id: Гость   вход   регистрация
текущее время 08:35 29/03/2024
Автор темы: Гость, тема открыта 25/02/2010 23:51 Печать
Категории: криптография, инфобезопасность, разное
создать
просмотр
ссылки

ssl сертефикат


Подскажите пожалуйста как получить сертефикат (и сколько это примерно стоит) что бы самому потом выдавать ssl сертефикаты (https://имя_домена)?
Как эта деятельность по научному называется? SSL ресейлер?
И ещё ...
У Яндекса если набрать https://passport.yandex.ru/ и нажать на "замок" и просмотреть путь сертефикации....
Получается что они получили YandexExternalCA и с помощью него выдают себе сертефикаты на различные проекты...
Как это сделать и сколько это стоит(и как по научному называется)?



 
Комментарии
— unknown (26/02/2010 08:54, исправлен 26/02/2010 11:03)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

сертификат, сертификации.


Как это может называться "по-научному"? Здесь не все сильны в такой "науке" как экономика мыльных пузырей виртуальных продуктов, поэтому никто может и не объяснить отличие реселлеров, ретейлеров и спекулянтов.
Есть ещё директива ЕС по регулированию такой деятельности.

— SATtva (26/02/2010 11:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Подскажите пожалуйста как получить сертефикат (и сколько это примерно стоит) что бы самому потом выдавать ssl сертефикаты (https://имя_домена)?

Берёте OpenSSL и генерируете сертификат без ограничения пути сертификации. Всё, можно открывать серьёзный бизнес.

Остаётся одна маленькая деталь: убедить разработчиков браузеров встроить этот Ваш сертификат в дистрибутивы. Но это сущая мелочь, с которой Вы, уверен, с лёгкостью справитесь.
— Гость (02/03/2010 20:18)   <#>
А известны ли из истории случаи злоупотребления CA своими сертификатами (выдача сертификата на левый домен, слив ключей и т.д.)?
— SATtva (02/03/2010 20:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Был хрестоматийный случай, когда VeriSign выдала злоумышленнику сертификат подписи кода на имя Microsoft. Были случаи, когда корневые сертификаты обанкротившихся CA уходили с молотка в числе прочих активов...
— Гость (02/03/2010 22:31)   <#>
Был хрестоматийный случай, когда VeriSign выдала злоумышленнику сертификат подписи кода на имя Microsoft
Просто по ошибке или злонамеренно?
корневые сертификаты обанкротившихся CA уходили с молотка в числе прочих активов...
Были ли среди них такие, которые включены в браузеры по умолчанию?
— Вий (03/03/2010 16:06, исправлен 03/03/2010 16:44)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75

Самоподписной сертификат ничего не стоит, подписанный сертификат имеет цену, поэтому в определенный момент времени может стать товаром, откуда ростут ноги его идейной несовместимости с безопасностью. В остальном абстрактные выводы вы можете сделать сами.


То что Яндекс выдает себе сертификаты на разные проекты можно сравнить с раздачей доверенности сотрудникам компании на представление разных интересов в разных инстанциях, суть в этом. Если у вас есть компания с именем, то наверное вы то же можете выдавать такие сертификаты, но вам придется побеспокоится о том, что бы ваша ЭЦП не попала в нечестные руки.


Лучше всего, если нет острой необходимости в сертфикатах x.509 завести сертификат OpenPGP :) и заручиться его поддержкой через сеть доверия.


О сертификатах можете почитать здесь.

— unknown (03/03/2010 16:46)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
... а ещё они свои электронные деньги выпускают.
— SATtva (03/03/2010 18:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Был хрестоматийный случай, когда VeriSign выдала злоумышленнику сертификат подписи кода на имя Microsoft

Просто по ошибке или злонамеренно?

Официально или на самом деле? :)

корневые сертификаты обанкротившихся CA уходили с молотка в числе прочих активов...

Были ли среди них такие, которые включены в браузеры по умолчанию?

Именно они и были. По крайней мере в IE.
— Гость (27/03/2010 06:36)   <#>
получить сертефикат (и сколько это примерно стоит) что бы самому потом выдавать ssl сертефикаты
Сам по себе такой финт существует:
In all, Mozilla’s Firefox has its own list of 144 root authorities. Other browsers rely on a list supplied by the operating system manufacturers, which comes to 264 for Microsoft and 166 for Apple. Those root authorities can also certify secondary authorities, who can certify still more — all of which are equally trusted by the browser.
©. Там же есть информация и по поводу
случаи злоупотребления CA своими сертификатами
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3