Skocz do zawartości

Polecane posty

Witam, potrzebuję taniego certyfikatu SSL dobrze rozpoznawalnego na przeglądarkach desktopowych i mobilnych.
Gdzie najtaniej?
Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Adam Szendzielorz

Witam, potrzebuję taniego certyfikatu SSL dobrze rozpoznawalnego na przeglądarkach desktopowych i mobilnych.

Gdzie najtaniej?

U nas Let's Encrypt za darmo, generowane i konfigurowane jednym klikiem, odnawiane automatycznie. Z tym, że musisz być naszym klientem (tj. dokładnie to domena na którą generujesz certyfikat musi wskazywać na IP naszych serwerów).

pozdr.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To ja przy okazji dopytam tutaj zorientowanych, bo mnie interesuje kupno taniego certyfikatu RapidSSL, który umożliwia zabezpieczenie połączenia dla adresu z oraz bez www w nazwie domeny: czy jeśli będę generował CSR potrzebny do certyfikatu to nazwę domeny mam wpisać pełną, to jest z www (przykładowo: www.nazwadomeny.com)? I czy taki certyfikat zadziała też, gdy ktoś w przeglądarce wpisze nazwadomeny.com?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Certyfikat jest albo dla jednej domeny albo dla domeny oraz subdomen. Certyfikat zwykły chroni tylko jedną domenę (może być to zarówno domena.pl lub sub.domena.pl). Jeśli chcesz chronić wszystkie subdomeny i domene główna musisz mieć certyfikat wilcard

Zeby wygemerowac csr do wilcard dla twojej domeny musisz wpisać jako nazwę domeny:

*.twojadomena.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Certyfikat może obejmować kilka konkretnie wskazanych domen (SAN). Nie musisz kupować wildcarda, żeby mieć na jednym certyfikacie example.com i www.example.com, a nawet zestaw w rodzaju: www.example.com, mail.example.com, cokolwiekinnnego.innadomena.pl.

 

Ale nie warto go kupować. Darmowe Let's Encrypt jest lepsze niż obecnie sprzedawane certyfikaty DV, bo masz SAN i podpisujesz/odnawiasz certyfikaty z automatu. Pogadaj z dostawcą.

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Certyfikat jest albo dla jednej domeny albo dla domeny oraz subdomen. Certyfikat zwykły chroni tylko jedną domenę (może być to zarówno domena.pl lub sub.domena.pl). Jeśli chcesz chronić wszystkie subdomeny i domene główna musisz mieć certyfikat wilcard

 

No właśnie nie do końca - https://sslguru.com/certificate-rapid-ssl.html Stąd moje pytanie co mam wpisać - z www, czy sama nazwę domeny.

 

Darmowe Let's Encrypt jest lepsze niż obecnie sprzedawane certyfikaty DV, bo masz SAN i podpisujesz/odnawiasz certyfikaty z automatu. Pogadaj z dostawcą.

 

Czytałem Twoje wpisy o Let's Encrypt, ale niestety nie mogę go użyć. Pomijając niewygodę w generowaniu certyfikatów (co jest jeszcze do przejścia), potrzebuję certyfikatu rozpoznawalnego na świecie, kojarzonego z zaufaną firmą certyfikującą (stąd certyfikat certyfikatowi nierówny, bo za konkretnymi firmami typu Thawte stoi całe zaplecze, procedury, ubezpieczenia itp. itd.), bo będzie przeznaczony na stronę dla gości z zagranicy.

 

A wracając do pytania: generując dane do certyfikatu mam wpisać www.nazwadomeny.com? CSR generuję w panelu administracyjnym serwera hostingu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To zależy od Ciebie. Chcesz żeby na strone się wchodziło jako www... Czy normalnie przez domenę. Zawsze możesz zrobić certyfikat dla www.domena.pl i ustawić przekierowanie z domena.pl na www.domena.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W przypadku RapidSSL, jeżeli generujesz certyfikat dla domeny głównego poziomu to:

- jeśli podasz w CN domena.pl, to certyfikat dostaniesz dla domena.pl

- jeśli podasz w CN www.domena.pl, to certyfikat dostaniesz ważny dla www.domena.pl + domena.pl.

 

Warunek jest tylko taki, że musi to być domena głównego poziomu (w uproszczeniu - w nazwie mieć jedną kropkę ;) ). Jeżeli będzie to domena niższego poziomu (np. sklep.domena.pl) - to wtedy certyfikat zostanie wygenerowany dla dokładnie takiej nazwy, jaka jest w CN (czyli albo dla sklep.domena.pl, albo dla www.sklep.domena.pl).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czytałem Twoje wpisy o Let's Encrypt, ale niestety nie mogę go użyć. Pomijając niewygodę w generowaniu certyfikatów (co jest jeszcze do przejścia), potrzebuję certyfikatu rozpoznawalnego na świecie, kojarzonego z zaufaną firmą certyfikującą (stąd certyfikat certyfikatowi nierówny, bo za konkretnymi firmami typu Thawte stoi całe zaplecze, procedury, ubezpieczenia itp. itd.), bo będzie przeznaczony na stronę dla gości z zagranicy.

Przecież to bzdura.

 

Różnice w akceptowalności między różnymi CA to jakieś promile liczby odwiedzających i głównie dotyczą użytkowników zabytkowych systemów operacyjnych. Goście z zagranicy będą rozpoznawać certyfikat od LE jako w pełni zaufany. LE to nie jest jakaś inicjatywa dwóch studenciaków z garażu pod Włoszczową.

 

Nie jest też prawdą, że Let's Encrypt jest mniej wygodne. Jest dokładnie odwrotnie, bo odnowienie certyfikatu nie wymaga żadnej interwencji administratora. Wszystko możesz zrobić automatycznie.

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W przypadku RapidSSL, jeżeli generujesz certyfikat dla domeny głównego poziomu to:

- jeśli podasz w CN domena.pl, to certyfikat dostaniesz dla domena.pl

- jeśli podasz w CN www.domena.pl, to certyfikat dostaniesz ważny dla www.domena.pl + domena.pl.

 

Oto mi właśnie chodziło. Dziękuję :)

 

Różnice w akceptowalności między różnymi CA to jakieś promile liczby odwiedzających i głównie dotyczą użytkowników zabytkowych systemów operacyjnych. Goście z zagranicy będą rozpoznawać certyfikat od LE jako w pełni zaufany. LE to nie jest jakaś inicjatywa dwóch studenciaków z garażu pod Włoszczową.

 

Nie nie nie. Nie zrozumiałeś. Nie twierdzę, że jest to produkt z garażu. To tak samo jakbym twierdził, że Linux jest do bani, bo jest darmowy, chociaż maczały przy nim palce największe światowe firmy. Nie.

 

Po prostu: nie mam serwera VPS z dostępem SSH, na którym mogę instalować własne pakiety, czy wgrywać pliki do folderów systemowych (np. pliki konfiguracyjne Apache). Mam hosting w dużej firmie hostingowej, z panelem zarządzania, obsługujący różne domeny, z zainstalowanym CMS-em pod konkretną domeną, któremu muszę podnieść poziom bezpieczeństwa (z przyczyn takich lub innych). Nie jest to prywatny serwer, prywatny hosting, ale coś, co jest powiązane z biznesem klienta i musi być odpowiednio uwiarygodnione.

 

Podam taki przykład: masz sklep internetowy, w którym trzeba wdrożyć moduł płatności. Są polscy operatorzy typu DotPay, czy Przelewy24, ale gdy kierujesz swoją usługę do klientów zza granicy, ze świata (nawet niekoniecznie z Europy) to takie systemy płatności nic im nie mówią (mimo, że są bardzo popularne w Polsce) i zniechęcają do dokonywania płatności. Wolą PayPal, Skrill czy jakieśtam inne ogólnoświatowe. Bo te znają i w Meksyku, i w Hong Kongu.

 

Mam środowisko zastane, w którym nie mogę wiele zmieniać i do którego muszę dostosować rozwiązania. A że wcześniej nie było to potrzebne to teraz szukam najbardziej odpowiednich rozwiązań. Nie twierdzę, że nie potrafiłbym skonfigurować Let's Encrypt, ale robiłbym to w środowisku, które sam stawiałem, na maszynie, do której mam pełny dostęp, gdzie wiem co i jak było zmieniane i konfigurowane.

 

Czasami lepiej zapłacić i mieć świadomość, że dostajesz od ręki gotowy produkt. To, że to na głowie firm, które ręczą głową za bezpieczeństwo Twoich danych, jest cała zabawa z odpowiednim ustawieniem wszystkiego. Stąd ludzie (z zagranicy) ufają Thawte, COMODO, czy Symantec, niż [tu wstaw nazwę mniej znanego wystawcy certyfikatów albo polską firmę wydającą certy].

 

Możesz mieć darmowego Linuksa, którego trzeba odpowiednio skonfigurować i dostosować do swoich wymagań, a można zapłacić i mieć Windows out-of-the box (wiem wiem, każdy system trzeba skonfigurować, ale miałem styczność z różnymi dystrybucjami i systemami - FreeBSD, NetBSD, Linuksy, gdzie coś miało działać od razu po instalacji nie działało i trzeba było szukać po forach i stronach dlaczego nie działa), który uruchamiasz i działa. Każdemu wedle potrzeb.

Edytowano przez Krystek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podam taki przykład: masz sklep internetowy, w którym trzeba wdrożyć moduł płatności. Są polscy operatorzy typu DotPay, czy Przelewy24, ale gdy kierujesz swoją usługę do klientów zza granicy, ze świata (nawet niekoniecznie z Europy) to takie systemy płatności nic im nie mówią (mimo, że są bardzo popularne w Polsce) i zniechęcają do dokonywania płatności. Wolą PayPal, Skrill czy jakieśtam inne ogólnoświatowe. Bo te znają i w Meksyku, i w Hong Kongu.

Zarówno LE/IdenTrust jak Thawte są ogólnoświatowymi CA. Nie ma różnicy czy używasz jakiejś chińszczyzny (jak WoSign), czy "renomowanej" firmy. O ile przeglądarka albo system im ufają, to rezultat jest dokładnie taki sam.

 

I tak, Twoja przeglądarka domyślnie zaufa też chińszczyźnie.

 

Czasami lepiej zapłacić i mieć świadomość, że dostajesz od ręki gotowy produkt. To, że to na głowie firm, które ręczą głową za bezpieczeństwo Twoich danych, jest cała zabawa z odpowiednim ustawieniem wszystkiego. Stąd ludzie (z zagranicy) ufają Thawte, COMODO, czy Symantec, niż [tu wstaw nazwę mniej znanego wystawcy certyfikatów albo polską firmę wydającą certy].

I znów. LE to nie jest szafka z Ikei, którą dostajesz z kluczykiem i obrazkową instrukcją. To jest gotowy produkt.

 

Jak musisz obsługiwać klientów na Windows XP i IE6 czy jakimś innym zabytku, to kombinujesz. Ale w każdej innej sytuacji, bierzesz najtańszy certyfikat, bo między nimi nie ma różnicy. To tylko marketing, który jak widać świetnie działa.

 

Ja Cię nie namawiam do żadnego rozwiązania. Nie musisz pisać, dlaczego z niego nie skorzystasz, ale nie wprowadzaj w błąd innych, którzy wpadną na ten wątek w przyszłości z Google.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja Cię nie namawiam do żadnego rozwiązania. Nie musisz pisać, dlaczego z niego nie skorzystasz, ale nie wprowadzaj w błąd innych, którzy wpadną na ten wątek w przyszłości z Google.

 

Świetnie, fajnie i naprawdę dzięki za pokazanie czegoś takiego jak Let's Encrypt.

 

Właśnie muszę pisać dlaczego, bo to jest wątek dyskusyjny, w którym ludzie szukają rozwiązań dla swoich hostingów. Prawda jest taka, że choćbym chciał to ze względów technicznych nie mogę użyć tego rozwiązania.

 

Co do wprowadzania w błąd: poczytałem sobie dokumentację techniczną, FAQ oraz posty na forum społeczności i nie jest tak różowo. Nie neguję samego rozwiązania - neguję jedynie to, co piszesz, że jest to łatwe do implementacji. Nie jest i nie na każdy serwer się nadaje. Jeśli ktoś korzysta z ngnixa na przykład, a nie standardowo z Apache. Poza tym nadal jest to produkt w wersji beta (jeśli dla kogoś ma znaczenie, czy korzysta z wersji stable, alfa, beta, czy innej rozwojowej). No i nie każdemu uśmiecha się odnawianie co 3 miesiące certyfikatów (o ile nie jest w stanie zrobić tego automatycznie). Więc równie dobrze mógłbym Tobie zarzucić, że zachwalając Let's Encrypt nie wspominasz o niedogodnościach, które występują. Ktoś, kto dowie się o Let's Encrypt i zainteresuje się tym rozwiązaniem na pewno doczyta sobie o szczegółach u źródła.

 

Napisałem Tobie tylko dlaczego JA z tego nie skorzystam i podałem powody i przykłady dlaczego w moim przypadku nie jestem w stanie zastosować rozwiązania Let's Encrypt. Ale nie bronię nikomu korzystania z tego rozwiązania, tak samo jak nie bronię korzystania z Linuksa zamiast Windows, Androida zamiast iOS itp. itd.

 

Forum ma to do siebie, że dyskutujemy tutaj na temat różnych rozwiązań. Dzięki WebHostingTalk i Twoim wpisom (zanim napisałem z konkretnym pytaniem dotyczącym generowania certyfikatu przeszukiwałem forum) dowiedziałem się o czymś takim jak Let's Encrypt i jest to dla mnie cenna informacja. I za to mogę szczerze podziękować. Blog też masz ciekawy. Jednak, jak podałem już wcześniej w moim przypadku - analizując wszystkie za i przeciw (a przede wszystkim możliwości techniczne hostingu) - nie jestem w stanie go zastosować. No chyba, że zafundujesz mi dedyka / VPS ;) Mam po prostu określony serwer, na konkretnym hostingu i określone możliwości implementacji SSL na nim. I tyle.

 

A dla ludzi, którzy trafią na ten wątek dzięki Google kilka przydatnych linków, które pozwolą w prosty sposób zacząć przygodę z certyfikatammi Let's Encrypt:

 

https://community.letsencrypt.org/t/list-of-client-implementations/2103

https://gethttpsforfree.com/

https://www.sslforfree.com/

https://letsgetssl.net/

 

Blfr, świata nie zbawisz :D

Indoktrynacja ;) Właśnie czuję się tak, jak w dyskusjach obrońców różnych systemów operacyjnych, którzy próbują przekonać dlaczego system, z którego korzystają jest super a te inne są be :wacko:

 

Darmowość jest fajna, tyle że za to darmo trzeba zapłacić czymś innym: czasem poświęconym na skonfigurowanie wszystkiego. Trzeba też mieć sprzęt i łącze. Jeśli ktoś to ma i chce mu się prowadzić swój hosting - to świetnie. Według blfra jestem frajer, bo chcę zapłacić za coś, co mogę mieć za darmo (certyfikaty od Chińczyków mnie nie interesują). Teoretycznie tak. Tylko, że w przypadku certyfikatów SSL zakup płatnego certa mogę porównać do kupienia samochodu, który jest zatankowany i do którego dostaję kluczyki, a w przypadku darmowych rozwiązań dostaję auto w częściach, muszę mieć garaż w którym te części poskładam, muszę auto zatankować i potem co jakiś czas wymieniać uszczelki pod głowicą w silniku. Ciężko pojąć, że ktoś chce kupić gotowy produkt (hosting, certyfikat, czy coś jeszcze innego), żeby nie musieć samemu męczyć się z ustawianiem tego wszystkiego. Gdyby to było takie fajne to wszyscy by stawiali swoje hostingi.

 

Kończąc ten off top: nie neguję filozofii blfra korzystania z darmowych rozwiązań, staram się tylko pokazać, że nie zawsze są możliwości, by z nich korzystać. W przypadku, który aktualnie mnie dotyczy koszt migracji na dedykowany serwer / VPS, konfiguracji wszystkiego od nowa, zmiany adresacji, wpisów dla domen etc. byłby niepomiernie większy od tego, z czego korzystam teraz i co muszę dostosować do nowych wymagań.

 

Żeby nie było: z darmowych rozwiązań korzystam z powodzeniem wtedy, gdy mam taką możliwość i gdy mi się to po prostu opłaca: routery na alternatywnym oprogramowaniu, domowy NAS na Linuksie itp. Jeśli muszę za dużo kombinować to korzystam z gotowych rozwiązań.

 

Dlatego uprzejmie proszę o dyskusję w tym wątku w duchu technicznym, a nie ideologicznym próbującą udowodnić wyższość jednych świąt nad drugimi :)

 

Certyfikat którym zabezpieczysz stronę z adersem www jak i bez jest m.in. Comodo Positive SSL - który najtaniej w Polsce oferuje hostit.pl

 

https://hostit.pl/certyfikat/Comodo-PositiveSSL.html

 

Dziękuję. Zerknę. Na razie domena jest w trakcie transferowania od innego operatora, ale na dniach będę ją przypisywał do serwera i generował CSR dla certyfikatu, więc może wybiorę COMODO.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do wprowadzania w błąd: poczytałem sobie dokumentację techniczną, FAQ oraz posty na forum społeczności i nie jest tak różowo. Nie neguję samego rozwiązania - neguję jedynie to, co piszesz, że jest to łatwe do implementacji. Nie jest i nie na każdy serwer się nadaje. Jeśli ktoś korzysta z ngnixa na przykład, a nie standardowo z Apache.

Ja korzystam z nginksa i simp_le. Działa bez zgrzytu.

 

w przypadku certyfikatów SSL zakup płatnego certa mogę porównać do kupienia samochodu, który jest zatankowany i do którego dostaję kluczyki

Tylko w tym wypadku darmowe rozwiązanie jest też lepsze: kupując certyfikat musisz go pracowicie ręcznie instalować za każdym razem, a od Let's Encrypt masz pełen automat. Konfigurujesz i zapominasz. Do tego w standardzie SAN (do 100 nazw).

 

To że certyfikat jest ważny trzy miesiące oznacza, że jak go posiejesz albo ktoś go wyciągnie, to może się pod Ciebie podszywać przez niecałe trzy miesiące, a nie lata, bo unieważnianie certyfikatów działa tak sobie, raczej słabo.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

LE to jedna z najlepszych rzeczy jaka się trafiła od dłuższego czasu, coś czego brakowało od zawsze gdy byliśmy zmuszeni bawić się w StartSSL.

 

Jeśli ktoś uważa, że LE jest z jakichkolwiek powodów dla niego gorszy niż jakakolwiek inna opcja to jest w błędzie bo albo nigdy z niego nie korzystał, albo nigdy do końca nie zrozumiał jego konceptu.

 

Sam migruję wszystkie moje StartSSLe i WoSigny na LE w najbliższych miesiącach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Jeśli ktoś uważa, że LE jest z jakichkolwiek powodów dla niego gorszy niż jakakolwiek inna opcja to jest w błędzie bo albo nigdy z niego nie korzystał, albo nigdy do końca nie zrozumiał jego konceptu.

Albo zrozumiał w pełni koncepcję, ale patrzy na całość przez pryzmat inny, niż jakiejkolwiek kłódki w pasku adresu przeglądarki WWW.

Bo jeśli ktoś istotnie chce mieć po prostu kłódkę na swojej stronie WWW to się zadowoli, czy to LE, czy to proxowaniem Cloudflarem.

I faktycznie, patrząc na porównanie z certyfikatami DV, to żadnej różnicy nie będzie widział.

 

Ale jeżeli ktoś chce wykorzystać certyfikaty bardziej świadomie, to niestety, rozwiązania komercyjne będą niezastąpione.

Przykłady? Dane organizacji w szczegółach certyfikatu. Zielony pasek. Nietypowe OIDy wykorzystania certyfikatu. Tego LE nie zapewni.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Albo zrozumiał w pełni koncepcję, ale patrzy na całość przez pryzmat inny, niż jakiejkolwiek kłódki w pasku adresu przeglądarki WWW.

Bo jeśli ktoś istotnie chce mieć po prostu kłódkę na swojej stronie WWW to się zadowoli, czy to LE, czy to proxowaniem Cloudflarem.

I faktycznie, patrząc na porównanie z certyfikatami DV, to żadnej różnicy nie będzie widział.

 

Ale jeżeli ktoś chce wykorzystać certyfikaty bardziej świadomie, to niestety, rozwiązania komercyjne będą niezastąpione.

Przykłady? Dane organizacji w szczegółach certyfikatu. Zielony pasek. Nietypowe OIDy wykorzystania certyfikatu. Tego LE nie zapewni.

 

Yup, ale tu mówimy o konkretnym koncepcie, bo jeśli ktoś rzeczywiście ma takie potrzeby jak wymieniłeś, to bardzo dobrze zdaje sobie z nich sprawę - i z możliwych rozwiązań także. LE jest jednak bardzo dobry do co najmniej 99% typowych zastosowań, i nie widzę sensu szukania alternatyw. Dopiero jeśli rzeczywiście ktoś będzie miał potrzebę bardziej wyrafinowanych SSLów to będzie się oglądał za innymi rozwiązaniami, ale na tym poziomie potrzeby to już dobrze sobie każdy zdaje sprawę z tego z czym to się je.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Spójrz na mój cytat w poście #21.

Swojego posta napisałeś tak, jakby LE był panaceum na wszystkie problemy i tylko frajerzy płacili za jakiekolwiek certyfikaty SSL.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wracając do certyfikatów SSL, ktoś wie jak wygląda certyfikat, który oferuje (również w darmowym pakiecie) Cloudflare?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Darmowy? Kilka hostów w alt name (przypadkowych, niekoniecznie Twoich). I nie masz, oczywiście, dostępu do klucza.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×