GoldenLine
Zaloguj się
Janusz J.

Janusz J. Web Developer & Web
Designer

Temat: Jaki certyfikat SSL i gdzie go kupić?

Mam pytanie jaki certyfikat kupić dla sklepu internetowego, którego
miesięczne obroty to 10-40 tys. zł ?

Rozważam:

- RapidSSL (z gwarancją 10 000$ )
- QuickSSL
- QuickSSL Premium(z gwarancją 100 000$)



Drugie pytanie to gdzie go kupić? Czy ma to jakieś znaczenie?

W Polsce oferty są droższe niż na zachodzie.

Najbardziej atrakcyjne ceny znalazłem tutaj:
http://www.theplanet.com/hosting-products/ssl/

W Polsce: https://www.gigaone.pl/certyfikaty-ssl/rapidssl/
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

http://certum.pl

http://verisign.com

i np http://thawte.com :)
Link do wypowiedziLink
Rafał S.

Rafał S. specjalista IT, HP
Polska

Temat: Jaki certyfikat SSL i gdzie go kupić?

A co powiesz na http://www.cacert.org/
Link do wypowiedziLink
Paweł Chwalibóg

Paweł Chwalibóg CEO & Event Director
w Biuro Rekordów |
SEO Consultant

Temat: Jaki certyfikat SSL i gdzie go kupić?

Również poszukuję dobrego certyfikatu SSL dla sklepu internetowego. Czy mógłby ktoś polecić jakieś firmy, którym warto zaufać?
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

Certyfikat certyfikatem ale to i tak niewiele da skoro debilny ie zaufane ma tylko verisign, wlasne ms$ i nie pamietam jaki jeszcze 1 (bo na szczescie nie uzywam ie ;P).
Tak wiec efekt bedzie taki ze bedziesz mial swietny certyfikat a zwyklemu userowi i tak bedzie sie wyswietlac blad certyfikatu :/ User bedzie musial dodac certyfikat CA zeby to sensownie dzialalo. Ten sam efekt mozesz uzyskac za darmo samemu generujac certyfikat i podpisujac go przez CA swojego sklepu.
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Jaki certyfikat SSL i gdzie go kupić?

Certyfikat jest podpisanym kluczem publicznym + dodatkowe informacje (ca lej teorii nie będę wykładał), więc warto go podpisać przez firmę, która jest zaufana (czyli jej certyfikat jest zarejestrowany w przeglądarce waszego klienta, w innym wypadku użytkownik musi sobie go sobie „zarejestrować”).
Wystarczy zobaczyć jakich firm certyfikaty są rejestrowane w przeglądarce na etapie instalacji i wybrać dostawcę najbardziej ekonomicznego kosztowo.
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

Adam Danieluk:
Certyfikat jest podpisanym kluczem publicznym + dodatkowe informacje (ca lej teorii nie będę wykładał), więc warto go podpisać przez firmę, która jest zaufana (czyli jej certyfikat jest zarejestrowany w przeglądarce waszego klienta, w innym wypadku użytkownik musi sobie go sobie „zarejestrować”).
Wystarczy zobaczyć jakich firm certyfikaty są rejestrowane w przeglądarce na etapie instalacji i wybrać dostawcę najbardziej ekonomicznego kosztowo.

to jest to samo co napisalem ujete w inne slowa :)
tak jak napisalem z powodu udzialu internet explorera w rynku stawiajac sklep nie ma sie wielkiego wyboru :/ pozostaje tak naprawde verisign. gdyby olac userow ie to w operze czy firefoxie mamy do dyspozycji po kilkadziesiat zaufanych CA (nawet polskie ;P).
Link do wypowiedziLink
Aleksander Godziło-Godlewsk i

Aleksander
Godziło-Godlewsk
i Senior Sysadmin

Temat: Jaki certyfikat SSL i gdzie go kupić?

W grę wchodzą tak wielkie pieniądze, że aby się dostać do tej listy w konkretnej przeglądarce, firmy takie jak Verisign płacą słono a potem słono nas kasują.

Co do generowania własnego ROOT CA i dystrybuowania jego certyfikatu dla klientów, otrzymują oni jedynie mechanizm szyfrowania transmisji (przeglądarka<- ->serwer) a NIE mechanizm poświadczający, że firma/sklep o którym pisał autor wątku, jest w rzeczywistości firmą za którą się podaje.

Dobrze by było nie podsuwać takich pomysłów, bo osoby stawiające pierwsze kroki w "tych sprawach" (nie mam tu na myśli autora wątku) przeczytają to, uznają że po co przepłacać - Dosia wystarczy a ich przychody ze sklepu internetowego w którym wprowadzą ten mechanizm drastycznie mogą spaść :-)
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

no wlasnie. co myslicie o http://cacert.org ? ? ? ?

albo o http://www.openssl.org

Pozdrawiam,wojciech szUNEJA edytował(a) ten post dnia 10.12.08 o godzinie 14:24
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

w sumie przyznam ci racje. zakladajac takie zyski jak autor zaklada warto zainwestowac w certyfikat verisign. zdaje sie najtansza wersja na rok kosztuje w tej chwili kolo 400$ najbardziej wypasiona 1500$. i jesli wogole kupowac to chyba tylko verisign zeby nie miec problemu z przegladarkami.
natomiast mimo wszystko trzeba dobierac rozwiazanie do potrzeb i z tym sie mysle zgodzisz. np w naszym przypadku wystawilismy sklep dla stalych klientow zeby ulatwic im i sobie zycie. w tedy glownym celem bylo zabezpieczenie transmisji przez szyfrowanie a certyfiakt podpisalismy swoim ca.
w tym momencie klient ma pewnosc ze kupuje w naszym sklepie bo dostaje od nas certyfikat ktory podpina w przegladarce i wie ze my to my a nie inna firma.
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

Ja polecam C.O.M.O.D.O site : http://www.comodo.com/
Wychodzi relatywnie taniej, ceny za same SSL- zaczynają się od 64$ za 1 domenę na rok, a w swojej ofercie mają mnóstwo innych certyfikatów, również na usługi Microsoftowe.
Link do wypowiedziLink
Maciej Wiśniewski

Maciej Wiśniewski bezpieczeństwo
teleinformatyczne,
zarządzanie
bezpieczeńs...

Temat: Jaki certyfikat SSL i gdzie go kupić?

Aleksander Godziło-Godlewski:
Co do generowania własnego ROOT CA i dystrybuowania jego certyfikatu dla klientów, otrzymują oni jedynie mechanizm szyfrowania transmisji (przeglądarka<- ->serwer) a NIE mechanizm poświadczający, że firma/sklep o którym pisał autor wątku, jest w rzeczywistości firmą za którą się podaje.

Dobrze by było nie podsuwać takich pomysłów, bo osoby stawiające pierwsze kroki w "tych sprawach" (nie mam tu na myśli autora wątku) przeczytają to, uznają że po co przepłacać - Dosia wystarczy a ich przychody ze sklepu internetowego w którym wprowadzą ten mechanizm drastycznie mogą spaść :-)

Sytuację "jedynie mechanizm szyfrowania transmisji" mamy w przypadku certyfikatu "self-signed", podpisanemu przez serwer. Jeśli dostarczymy użytkownikowi korzystającego z serwisu nasz certyfikat CA, którym uprzednio podpisaliśmy certyfikat serwera to będzie to już mechanizm poświadczenia autentyczności.
Problem tylko w tym, że rozwiązanie takie sprawdzi się właściwie tylko wtedy, jeśli znamy grupę użytkowników korzystających z serwisu. Konkretnie jest ona dość wąska i zgodzi się na
zainstalowanie certyfikatu naszego CA w swoich przeglądarkach/systemach operacyjnych. Jeśli budujemy serwis dla przypadkowego użytkownika Internetu to takie rozwiązanie raczej nie wchodzi w grę.Maciej Wiśniewski edytował(a) ten post dnia 10.02.09 o godzinie 14:23
Link do wypowiedziLink
Jakub G.

Jakub G. PL/I, COBOL
Programmer

Temat: Jaki certyfikat SSL i gdzie go kupić?

Maciej Wiśniewski:
Aleksander Godziło-Godlewski:
Co do generowania własnego ROOT CA i dystrybuowania jego certyfikatu dla klientów, otrzymują oni jedynie mechanizm szyfrowania transmisji (przeglądarka<- ->serwer) a NIE mechanizm poświadczający, że firma/sklep o którym pisał autor wątku, jest w rzeczywistości firmą za którą się podaje.

Dobrze by było nie podsuwać takich pomysłów, bo osoby stawiające pierwsze kroki w "tych sprawach" (nie mam tu na myśli autora wątku) przeczytają to, uznają że po co przepłacać - Dosia wystarczy a ich przychody ze sklepu internetowego w którym wprowadzą ten mechanizm drastycznie mogą spaść :-)

Sytuację "jedynie mechanizm szyfrowania transmisji" mamy w przypadku certyfikatu "self-signed", podpisanemu przez serwer. Jeśli dostarczymy użytkownikowi korzystającego z serwisu nasz certyfikat CA, którym uprzednio podpisaliśmy certyfikat serwera to będzie to już mechanizm poświadczenia autentyczności.
Problem tylko w tym, że rozwiązanie takie sprawdzi się właściwie tylko wtedy, jeśli znamy grupę użytkowników korzystających z serwisu. Konkretnie jest ona dość wąska i zgodzi się na
zainstalowanie certyfikatu naszego CA w swoich przeglądarkach/systemach operacyjnych. Jeśli budujemy serwis dla przypadkowego użytkownika Internetu to takie rozwiązanie raczej nie wchodzi w grę.Maciej Wiśniewski edytował(a) ten post dnia 10.02.09 o godzinie 14:23
Dokładnie tak jest jak napisał kolega po fachu.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Jaki certyfikat SSL i gdzie go kupić?

Tak nawiasem mowiac - certyfikat to jedna sprawa, ale warto sobie dobrze skonfigurowac SSL-a - niestety domyslne konfiguracje w apache/IIS sa niezbyt dobre.

Przykladowo dump z jednego z wiekszych sklepow w Polsce (nazwe hosta zmienilem ;)

openssl s_client -connect example.yyyy:443 -ssl2 -cipher EXPORT40

---
SSL handshake has read 993 bytes and written 235 bytes
---
New, SSLv2, Cipher is EXP-RC2-CBC-MD5
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv2
Cipher : EXP-RC2-CBC-MD5
Session-ID: 3EABE81F2F895480869AFB51BBE627E7
Session-ID-ctx:
Master-Key: A80C4AD61BA0AEFE7F1FE6F5C37D8E28
Key-Arg : FBA7CCD79B360D8D
Start Time: 1235642643
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)

Udalo sie wynegoclowac 40 bitowy RC2 + SSL2 - nie jest to zbyt silna metoda szyfrowania :-)

Innymi slowy na tak "zabezpieczony" serwis mozna stosowac ataki man in the middle - i deszyfrowac cala komunikacje (mimo tego ze jest piekny certyfikat wystawiony nawet przez najdrozsza firme i ze w przegldarce pojawia sie "klodeczka").

--
http://securitum.pl
Link do wypowiedziLink
Jakub Graczyk

Jakub Graczyk Administrator
Systemów Linux/Unix

Temat: Jaki certyfikat SSL i gdzie go kupić?

Michał Sajdak:
Tak nawiasem mowiac - certyfikat to jedna sprawa, ale warto sobie dobrze skonfigurowac SSL-a - niestety domyslne konfiguracje w apache/IIS sa niezbyt dobre.

To prawda. Dlatego ja polecam http://www.polcert.pl. Po zakupie certyfikatu można liczyć na fachową pomoc przy instalacji certyfikatu i konfiguracji SSL na serwerze. A same certyfikaty serwera są rozpoznawane jako zaufane przez większość przeglądarek internetowych.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Jaki certyfikat SSL i gdzie go kupić?

Jakub Graczyk:
Michał Sajdak:
Tak nawiasem mowiac - certyfikat to jedna sprawa, ale warto sobie dobrze skonfigurowac SSL-a - niestety domyslne konfiguracje w apache/IIS sa niezbyt dobre.

To prawda. Dlatego ja polecam http://www.polcert.pl. Po zakupie certyfikatu można liczyć na fachową pomoc przy instalacji certyfikatu i konfiguracji SSL na serwerze. A same certyfikaty serwera są rozpoznawane jako zaufane przez większość przeglądarek internetowych.

Nie no OK, choc na ich secure.polcert.pl mozna wynegocjowac 40 bitowy RC2 + esesel dwójke...... ;-)
Link do wypowiedziLink

konto usunięte

Temat: Jaki certyfikat SSL i gdzie go kupić?

ja musze kilka rzeczy sprostowac :/ rzeczywiscie szanowny internet explorer po ostatnich aktualizacjach certyfikatow mozno rozszerzyl liste zaufajnych ca...
i tak jak do tej pory korzystalismy z wlasnego certyfikatu przez siebie podpisywanego tak zdecydowalismy sie na rapidssl. kosztuje tyle co nic do tego kupowalismy przez http://gigaone.pl bo nasz dyr finansowy ma ale do zagramanicznych fv :P bylo tak tanio ze kupilsimy sobie jeszcze jeden cert rapidssl wildcard na rozne pomniejsze servy wewnatrz lanu.

co do zabezpieczen serwerow to faktycznie roznie to bywa i pewnie tez dla zgodnosci z roznymi starymi przegladarkami zostawiane jest nizsze szyfrowanie jako zlo konieczne. inna slaboscia jest wykorzystywanie md5 przez niektorych wystawcow ktory zostal niedawno zlamany...
Link do wypowiedziLink
Michał Jędryka

Michał Jędryka Inżynier ds. sieci i
ich zabezpieczenia

Temat: Jaki certyfikat SSL i gdzie go kupić?

THAWTE, proszę zwrócić uwagę na pojęcie wildcard SSL certificates - https://www.thawte.com/ssl-digital-certificates/wildcar...Michał Jędryka edytował(a) ten post dnia 03.06.09 o godzinie 19:08
Link do wypowiedziLink
Piotr Baranowski

Piotr Baranowski RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl

Temat: Jaki certyfikat SSL i gdzie go kupić?

..:
no wlasnie. co myslicie o http://cacert.org ? ? ? ?

Sam używam, jestem notariuszem CACert, pokazuję swoim kursantom ale niestety dla "gawiedzi" to nie jest rozwiązanie.

https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158

Cała dyskusja a szczególnie komentarz 158 wiele wyjasniają.

CACert jest raczej dla specjalistów, geeków, wyjadaczy.

Gdybyś sprzedawał geektoys, miał bazar exploitów albo jakieś guru-level forum, wtedy CACert jest super. Poziom edukacji potencjalnych gości pozwalałby na domniemanie, że zrozumieją, docenią i nie dadzą sobie krzywdy zrobić.

Zwykła gawiedź zdurnieje widząć jakieś RootCA Level3 cośtam-cośtam i pojdzie do innego serwisu.

Nie chcesz zwiększać bounce rate? Zapłać frycowe i uzywaj certyfikatu z wielkiej piątki.

Stać cię na bycie rebeliantem? Uzywaj CaCert.

DIVI
Link do wypowiedziLink
Przemysław Paszczak

Przemysław Paszczak Sprawdź kompetencje
zawodowe na zywo
zanim stwierdzisz
ze...

Temat: Jaki certyfikat SSL i gdzie go kupić?

Aleksander Godziło-Godlewski:
W grę wchodzą tak wielkie pieniądze, że aby się dostać do tej listy w konkretnej przeglądarce, firmy takie jak Verisign płacą słono a potem słono nas kasują.

Co do generowania własnego ROOT CA i dystrybuowania jego certyfikatu dla klientów, otrzymują oni jedynie mechanizm szyfrowania transmisji (przeglądarka<- ->serwer) a NIE mechanizm poświadczający, że firma/sklep o którym pisał autor wątku, jest w rzeczywistości firmą za którą się podaje.

Dobrze by było nie podsuwać takich pomysłów, bo osoby stawiające pierwsze kroki w "tych sprawach" (nie mam tu na myśli autora wątku) przeczytają to, uznają że po co przepłacać - Dosia wystarczy a ich przychody ze sklepu internetowego w którym wprowadzą ten mechanizm drastycznie mogą spaść :-)

Bzdury Pan pleciesz, skoro IE wykrywa tylko certyfikaty Verisign i MS to w czym problem skorzystać z własnego CA ? przecież użytkownik i tak musi zainstalować certyfikaty innych firm i tak, więc i dlaczego nie prywatny, nie gra to w tym momencie żadnej różnicy skoro IE ich nie obsługuje tak samo jak prywatnych, nie obsługuje w sensie, że są zaufane;p
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

jaki certyfikat SSL wybrać?




Wyślij zaproszenie do
Anuluj