Суперсертификат Thawte

[corda]

Суперсертификат Thawte

Возникла необходимость использования https и хотелось бы получить 128 бит. В связи с этим вопрос:
имеет ли смысл покупать суперсертификат или можно обойтись стандартным? Сайт при этом ориентируется на россиян.
Кто этим вопросом занимался, откликнитесь, пожалуйста.

 

[Alexandre]

Сертификат нужен, чтоб тебя аутинфицироали пользователи, т.е. докозательство того, что твой сайт www.site.ru есть именно он www.site.ru, и хакеры не подменили ипи "по дороге" и пользователь не ушел на "ложный сайт".

По этому, как только пользователь входит по https ему вываливается предупреждение, что сайт аутифицирован.

Если это пользователю надо, то надо и приобретать сертификат одной из сертификационной служб (Thawte , VerySign ....), если не надо, то можно обойтись стандартным.

Впрочем, я могу ошибаться...

Сертификат можно сгенерировать и самому.

 

[corda]

Спасибо, конечно за рассказ "о том зачем нужен https и что такое сертификаты", но все это я и сам знаю
Вопрос в выборе стандартного сертификата Thawte или суперсертификата Thawte.

Ссылки в тему:

http://ssl.rbc.ru/product/

Или с сайта Thawte:

The standard web server certificate offers 128, 56 or 40-bit encryption, depending on your client's browser capability. The thawte SGC SuperCert offers automatic step-up technology that connects at 128-bit, no matter what browser your client is using. A thawte SGC SuperCert is recommended for communication with international browsers, as some of these still use 40-bit or 56-bit encryption, and are much more vulnerable to the interception of information. The majority of US browsers are automatically enabled to use 128-bit encryption.

 

[Alexandre]

и хотелось бы получить 128 бит

как пишет РБК, что
Особенностью Суперсертификата является то, что, даже если клиент использует международную версию браузера с коротким ключом, для защиты соединения с сервером -- владельцем Суперсертификата все равно будет применена надежная 128-битная технология
Стандартный серверный сертификат обеспечивает:
128-битное,
56-битное
40-битное шифрованное соединение
в зависимости от способности браузера клиента

 

[corda]

Совершенно верно. Грубо говоря, меня интересует, насколько в России этот вопрос с международными версиями браузеров актуален? И такой вопрос к людям, которые покупают сертификаты: а вы какие покупаете?

 

[si]

не понятно как они собираются ЗАСТАВИТЬ бросвер клиента то делать чего он НЕ УМЕЕТ.

 

[Alien]

Хм.
У меня стандартный от Thawte via РБК,

Connection Encrypted: High-grade Encryption (AES-256 256 Bit)

Или это не то?

 

[corda]

Автор оригинала: si
не понятно как они собираются ЗАСТАВИТЬ бросвер клиента то делать чего он НЕ УМЕЕТ.

Ну, по объяснениям Thawte в броузерах зашита технология, активировав которую можно его заставить это сделать:

A thawte SGC SuperCert enables Server Gate Cryptography (SGC) or "Step-Up" functionality in your Netscape or Microsoft browser and turns 40-bit and 56-bit browsers into 128-bit strong browsers (IE 4.X or Netscape 4.06 and later) while users are visiting your site.

Понятно, что для них выгодно разрекламить себя (цена вопроса +300$ за сертификат). А вот насколько это действительно оправдано...

 

[Alien]

Слушайте, но это какое то вредительство.
Ставлю экспеимент: ставлю "свежий" Netscape® Navigator 4.07 с http://browsers.evolt.org/

Иду на свой сайт с стандартным ключом.
Открывается страничка, в свойствах Security: This is a secure document that uses a medium-grade encryption key suited for U.S. export (RC4-40, 128 bit with 40 secret).

Иду на https://www.thawte.com/cgi/server/status.exe
И вижу изумительный алертик
"Netscape and this server cannot comminicate securely because they have no common
encryption algorithm(s)".

Есть идеи - на thawte юзается суперсертифат или нет?

 

[Huckster]

Ерунда это все ПОЛНЕЙШАЯ. Я имею ввиду плату в р-не 300$ за сертификат. Это сродни платным эсэмэскам. Отправь "анекдот" на 4242 и тебе придет свежий анекдот. Хороший пример того, как люди деньги делают из ничего.

Для своего сервера я сгенерю сертификаты сам. Вообще-то, все это ИМХО.

Просто фишка в том, что корневые сертификаты Thawte и Verisign включены в дистрибутив винды, как доверенные.

Кстати, Микрософт пишет, что включение любого корневого сертификата в распространяемый ими список доверенных по умолчанию в винде возможно. Интересно, на каких условиях? Я им этот вопрос не задавал.

Ответ на вопрос автора: нужен Вам сертификат за 300$ - напишите мне, я его вам вышлю за 1$, а то и бесплатно. Не от Thawte. Но 128 бит будет - ради Бога

 

[Alien]

Huckster
Платим мы за спокойствие пользователей. Нефиг им секьюрити алерты смотреть =\

Кстати, нашел такое счастье:
https://www.freessl.com/starterssl/starterssl.html
1 year 128 bit StarterSSL Certificate = $49
Automated two step online validation - no paperwork
99% browser recognition rate, no chained installation
Strong 128bit encryption, industry standard SSL

 

[Huckster]

Эхма... посмотрел, корневой сертификат в хранилище есть.... Как они этого достигают? Надо полазить по Микрософту, там была где-то инфа, HOW...

 

[si]

Huckster
для страницы васи пупкина self-signed сертификатподойдет, и для intranet где можно всех заставить его импортировать.

P.S в следующий раз такие "умные" мысли лучше оставляйте при себе

 

[Huckster]

si для страницы "васипупкина" сертификат не нужен. А этот freessl.com принадлежит компании Geotrust, которая создавалась живыми людьми. Может, кого-нибудь из них звали ВасяПупкин или ДжонСмит, если угодно.

А в хранилище доверенных корневых сертификатов находится 108 сертификатов. Конечно, 108 со всего мира - мизерная доля. Но и цифровых нотариусов не так уж и много. Вот я и задался вопросом, насколько мал шанс туда попасть. Ничего особенно "умного" здесь нет вроде бы.

 

[corda]

Автор оригинала: Alien
Слушайте, но это какое то вредительство.
Ставлю экспеимент: ставлю "свежий" Netscape® Navigator 4.07 с http://browsers.evolt.org/

Иду на свой сайт с стандартным ключом.
Открывается страничка, в свойствах Security: This is a secure document that uses a medium-grade encryption key suited for U.S. export (RC4-40, 128 bit with 40 secret).

Alien, а можешь через 5-й IE посмотреть? Если не сложно, конечно.

И спасибо за www.freessl.com

 

[Alien]

Вот я и задался вопросом, насколько мал шанс туда попасть.

Да попасть то можно.
Беда в том что полноценно конкурировать с thawte ты сможешь когда их сертификаты в браузерах проэкспайрятся. Для MSIE 6, к примеру, это будет в 2021 году

а можешь через 5-й IE посмотреть? Если не сложно, конечно.

а у меня его нет

Но вот тебе выжимка из логов:

ice>
ice>cat ssl_engine_log | grep "Protocol" | grep "40/128 bits" | wc -l
    2797
ice>cat ssl_engine_log | grep "Protocol" | grep  "128/128 bits" | wc -l
    74952
ice>cat ssl_engine_log | grep "Protocol" | grep  "168/168 bits" | wc -l
    1269
ice>cat ssl_engine_log | grep "Protocol" | grep  "256/256 bits" | wc -l
    1079

 

[corda]

Я правильно понял, что "40/128 bits" означает, что соединение на 40 бит?

Получается, что где-то 3,5% от общего числа как раз и есть эти международные версии броузеров, для которых суперсертификат рекламируют...

 

[Alien]

>соединение на 40 бит

Да.
Но вот пока непонятно как работает этот суперсертификат и работает ли вообще (см. мой эксперимент выше).

 

[si]

corda
если Я куплю китайский разговорник, ВЫ за говорите по китайски ?

 

[Ямерт]

Автор оригинала: Alexandre
По этому, как только пользователь входит по https ему вываливается предупреждение, что сайт аутифицирован.

Сертификат можно сгенерировать и самому.

Предупреждение вываливается тогда, когда сертификат потенциально левый. Это когда ты сам его подписал, когда DNS сервера не одинаков с DNS, записанным в сертификате, или когда дата годности просрочена. Если всё в порядке, браузер не должен нервничать по поводу того, что он зашёл в защищённую зону.

-~{}~ 09.03.05 12:35:

Автор оригинала: Alien
Хм.
У меня стандартный от Thawte via РБК,

Connection Encrypted: High-grade Encryption (AES-256 256 Bit)

Или это не то?

Насколько я знаю, обычно для HTTPS используют RSA, а не Rijndael (AES).