Skocz do zawartości

Rekomendowane odpowiedzi

Cześć,

 

Jakie macie zdanie na temat certyfikatów SSL?

Czy darmowe certyfikaty LetsEncrypt/Comodo Free SSL/StartSSL są wystarczające do "zabezpieczenia" strony?

 

Kiedy Waszym zdaniem należy stosować certyfikaty EV?

 

Gdzie najlepiej zamawiać certyfikaty SSL, jeśli już decydujemy się na korzystanie z płatnych?

  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

W przyszłym rok wychodzi zaufanie certów z rodziny Symanteca (rapidy itp) przez Chroma (a raczej Google). Także będzie się działo :)

 

StartSSL czy coś podobnego już chyba na początku roku straciło zaufanie w przeglądarkach

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Od niedawna przeglądarki internetowe ostrzegają nas przed wysłanie formularza na niezabezpieczanej stronie. 

 

 

Certyfikat płatny brałbym tylko wtedy, gdy przez formularze na stronie przewijałby się setki danych wrażliwych dziennie (wystawca daje gwarancję),  w przeciwnym wypadku LE wystarczy. Bo de facto, jeśli szyfrowanie jest identyczne to nie ma znaczenia kto jest wystawcą. Niektórzy może mają pieniądze i nie chcą być kojarzeni z "darmochą" dlatego też wybierają rozwiązania płatne. 

Edytowane przez SomeGuy

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Niedawno wdrożyłem LE na własnej stronie i częściowo na stronach użytkowników. Przez strony nie przechodzą tony tajnych danych ale zdecydowałem się na wdrożenie LE w zasadzie tylko dlatego żeby nie nękały mnie komunikaty dotyczące zabezpieczeń, "miljardów rubli" które mogę stracić etc. Za jakiś czas Google będzie umieszczało w gorszych wynikach strony bez szyfrowania więc lepiej być wcześniej przygotowanym.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
5 godzin temu, SomeGuy napisał:

Certyfikat płatny brałbym tylko wtedy, gdy przez formularze na stronie przewijałby się setki danych wrażliwych dziennie (wystawca daje gwarancję)

 

OK, ale na co wystawca daje gwarancję?

 

Jeśli ktoś chce pokazać, że taniochy nie używa to oczywiście EV ma sens. Ponoć też gdzieś komuś konwersję podniósł zielony pasek, więc przynajmniej można próbować to jakoś uzasadniać. Ale płatny DV wziąłbym tylko, jeśli Let's Encrypt się nie sprawdzi (bo trzeba gdzieś certa ręcznie wgrywać na przykład).

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

@blfr W przypadku złamania  szyfru  wystawca zobowiązany jest wypłacić Ci odszkodowanie.

Edytowane przez SomeGuy

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
1 minutę temu, blfr napisał:

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

 

W to już nie wnikam :) Wszystko zależy od systemu, sposobu przechowywane i typu danych.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Ja używam Let's Encrypt. Starsze przeglądarki nas nie interesują, szyfrowanie jest takie samo , a komunikaty ostrzegające przed logowaniem na stronie znikają. Jak certyfikat zostanie złamany to kasa z ubezpieczenia będzie ostatnią rzeczą o jaką będę się troszczył.

 

Płatne DV brałbym gdybym musiał wgrywać certyfikat ręcznie lub zlecać supportowi, wtedy jakiś o dłuższym czasie ważności byłby mile widziany.

 

EV tylko do celów wizerunkowych lub na naprawdę poważne witryny: banki, instytucje finansowe itp 

Edytowane przez nnd.newbie

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

 

38 minut temu, blfr napisał:

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. [...]  

 

Nie za bardzo zrozumiałem... @blfr  jakbyś mi mógł wytłumaczyć...   najpierw napiszę to co wiem:

 

Certyfikacja SSL zapewnia poufność transmisji danych przesyłanych przez sieć... wystawca zapewnia, a właściwie daje gwarancje wypłaty odszkodowania w sytuacji kiedy  certyfikat zostanie złamany... lub inaczej: gdy  padniemy ofiarą ataku, który wykorzystał luki w zabezpieczeniach danego wystawcy, mamy możliwość ubiegania się o odszkodowanie...  i teraz pytanie:

 

Czy 'złamanie   szyfru certyfikacji SSL' nie zapewnia możliwości 'podsłuchu' transmitowanych danych, a co za tym idzie dostępu do nich?  Chce się upewnić bo nie do końca jest to dla mnie jasne z Twojej wypowiedzi.

 

38 minut temu, blfr napisał:

  [...] Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

 

Zgadza się odszkodowanie nie będzie   należne w przypadku zaniechań po stronie nabywcy lub firmy, która odpowiada za utrzymanie usług.

 

Edytowane przez szarik

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Czyli to jedno z tych ubezpieczeń obejmujących najbardziej nieprawdopodobne przypadki. Wątpliwa wartość za te kilkadziesiąt złotych i czas zmarnowany na przebijanie się przez interfejs jakiegoś CA, kiedy można użyć Let's Encrypt z klientem w systemowym repozytorium.

  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
3 minuty temu, blfr napisał:

Czyli to jedno z tych ubezpieczeń obejmujących najbardziej nieprawdopodobne przypadki. Wątpliwa wartość za te kilkadziesiąt złotych i czas zmarnowany na przebijanie się przez interfejs jakiegoś CA, kiedy można użyć Let's Encrypt z klientem w systemowym repozytorium.

 

Dokładnie :) 

 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeżeli przyjmiemy podstawowe założenia bezpieczeństwa przy generowaniu certyfikatu, czyli:

- klucz prywatny generujemy (prawie)doskonałym generatorem (pseudo)losowym na lokalnej bezpiecznej maszynie,

- urzędowi certyfikacyjnemu przekażemy jedynie skrót klucza, a nie cały klucz ,

to wtedy pod względem bezpieczeństwa transmisji KAŻDY certyfikat dokładnie tak samo zabezpiecza transmisję

(choć samo pojęcie "zabezpieczenia transmisji" przez certyfikat jest lekko naciągane i uproszczone)

niezależnie od tego, czy jest to selfsigned, czy Let's Encrypt, Comodo czy też Verisign.

 

Bo elementem "zabezpieczającym" transmisję jest modulus/klucz publiczny, który strukturalnie certyfikacie jakiegokolwiek wystawcy jest po prostu tym, co użytkownik prześle, żeby wystawca tam wstawił.

 

Tyle jeśli chodzi o same aspekty kryptograficzne.

 

Natomiast pytanie - czym zatem różnią się poszczególne urzędy certyfikacji? Właściwie to jednym aspektem, wynikającym wprost z tego, po co zostały powołane - czyli ZAUFANIEM.  I to różnymi poziomami tego zaufania.  Pierwszy to poziom dostawców technologii, którzy stwierdzają, że ich klienci mogą zaufać certyfikatom wydanym z tego i tamtego źródła. Drugi poziom to sam użytkownik, który może własnoocznie sprawdzić, kto wystawił certyfikat i mu zaufać lub nie.

 

Taki Let's Encrypt na przykład, ze względu także na swój crossign, nie jest zaufany na szczególnie starszych platformach.

WoSign / StartCom przez swoje "szwindle" przestał być zaufany na nowych platformach.

 

A jeśli chodzi o to własnooczne sprawdzenie - świadomy użytkownik widząc Let's Encrypt przy logowaniu do serwisu transakcyjnego banku intuicyjnie sprawdzi, czy nie padł ofiarą jakiegoś szwindlu (np. ataku MITM albo jakiejś unicodowej "homoglyphowej" - nie wiem jak to przetłumaczyć na język polski - odmiany nazwy domeny zabezpieczonej prawidłowym (kryptograficznie) certyfikatem - bo ranga wystawcy nie będzie pasowała do rangi serwisu docelowego.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Do szyfrowania strony wizytówki itp to uznaję lets encrypt, ale nie wyobrażam sobie podawania danych karty kredytowej czy innych danych wrażliwych na tym certyfikacie.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
12 minut temu, Przemek Jagielski napisał:

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

 

W zasadzie to nie ma takiej możliwości.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jedynie w jakimś intranecie z polityką grup w sieci, gdzie cert byłby z góry dodany do zaufanych. 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
W dniu 9/18/2017 o 12:04, Poziomecki napisał:

Do szyfrowania strony wizytówki itp to uznaję lets encrypt, ale nie wyobrażam sobie podawania danych karty kredytowej czy innych danych wrażliwych na tym certyfikacie.

 

Dlaczego?

 

Procedura weryfikacji przy DV jest wszędzie praktycznie taka sama. Parametry samego połączenia zależą od konfiguracji serwera, na którą wystawca certyfikatu nie ma wpływu. Co za różnica, którego certyfikatu używa operator strony?

 

W dniu 9/21/2017 o 22:32, Przemek Jagielski napisał:

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

 

Można, jeśli kontrolujesz klienta. Na przykład, jeśli użytkownicy wykorzystują Twoją aplikację mobilną do łączenia się z Twoim serwerem. W tej sutacji własny certyfikat albo własne CA zaszyte w aplikacji jest najbezpieczniejszym rozwiązaniem.

  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Wyobrażasz sobie paypala czy bank z lets encrypt?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Wyobrażasz sobie paypala czy bank z lets encrypt?
Tu powinno być pytanie: czy wyobrażasz sobie PayPal czy bank z ceryfikatem DV?

Więc nie, po to są EV. Natomiast jeśli chodzi o to gdzie wystarczy DV to ja nie widzę wielkiej różnicy pomiędzy Let's Encrypt a innymi certyfikatami DV. Poziom bezpieczeństwa ten sam, weryfikacja podobna.

Czemu dyskusje na temat Let's Encrypt szybko się zamieniają w dyskusję Let's Encrypt kontra EV?
  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Różnica między DV a lets encrypt jest taka że masz gwarancję i nie pierdzielisz się co 3 miesiące z odnowieniem czy problemami, które mogą z niej wyniknąć i nagle jest przerwa w dostępie do strony. Naprawdę lets encrypt nie zawsze działa idealnie (samo odnowienie). Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Sklepy internetowe moim zdaniem też powinny mieć EV, ale większość ma DV albo właśnie lets encrypt do którego nie jestem przekonany.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
12 minut temu, Poziomecki napisał:

Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Wszystko chyba zależy od tego w jaki sposób robisz weryfikację, czy tworząc fizycznie plik w folderze strony, czy robisz to przez dyrektywy w plikach konfiguracyjnych vhosta.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
39 minut temu, Poziomecki napisał:

Różnica między DV a lets encrypt jest taka że masz gwarancję i nie pierdzielisz się co 3 miesiące z odnowieniem czy problemami, które mogą z niej wyniknąć i nagle jest przerwa w dostępie do strony. Naprawdę lets encrypt nie zawsze działa idealnie (samo odnowienie). Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Dlatego odnowienie robisz automatycznie miesiąc przed wygaśnięciem certyfikatu, monitorujesz i reagujesz, jeśli nie zadziała, mając cztery tygodnie zapasu i żadnej przerwy w dostępie do strony. Ale zazwyczaj działa, więc nie ma żadnego "pierdzielenia się". Całość nie wymaga w ogóle żadnej ręcznej interwencji.

Edytowane przez blfr
  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Nie wiem nie pasują mi i tyle. Moja opinia jest taka jak wygłosiłem na początku :) Na wizytówki, bloga, forum, stronę z pornosami :D to tak. Dla sklepów itp. już nie :)

A takie monitorowanie i dbanie co 2 miesiące o ten certyfikat jest dla mnie pierdzieleniem :)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

DirectAdmin dodaje alias, więc nawet .htaccessy klientów mu nie straszne. Certyfikat zawsze można ręcznie też przedłużyć, raczej "pierdzielenia się" z tym nie ma. Ale to jak kto woli, DVki od comodo czy rapida na rok to tak naprawdę grosze, więc jak ktoś chce mieć święty spokój na rok, to nie widzę w tym nic złego. 

  • Lubię 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • Przez danielbdrozdz
      Od dziś 24.11 do poniedziałku 27.11 obniżamy ceny wszystkich certyfikatów SSL o 20%. Wszystkich.
      https://certyfikatyssl.pl/black-days.html
    • Przez Artur Pajkert Hekko.pl
      Cześć,
       
      W tym wątku będziemy publikować oficjalne informacje o ważnych zmianach, specjalnych ofertach, istotnych modyfikacjach technicznych, kodach promocyjnych itp. - zgodnie z tematem wątku.
       
      A że dzisiaj Black Friday, to oficjalnie w dniu dzisiejszym:
       
      nowy hosting -90% z kodem H90ALBLF17 rejestracja domeny -70% z kodem D70MLKBD17 nowy VPS OPENVZ -50% z kodem V50OPBLW17 nowy VPS KVM -50% z kodem V50KVBLW17 rejestracja SSL -25% z kodem S25MLBLW17  
      Liczba usług w każdej grupie ograniczona zgodnie z informacjami na stronie.
    • Przez Rafx
      Witam na nowym forum
       
      Chciałbym zmienić hosting z hekko za który płacę obecnie coś około 117 zł, czyli po podniesieniu cen opcja Start+ na jakiś hosting, który obsługuje let's encrypt. 
      Zastanawiam się nad tymi:
      mydevil - md1 za 150 zł
      kei - hosting start ssd za 123 zł
      zenbox - 5k za 150 zł
      atthost - professional za 79 zł
       
      Z tego co mi wiadomo to każda z ofert posiada let's encrypta, ale mogę się mylić. Najkorzystniej cenowo wygląda atthost, ale może warto zapłacić więcej i mieć lepsze warunki. Co jeszcze moglibyście polecić? Najlepiej jakieś większe firmy tak jak te wymienione.
       
      Pozdrawiam,
      Rafał
       
    • Przez sprintdatacenter.pl
      Witam serdecznie
       
      Zapraszam do zapoznania się z naszą nową odsłoną strony www.sprintdatacenter.pl , a w niej:
       
      - nowe linie serwerów dedykowanych - procesory V4, V6, dyski SSD 1 TB
      - serwery VPS - serwery wirtualne z potrójną replikacją danych, wirtualizacja KVM, pełen dostęp/root
      - certyfikaty SSL
      - nowy panel zarządzania
       
      Trwające promocje:
      - "VPS na start" - VPS w obniżonej cenie -90% przez dwa pierwsze okresy rozliczeniowe- VPS już od 3 zł netto/mc
      - "Wakacyjne last minute" - dla nowych klientów serwery dedykowane z procesorami V2 w obniżonej cenie -25 % - na zawsze. 
       
      Zapraszamy do skorzystania z naszych usług www.sprintdatacenter.pl

       
      Zapraszamy do kontaktu
      Sprint Data Center
      mail: info@sprintdatacenter.pl
      tel. 696 021 304 / 895221220
       
       
    • Przez home_pl
      W tym temacie będziemy informować o wszystkich zmianach w zakresie parametrów usług, zmianach ofertowych, planowanych pracach administracyjnych.
       
      Główny serwis home.pl jest dostępny pod adresem https://home.pl
      Nowa platforma z nowym panelem administracyjnym jest już w fazie testów. Zapraszam na https://beta.home.pl - na betatesterów czekają wybrane usługi za darmo do końca roku oraz specjalne promocje na rejestracje domen .pl oraz .online.
       
  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.