Co si myslíte o https / Jaký by jste doporučily?

Opraveno na klientsky, ktery slouzi ke stejnemu ucelu a to k podepisovani nebo k sifrovani, lze ruzna pouziti zaskrtnout a povolit ve formulari.Samotny web funguje, prihlaste se certifikatem, ktery je na wiki uvedeny k dispozici a formular je na https://ca.mojeit.eu, na cert.mojeit.eu jsem uvadel, ze bezi wiki, ktera ma informacni charakter a mela by do budoucna byt zaplnena informacemi o pouzivani certifikatu a duvodech proc sifrovat, podepisova a overovat komunikaci.Jde videt, ze jste si neprecetl ani jednoduche pokyny hned na prvni strance. Prece jich tam moc neni, aby jste princip pochopil a klikl na odkaz, ktery tam je.Vyzaduje se prihlaseni k formulari certifikatem tester s organizacni jednotkou www pro vydani a zase na druhou stranu se nevyzaduje zadna registrace nebo captcha a slozite overovani emailove adresy. Pokud se vyda certifikat s organizacni jednotkou a prihlasite se k formulari s timto certifikatem, pak se vydavaji dalsi certifikaty s polozkou organizacni jednotky, jaka je uvedena v certifikatu.Ale to uz pisu podruhe, nebot je to na hlavni strance uvedeno.---------- Příspěvek doplněn 25.01.2013 v 12:15 ----------Sluzba je narozdil od ostatnich zdarma a navic s moznosti overovani pri prihlaseni, ktere ma jednoduche API a mnoho jednodussi na implementaci nez sluzby typu MojeID atd. Pokud chcete mit korenove certifikaty v prohlizeci Firefoxu, IE, Chrome, Opere atd., muzete prispet peneznim darem asi tak jako vznikaly jine pred touto, aby se zafinancovalo jejich vlozeni. Navic je sluzba ceska(asi jako jedina online) v cestine, s overovani firmy pres ARES a nemoznosti si do polozky "o" napsat cokoliv, ceskou podporou a jeste dodam, ze jestli chcete nekomu duverovat, tak muzete pouzit klidne jine CA, to zalezi na Vas.Co se tyce bezpecnosti a duveryhodnosti: klientske certifikaty maji sifrovane klice, hesla k nim se nikde v systemu neukladaji, pouze sifrovana a solena hesla pro zneplatneni(nelze tedy zpet ziskat) a ktera by mela byt jina. Vydava se tedy certifikat plus sifrovany klic plus PKCS12 kontejner opet zaheslovan heslem, tedy tri soubory. U serverovych certifikatu musi byt klice ke stahnuti nekryptovany, nebot by nedoslo napr. ke spusteni sifrovaneho serveru automaticky.Sifrovane spojeni zpristupnujici formular probiha na vice urovnich: Sifrovani pomoci SSL certifikatu neni shodne jako vydavaci certifikaty a jsou v ruznych urovnich subcertifikatu. Prihlaseni je overovano opet pres jiny strom. Informace o certifikatech se ukladaji do databaze a ta je zvnejska nepristupna.Osobni udaje resime s kolegy s uradem pro ochranu osobnich udaju.

No hodne zdaru, ale na 99% zabitej projekt :-) Je tam zacarovany kruh prave s tou duveryhodnosti a ted myslim predevsim po technicke strance - pritomnost root certifikatu na systemech by default. Dokud toto nezajistite, tak nebudou uzivatele, protoze ti nemaji duvod jinak takovou sluzbu vyuzivat.

nemusite mit obavy... korenove certifikaty jsou do nekolika suburovni, to jsem psal jako jeden z duvodu, proc tomu verit.dokonce pro sifrovani za pomoci SSL nebo pro prihlasovani do sluzby nebo vydavani na jinou CA jsou vzdy certifikaty v jinych vetvich.Horni vetev na systemu nenajdete.Vypada to, ze z principu uz verit nechcete a nejste ochoten cist nebo poslouchat, vlastne ani tu hlavni stranku jste si neprecetl.---------- Příspěvek doplněn 25.01.2013 v 13:18 ----------ale jinak diky za pripominkypripisu vase narozy do wiki a udelam neco jako FAQ

Vy me nechapete. Pokud prijdu na web, ktery je vystaveny vasi certifikacni autoritou, bude na me prohlizec rvat, ze je certifikat neduveryhodny = nepouzitelne. To stejne u emailu. To je ten podstatny problem.

nejprve se mi zduplikoval prispevek po uprave a kdyz jsem ho smazal, tak se smazali oba.Tedy znovu: certifikaty jsou vystaveny do nekolika suburovni a vetvi, horni vetev v systemu neni.Psal jsem taky, ze si to chce neco precist a hned nekritizovat.jinak dik za otazky nevericiho Tomase, napisu do wikico se tyce hlaseni prohlizecu:asi to same jako certifikaty jinych ceskych registracnich autoritNa wiki na hlavni strance je odkaz v bode 1), na ktery staci kliknout a prijmout.Opravdu to chce cist.Jinak muzete prispet na import do prohlizecu. V tom pripade se ale pak ceny za vydani budou pohybovat uplne nekde jinde.

Ano, ale o tom to je. Takovej certifikat si muze udelat kazdy sam, chovat se ve vysledku bude v prohlizeci a kdekoliv jinde stejne - neduveryhodne. A nejake vase interni pravidla nikoho zajimat nebudou. Takze krom par nadsencu, kteri si mozna nainstaluji vas root cert, aby se chovaly certifikaty duveryhodne, to je zabity.A s tema ceskejma CA. Nemate pravdu. Pokud je mi znamo, tak vsechny kvalifikovane certifikacni autority jsou jiz v systemech pocitacu v duveryhodnych ulozistich. Tedy u uzivatelu s povolenymi aktualizacemi. (na ceskych lokalizacich)

jeste bych dodal, ze sluzbu jsem nespustil kvuli tomu, ze bych chtel konkurovat certifikacnim autoritam, ale kvuli tomu, ze je zde jednoduche API, jak prihlasujiciho uzivatele overit bez toho, aniz by on sam musel pouzivat heslo(a)To API je tak jednoduche a proste, ze za pomoci strukturovane vymeny dat na zaklade hashe lze overit uzivatele a to takovym zpusobem, ze i kdyby to melo znamenat o dve kliknuti mysi kvuli odsouhlaseni a zkontrolovani certifikatu sluzby navic a jedno pro presmerovani zpet nebo pomoci javascriptu odsouhlasit prihlaseni, tak porad je zde zpusob prihlasovani o vice urovni bezpecnejsi, nemusi se pouzivat zadne slozite overovaci serverove technologie a taky i ty tri kliknuti navic je porad min nez min 6uhozu do klavesnice.

Ok. Ale furt vymyslite kolo. Techto sluzeb je tu tuna at uz ceskych nebo zahranicnich a nikdo ji uzivat nebude. Na to si klidne vsadim. Klidne si sem na webtrh udelejte samostatny tema s anketou a muzeme se spolecne podivat na vysledek.

ona je i dobra funkce, ktera by mela jeste navic prijit: doplneni udaju do registracniho formulare tak jak to znate z ARES sluzeb, kdyz zadate ico a ono to ostatni doplni samo.Po prihlaseni se automaticky doplni udaje pomoci javaskriptu do formulare pomoci XML tak jak se udaje ziskavaji z ARES databaze.Kolo to neni a asi nebude a dovedu si zrovna ted tvrdit(vzhledem k prirovnani), ze kdyz vas nekdo, komu duverujete, vede za ruku, tak pojedete i na jednokolce a bez riditek a asi budete min slapat:Prihlaseni pomoci facebooku nebo twiteru neni vhodne pro firemni pouziti a doposud toto prihlaseni bylo vyuzivane k tomu, aby jste strance sdelili udaje o pratelich a povolili ruzne aplikace, ktere sahaji do vaseho soukromi. Tady se nezneuzivaji osobni udaje ani udaje vasich pratel a od implementace mojeid nebo ostatnich podobnych sluzeb neni toto hodne nakladne a slozite.Tady pro overeni staci jedna jedina funkce. Pro predstavu, pokud si importujete certifikat testera a prihlasite se do eGroupware, ktery bezi na egw.mojeit.eu a kliknete na prihlaseni certifikatem, tak jste ihned v systemu a staci k tomu jedna POST promenna navic a jedna upravena funkce v systemu.---------- Příspěvek doplněn 25.01.2013 v 14:18 ----------Jinak odpovim na puvodni otazku:nejlepsi je pouzit sluzbu, kde vam vystavi certifikat s CN=*.domena.czu CN=domena.cz muze byt problem pri zobrazovani subdomen nebo domen, kde musi byt wwwu obou je problem v tom, ze muze byt prave webovy server ruzne nastaven pro pristup s www nebo bez.Jeste lepsi by bylo, kdyby jste mohl mit v certifikatu moznost si vybrat v moznostech Subject alt name moznosti pridani vlastnich URL i s jednotlivymi subdomenami, DNS, nebo mail serverem a take IP adresou. Tohle nenabidne asi nikdo ze vsech CA.Pokud Vam vytvori nektera certifikacni autorita certifikat, ktery bude mit polozku CN=*.domena.cz a pak Subject alt name s URL domena.cz, pak je to nejvice spravne, opacne to neni totiz podle specifikaci.Setkal jsem se taky s tim, ze jako polozka CN byla pouzita "domena.cz/CN=*.domena.cz", to se pak nelibi nekterym prohlizecum.