, to jsem špatně pochopil, omlouvám se.
To mě zajímá, ale s tímto vláknem to opravdu moc nesouvisí, píšu PM.
