Skocz do zawartości
SSL EV

[opinia] MSerwis i certyfikat SSL

Polecane posty

Witam.

 

Chciałbym ostrzec przed firmą MSerwis działającą pod domeną http://mserwis.pl

Firma MSerwis zajmuje się hostingiem oraz sprzedażą certyfikatów SSL, w tym najbardziej ekskluzywnej jego wersji SSL EV. Certyfikaty SSL EV są wydawane po dokładnej weryfikacji firmy. Koszt certyfikatu: ponad 1500 zł.

 

Na skutek niedbalstwa MSerwis straciłem w sumie około 2500 zł zamawiając certyfikat SSL EV, którym mogę sobie teraz d... wytrzeć.

 

Przed zamówieniem certyfikatu SSL EV zadzwoniłem do MSerwis i spytałem się jakich można spodziewać się wpadek przy weryfikacji firmy i ogólnie o uwagi odnośnie procedur, zagrożeń itd. Wytłumaczono mi, żebym dodał do "białej listy" domenę geotrust.com i aby dane domeny w bazie WHOIS zgadzały się z faktycznymi danymi firmy. Na tym doradztwo firmy MSerwis się skończyło.

 

"Zapomniano" mi wytłumaczyć, że:

1. prawnik potwierdzający dane firmy musi być wpisany w serwisie rejestr.adwokatura.pl/Kraiaa czyli nie może być to notariusz, który w Polsce służy właśnie do potwierdzania dokumentów. Koszt: prawie 1000 zł (notariusz + tłumaczenie ANG<->POL). Koszt zwykłego prawnika znającego angielski: 183 zł.

 

2. CSR (żądanie podpisania certyfikatu) powinno być wygenerowane dla WWW.nazwa_domeny a nie nazwa_domeny bo inaczej nie będzie działać dla standardu internetowego z WWW przed nazwą domeny.

 

Po wydaniu przez GeoTrust certyfikatu SSL EV zauważyłem błąd z brakiem WWW w domenie, który oczywiście zgłosiłem do MSerwis. Zażądano ode mnie zapłaty w wysokości 380 zł netto za anulowanie złego certyfikatu i wydanie nowego. Nie byłoby w tym nic dziwnego gdyby nie fakt, że GeoTrust wykonuje takie operacje bezpłatnie i "od ręki" bez zbędnych ceregieli. Po przepychance mailowej właściciel mSewis, Michał Spławski postanowił uciąć to tak:

 

"Proszę również o prowadzenie dalszej korespondencji wyłącznie w formie

pisemnej. Jednocześnie informuję, iż w przypadku dalszego zgłaszania

bezpodstawnych roszczeń wobec naszej firmy, będziemy zmuszeni, w trybie art.

189 k.p.c., wystąpić do sądu w celu ustalenia braku odpowiedzialności naszej

firmy oraz potwierdzenia wykonania usługi."

 

Jeśli więc ktoś natknie się na MSerwis, działającą na rynku usług internetowych podobno około 10 lat, zdecydowanie polecam omijanie ich szerokim łukiem. Każda złotówka wydana w tej firmie może być złotówką po prostu straconą.

 

Zostaliście ostrzeżeni.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość N3T5kY
Zażądano ode mnie zapłaty w wysokości 380 zł netto za anulowanie złego certyfikatu i wydanie nowego. Nie byłoby w tym nic dziwnego gdyby nie fakt, że GeoTrust wykonuje takie operacje bezpłatnie i "od ręki" bez zbędnych ceregieli.

To chyba nic dziwnego, trzeba było kupić bez pośredników.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mistrzu drogi, cała treść twojego posta zawiera jedną w zasadzie rzecz.

Dostałeś DOKŁADNIE to, co kupiłeś.

Czyli podpisanie swojego CSR'a.

 

A to, że nie orientujesz się, jak POPRAWNIE powinno wyglądać pole CN to cóż.

Za błędy swoje czasami trzeba zapłacić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A to, że nie orientujesz się, jak POPRAWNIE powinno wyglądać pole CN to cóż.

Za błędy swoje czasami trzeba zapłacić.

 

Zgadza się, za niewiedzę trzeba płacić komuś, kto powinien się na tym znać. Z tego powodu skorzystałem z oferty firmy MSerwis i zadzwoniłem do nich aby mi wszystko wyjaśniono. Niestety, "zapomniano" mi wyjaśnić 2 bardzo istotnych spraw, które omówiłem w pierwszym poście.

Wniosek - obojętne, czy się korzysta z usług firmy MSerwis czy nie, można popełnić te same błędy z powodu zerowego supportu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ad. 2

 

Nie masz racji firma MSerwis sprzedał Ci dokładnie to co chciałeś kupić. Skąd oni mieli wiedzieć, że chcesz certyfikat dla domeny www.domena.xx a nie dla domena.xx lub ssl.domena.xxx lub panel.domena.xx lub ........

 

Przecież to Ty wystawiasz CSR-a i w CSR określasz domenę i to że certyfikat będzie działał z daną domeną jest to podstawowa wiedza. Poza tym zawsze mogłeś wykupić Wilcard na *.domena.xx i wtedy będzie działał z każdą subdomeną (z www również.

 

Zadałeś firmie MSerwis pytanie: "Czy certyfikat na domena.xx będzie funkcjonował na www.domena.xx ?"?

Jeżeli nie to oni nie mają szklanej kuli żeby wiedzieć co chcesz mieć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ad. 2

Nie masz racji firma MSerwis sprzedał Ci dokładnie to co chciałeś kupić.

 

Raczej sprzedali mi dokładnie to, co zamówiłem a nie co chciałem kupić.

 

Skąd oni mieli wiedzieć, że chcesz certyfikat dla domeny www.domena.xx a nie dla domena.xx lub ssl.domena.xxx lub panel.domena.xx lub ........

 

Solidny sprzedawca, gdy najpierw się z nim konsultuje swój zakup powinien udzielić wszelkich informacji o produkcie. MSerwis widocznie sam nie wie co sprzedaje.

 

Przecież to Ty wystawiasz CSR-a i w CSR określasz domenę i to że certyfikat będzie działał z daną domeną jest to podstawowa wiedza. Poza tym zawsze mogłeś wykupić Wilcard na *.domena.xx i wtedy będzie działał z każdą subdomeną (z www również.

 

Nie można wygenerować CSR dla *.nazwa_domeny w przypadku certyfikatu SSL Extended Validation natomiast wygenerowanie CSR dla www.nazwa_domeny.pl obejmuje również nazwa_domeny.pl .

Niestety, o tym dowiedziałem się po wydaniu certyfikatu. MSerwis nie udziela w tym temacie żadnych wyjaśnień, na ich stronie WWW nie ma żadnych informacji o tej 'drobnostce'. Firma GeoTrust jest zaskoczona tym faktem a koszt poniosłem ja.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Solidny sprzedawca, gdy najpierw się z nim konsultuje swój zakup powinien udzielić wszelkich informacji o produkcie. MSerwis widocznie sam nie wie co sprzedaje.

Jedynym zadaniem MSerwisu jest podpisanie twojego CSRa walidując jednocześnie dane firmy.

I uwierz mi, na prawdę nie jest jego zadaniem dumanie, czy oby klient nie chce czegoś innego, niż zamówił.

Bo skoro chce certyfikat dla CN=DOMENA.PL to chce dla takiego, a nie dla CN=WWW.DOMENA.PL.

Jeśli dane we whois będą się zgadzały, to i csr z CN=kubuspuchatek.domena.pl nie powinien ich nic obchodzić.

 

To tak jak z domenami - jak zamawiam sobie fiercio.com.pl, to znaczy, że interesuje mnie com.pl, a nie fiercio.biz.pl; fiercio.waw.pl; czy też i fiercio.pl.

 

A tak już zupełnie poza tematem - to niezbyt zalecane jest stosowanie certyfikatów ssl postaci WWW.domena.pl - zwłaszcza, gdy pod portem 80 będzie krył się też normalny HTTP.

A czemu? Hint: sslstrip

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jedynym zadaniem MSerwisu jest podpisanie twojego CSRa walidując jednocześnie dane firmy.

I uwierz mi, na prawdę nie jest jego zadaniem dumanie, czy oby klient nie chce czegoś innego, niż zamówił.

 

Sorry, ale wymyślasz rzeczy, które w przypadku MSerwis nie istnieją.

 

Zadaniem MSerwis nie jest podpisanie mojego CSR'a ani walidacja danych firmy. Są pośrednikiem (resselerem) pomiędzy mną a GeoTrust. Są tzw. billing kontaktem. Wystawiają fakturę za certyfikat i powinni porządnie obsługiwać całość (poinformować, wyjaśnić itd). Niestety, klient jest pozostawiony samemu sobie. MSerwis bierze pieniądze i w zasadzie nic konkretnego nie robi.

 

Pełną obsługę, o której wspominasz, realizuje np. firma http://ctinet.pl . W tej chwili nawet taniej od firmy MSerwis. CTINET bierze komplet dokumentów od firmy i sama załatwia reszte z GeoTrust. Ja musiałem to załatwiać sam, co opisałem w pierwszym poście. Z powodu braku informacji od MSerwis certyfikat zamiast kosztować mnie około 1700 zł kosztował mnie prawie 2700 zł. Na dodatek mam certyfikat, który działa tylko na nazwę domeny bez WWW czyli jest do bani.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Osoby zainteresowane poruszoną tu sprawą informuję, że firma MSerwis została zobowiązana przez GeoTrust do zwrotu pieniędzy za zły certyfikat. Niestety, pieniądze nie zostały zwrócone.

 

GeoTrust w związku z tym wydało mi bezpłatnie nowy, poprawny certyfikat SSL EV. Sprawa zajęła mi w sumie 22 dni kalendarzowe. W tym czasie byłem zmuszony rozmawiać i prowadzić korespondencję z kilkunastoma osobami.

Niech ten wątek będzie ostrzeżeniem dla osób, które w jakikolwiek sposób zetkną się z firmą MSerwis aby nie korzystać z ich usług.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ciesze się, że autor odkopał wątek, bo miałem się w nim wypowiedzieć, a o czym ( oczywiście B) ) zapomniałem.

@Fiercio:

 

Wiesz, wydaje mi się, że ostro przegiąłeś.

Ja, jako administrator z dość dużym doświadczeniem stałem się człowiekiem potrafiącym

w wielu wypadkach na pniu wygenerować wiele potencjalnych problemów wynikających ze specyfikacji klienta.

Przykładowo ( losowo ): zwrócę uwagę na fakt, że Kimsufi z Celeronem to zły pomysł pod shared hosting,

że HP DL380 z 3 dyskami na krzyż nie powinien się znajdować w specyfikacji jako "macierz",

a facet który chce otworzyć klon NK nie potrzebuje na start 1 Gbps łącza.

Często zdarza mi się zamykać klientowi usta nim zdąży wymyślić jakąś rzecz, która może "zabić" jego biznes.

To jest mój najważniejszy obowiązek.

Klient nie płaci za moją znajomość Linux'a, bo sam jest w stanie ją nabyć,

ale właśnie za doświadczenie i bycie zawsze krok przed nim.

 

Jeśli ktoś sprzedaje certyfikaty SSL, na dodatek najdroższe typu "zielona belka",

a i ma okazję porozmawiać z klientem przez telefon, to sorry... jego psim obowiązkiem

jest klientowi powiedzieć absolutnie wszystko - więcej niż on sam chce wiedzieć.

 

Reasumując: zgadzam się z autorem, że w tej firmie kupować certyfikatów SSL nie warto. Amatorka...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja kupiłem - wszystko ok, poza ceną - za wysoka, ostatnio widziałem kilka gorących ofert na certyfikaty SSL i na pewno odnawiać u nich nie będę. Ale amatorki przy zakupie nie było.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja kupiłem - wszystko ok, poza ceną - za wysoka, ostatnio widziałem kilka gorących ofert na certyfikaty SSL i na pewno odnawiać u nich nie będę. Ale amatorki przy zakupie nie było.

 

Moze sie nauczyli na powyzszym przykladzie i tak jak to bellerofont napisal:

jego psim obowiązkiem

jest klientowi powiedzieć absolutnie wszystko - więcej niż on sam chce wiedzieć.

Wydaje mi sie,. ze wywiazali sie z tego obowiazku.

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zgadam sie co do tego że firma Mseriws jest nieżetelna. Zakupiłem najtanszy certyfikat rapidssl w sumie za 114,51 PLN na dwa lata i nie działa on pod Androidem na przeglądarce Chrome. Efekt jest taki jak bym sam sobie podpisał certyfkat i dodał jego wyjątek bezpieczeństwa. Co do prefixu www to nie sprawdzałem tego ale serwer www Apache za pomocą mod_rewrite pozwala zmieniać wygląd URL i przekierowywać strony na inne adresy. A więc nie jest prawdą najprawdopodnobniej to że jak sie zakupi domene bez www, na co wskazuje pole "nazwa domeny" przy rejestracji opcjonalnie FQDN czyli z www a nie nazwa domeny istnieje nieścisłość w słownictwie informatycznymbo zakupiona domena o ktorej wszyscy myslimy po jej zakupie nie równa się fqdn z www ktory jest nietylko prefixem dla nazwy wirtualnego hosta po którym następuje domena oraz tld, to nie da jej sie przekierowac na www. Wiec jest to wyciąganie kasy od nieświdomych urzytkowników z informacji na Internecie wynika że geotrust nie jest zaufany również na innych urządzeniach mobilnych w tym IOS Apple ( Ipad Iphone) oraz Windows Phone nie mialem tego okazji sprawdzic z racji tego ze nie jestem osoba zamozna i nie kupuje wszystkich nowych urzadzen mobilnych ale to w gestii sprzedajacego jest by sprzedac w pelni dzialajacy towar lub usluge.

 

Jestem w trakcie pisania pozwu przeciwko fimie o oszustwo jesli ktos chce sie dolaczyc mozemy zrobic pozew zbiorowy.

Co ciekawe na firme mserwis zostalem skierowany z firmy certs.pl ktora sama nie posredniczy w rapidssl a jest wysoko wypozycjonowana na fraze certyfikaty ssl w polskim Gooogle.

 

Moja Strona www.tomekmarszal.pl

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

pokaż nazwę domeny (podaj link do miejsca gdzie ssl jest zainstalowany),

rapid defaultowo nie podpisuje rekordu www jeśli nie poda się go w csr, dodatkowo z tego co piszesz wynika iż może być nieprawidłowo podpięte ca chain.

Bo tak szczerze powiedziawszy to BARDZO ciężko jest "źle" wystawić certyfikat, tym bardziej z geotrusta ... 99% rzeczy leży tu po stronie usera (klucz, csr, walidacja, instalacja), vendor w zasadzie tylko przesyła certyfikat.

 

Edytowano przez www.ionic.pl (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Twoja strona to www.tomekmarszal.pl, ale certyfikat kupiłeś dla tomekmarszal.pl.

Pozwać to zatem możesz tylko swoją pustą łepetynę, bo to tak, jak byś pozwał sklep z częściami moto,

że chciałeś lusterko lewe, sprzedali ci lewe, a ty masz pretensje, że nie da się go do prawych drzwi przykręcić ;)

  • Upvote 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czlowieku co ty kadzisz wylaczylem aktualnie ssl z powodu dos. Tak crt kupilem dla tomekmarszal.pl co oznacza ze moge sobie na mod rewrite w plikach apache htaccess lub httpd.conf w dyrektywie directory dac rewrite engine i regule i wzorzec co pozwala manipulowac w obie stony z www i bez www potrzebne jest przekierowanie na strone 301 serwera lub zwykle wyciecie kawalka url,a to forum jak bys nie wiedzial tez nie dziala na tabletach z andkiem co tak uparcie bronisz firmy mserwis i sprzedawanych w niej certyfikatow poczytaj popatrz jakie firmy sa zaufane w urzadzeniach z systemem Android Google od 4 do gory a nie czarujesz o ca czain bo jak ja czytalem o ipchains to ty bawiles w piaskowmnicy a ca mam dobrze podpiete bo na ff na tablecie chodzi tu chodzi o polityke google ktora jest sprytna i byle kogo do swoich patentow noe dopuszcza

Czlowieku co ty kadzisz wylaczylem aktualnie ssl z powodu dos. Tak crt kupilem dla tomekmarszal.pl co oznacza ze moge sobie na mod rewrite w plikach apache htaccess lub httpd.conf w dyrektywie directory dac rewrite engine i regule i wzorzec co pozwala manipulowac w obie stony z www i bez www potrzebne jest przekierowanie na strone 301 serwera lub zwykle wyciecie kawalka url,a to forum jak bys nie wiedzial tez nie dziala na tabletach z andkiem co tak uparcie bronisz firmy mserwis i sprzedawanych w niej certyfikatow poczytaj popatrz jakie firmy sa zaufane w urzadzeniach z systemem Android Google od 4 do gory a nie czarujesz o ca czain bo jak ja czytalem o ipchains to ty bawiles w piaskowmnicy a ca mam dobrze podpiete bo na ff na tablecie chodzi tu chodzi o polityke google ktora jest sprytna i byle kogo do swoich patentow noe dopuszcza

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

na ff na tablecie chodzi tu chodzi o polityke google ktora jest sprytna i byle kogo do swoich patentow noe dopuszcza

LoL! Jakich patentów?

 

Tak crt kupilem dla tomekmarszal.pl co oznacza ze moge sobie na mod rewrite w plikach apache htaccess lub httpd.conf w dyrektywie directory dac rewrite engine i regule i wzorzec co pozwala manipulowac w obie stony z www i bez www potrzebne jest przekierowanie na strone 301 serwera lub zwykle wyciecie kawalka url

Możesz, wszystko możesz, ale

https:///www.tomekmarszal.pl
będzie generowało ostrzeżenie, nawet jeśli robisz tylko rewrite z niego. W każdym razie, SSL na stronie

https://tomekmarszal.pl/
działa w Chrome 38 na Androidzie 4.4.4, ale nie jest EV.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

a nie czarujesz o ca czain bo jak ja czytalem o ipchains to ty bawiles w piaskowmnicy

Myślę, że to idealnie podsumowuje wiedzę autora na temat SSL/TLS i dalsze wyjaśnianie nie ma sensu.

Niech sobie pisze ten pozew, najwyżej biegli będą mieli stukrotny ubaw :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przepepraszam Ionic masz racje z tym ipchains przesadzilem ale to nie bylo do Ciebie tylko do kafi co sie wymandrza dziekuje wszystkim za dobre wskazowki. Posrawdzam doczytam i przygotuje sie do procesu mam na nich juz kilka hakow jak cos to any suggestions are welcome :-)

Dzieki

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×