ssl сертефикат
Подскажите пожалуйста как получить сертефикат (и сколько это примерно стоит) что бы самому потом выдавать ssl сертефикаты (https://имя_домена)?
Как эта деятельность по научному называется? SSL ресейлер?
И ещё ...
У Яндекса если набрать https://passport.yandex.ru/ и нажать на "замок" и просмотреть путь сертефикации....
Получается что они получили YandexExternalCA и с помощью него выдают себе сертефикаты на различные проекты...
Как это сделать и сколько это стоит(и как по научному называется)?
сертификат, сертификации.
Как это может называться "по-научному"? Здесь не все сильны в такой "науке" как экономика
мыльных пузырейвиртуальных продуктов, поэтому никто может и не объяснить отличие реселлеров, ретейлеров и спекулянтов.Есть ещё директива ЕС[link1] по регулированию такой деятельности.
Берёте OpenSSL и генерируете сертификат без ограничения пути сертификации. Всё, можно открывать серьёзный бизнес.
Остаётся одна маленькая деталь: убедить разработчиков браузеров встроить этот Ваш сертификат в дистрибутивы. Но это сущая мелочь, с которой Вы, уверен, с лёгкостью справитесь.
А известны ли из истории случаи злоупотребления CA своими сертификатами (выдача сертификата на левый домен, слив ключей и т.д.)?
Был хрестоматийный случай, когда VeriSign выдала злоумышленнику сертификат подписи кода на имя Microsoft. Были случаи, когда корневые сертификаты обанкротившихся CA уходили с молотка в числе прочих активов...
Просто по ошибке или злонамеренно? Были ли среди них такие, которые включены в браузеры по умолчанию?
Самоподписной сертификат ничего не стоит, подписанный сертификат имеет цену, поэтому в определенный момент времени может стать товаром, откуда ростут ноги его идейной несовместимости с безопасностью. В остальном абстрактные выводы вы можете сделать сами.
То что Яндекс выдает себе сертификаты на разные проекты можно сравнить с раздачей доверенности сотрудникам компании на представление разных интересов в разных инстанциях, суть в этом. Если у вас есть компания с именем, то наверное вы то же можете выдавать такие сертификаты, но вам придется побеспокоится о том, что бы ваша ЭЦП не попала в нечестные руки.
Лучше всего, если нет острой необходимости в сертфикатах x.509 завести сертификат OpenPGP :) и заручиться его поддержкой через сеть доверия.
О сертификатах можете почитать здесь[link2].
... а ещё они свои электронные деньги выпускают.
Официально или на самом деле? :)
Именно они и были. По крайней мере в IE.
Сам по себе такой финт существует:©[link3]. Там же есть информация и по поводу