Cheap SSL certificates

Вбиваешь в гугель то, что выше написано, и получаешь, в первом приближении, такое вот:
  • GoDaddy за $9.99-$13 (у разных реселлеров).
  • Rapid SSL за $14 (если на 5 лет).
Дальше не стал копаться.

Скажите, а в чем тут обман? У меня задача - заменить самогенеренные, чтобы броузеры и SVN-клиенты не ругались на левый сертификат, никакого е-коммерса. Заплатить за это $10-15 в год с сайта (SVN-репозитория) мне совершенно не жалко, но может быть вышезаявленная цель не будет достигнута? Четвертак - уже жалко :).

У GoDaddy - chained сертификаты, но мне не кажется, что в 2010-м году это должно создавать какие-то проблемы. У RapidSSL все обещано "совсем честным"....

Comments

https://ctl.rinet.ru/ ;-)

RapidSSL, в условиях невозможности реально оформит доп-услуги по идентификации для России, представляется мне вполне разумным.

С GoDaddy я, после изввестных событий, связываться бы поостерёгся.

Upd: Это я к тому, что у нас как раз RapidSSL.

Я не очень понял про какие ты события, но слово GoDaddy вызывает подсознательное отвращение (помню что были какие-то новости про них, а вот какие....).

Заплачу $69 RapidSSL-ю за пять лет, особенно если у них instant-верификация, как обещают....

Так всё и есть.

В свой время GoDaddy были замечены в том, что заблокировали все продукты партнёра, на которого пришёл достаточно серьёзный абьюз-репорт. Домены точно все были сняты с делегирования; кажется, сертификаты при этом тоже упоминались.

Гы, у мастерхоста на контрольной панели - вовсе какой-то Usertrust, который, как нам бает его сайт, вовсе бесплатный.

svn co на него не ругается (после установки сертификатов из портов), равно как и на ваш.

Меж тем, svn co ругается на ваш сертификат.
И на мастерхостовый (на контрольной панели) usertrust тоже ругается.

Пойду еще матчасть поизучаю, может быть каких-то рутовых сертификатов для openssl недоставил.

В Win7 в списке CA нет ничего похожего на Rapid SSL.

Помянутый выше ctl.rinet.ru говорит, что подписан Equifax-ом.

Но намек, что рисковать надо пятнашкой за год, а не 70-кой за 5 лет - уловил.

потому что это geotrust, он же equifax

CA, которые подписывают эти дешевые сертификаты, обычно отсутствуют в списке доверенных, почти у всех, не смотря на заявления на сайтах.

Я как-то видел один такой сертификат, который всех устраивал, какой-то конкретный из большого набора дешевых у рапидссл, вроде был, но сходу не могу вспомнить какой именно это был.

Ну вот на указанную Морозовским Ринетовскую контрольную панель - мозилла не ругается.

Как я для себя решил, вся фишка дорогих сертификатов в том, что производители операционок включают их (точнее руты) не только в релизы OS, но и в обновления. Учитывая то, как современные броузеры реагируют на сертификат, которого нет в репозитории ОС (страшные красные адресные поля, запрещающие знаки, надписи "опасность" громадным шрифтом и тп), одно это должно сподвигнуть на раскошеливание.
Другой _практической_ разницы между самогенеренным и Twawte/VeriSign не вижу

Вот я и ищу на грош пятаков - что-то дешевое, на что тем не менее браузеры не ругаются.

> вся фишка дорогих сертификатов в том,

что к ним прилагается страховка на определенную сумму посетителя сайта от разных некорректных действий владельцев этого сайта.

Ну и да, наличие CA в списке доверенных.

ну, мне-то, как владельцу сайта, страховка посетителей как-то побоку. Тем более, что они сами ни про страховку, ни про все эти SSL и не знают. Для них вся разница в цвете адресного поля и страшных надписях.
Вынуждено, из-за невероятной кривизны процедуры заключения контракта с этими компаниями (продавцами сертификатов) в России, живем на самогенеренных. Сколько приходится разбираться с посетителями сайтов - не передать.

А в чем кривизна? Есть же российские реселлеры (Русоникс - у комодо, но и у верисайна вроде были, чуть не руцентр), есть обсуждаемые тут заведения (GoDaddy, RapidSSL) которые просто кредитку берут.

Я сейчас уже точно не скажу, по кредитке наверное можно было бы. А вот корпоративный заказ с прохождением всех инстанций, тендерных комитетов и пр. оказалось практически невозможно. Косячил именно местный ресселер.
Сейчас перепродажей стал заниматься Терралинк, с ними вроде начало получаться.
Кстати, это самое зеленое адресное поле появится только если сертификат "extended". Причем, вся эта его "расширенность" заключается только в том, что закрашивает поле зеленым цветом. Красота :)

PS: Рассматривались, само собой, только сертификаты, руты которых включены в Windows. В других смысла не было по вышеозначенным причинам.

Ну вот гляньте тест:

https://blog.lexa.ru/

Зеленым не закрашено, закрашено синим. Но
1) бесплатно
2) прямо практически онлайн (плюс 2 или 3 письма с кодом по E-mail)
3) берут генеренный вами CSR т.е. можно без пароля :)
4) Но - один сертификат в одни руки и только на домен 2-го уровня+поддомен. Если нужно больше - полтинник за персональную идентификацию и скан двух документов.

И кажется они мне сейчас звонили (был звонок из какой-то IP-телефонии, звонок обратно просит ввести пин), а я профукал, на велике катался.

В принципе, нормально. Для личного использования. Но, "нам нужно больше" :)
Для конторы с развитой бюрократией не цена имеет значение, а заморочки с заключением контракта.

Я к тому, что какое-то такое бесплатное решение имеет серьезный плюс перед самоподписанным (браузер не ругается), а минусы приемлемы. UserTrust еще попробую и тоже напишу.

А с развитой бюрократией - вам любой интегратор должен бы перепродать мультисайтный сертификат (адын штук) за 3-4 килобайкса в год и усе.

не поверишь, годы ушли на то, чтобы просто заказать несколько однодоменных сертификатов. Сначала не было нормального русского представительства, вообще не могли заказать, потом только вот так, о мультисайтности речь уже даже не идет.

Да верю я охотно.

Но то что сейчас на блог поставлено в чисто тестовых целях - не потребовало от меня ничего, кроме браузера и работающего емейла (ну еще CSR сам сделал).
Хотя в большой организации, конечно же, привязка сертификата к частному лицу - неудобна.

Для частных ресурсов, по-видимому, очень подходящее решение. Разослал знакомым, пока подводных камней не нашли, все довольны :)

Сертификат в семерке есть и в Мозилле есть. В википедии написано, что в виндах сертификат начиная с XP.

http://www.cacert.org/ решит задачу минимум бесплатно

нужно только лишь импортировать их корневой сертификат

Ну дак можно и свое CA сделать и тоже предлагать его всем импортировать. А вышеуказанный сайт ломает мозг своим интерфейсом, маразматичными вопросами с подтверждениями, кодовыми фразами и их количеством.

Можно. Но этот не нужно всем импортировать.
Например, в Debian он уже в комплекте поставки:
http://en.wikipedia.org/wiki/CAcert.org#Inclusion_status

И у многих потенциальных посетителей среднестатического сайта - дебиан? :)

У меня, например ;)

О, по этой ссылке нашелся http://en.wikipedia.org/wiki/StartCom

Буду его пробовать, вместе с UserTrust, халява же ж (но небось на год)

Ни в чем. Благодаря живительной конкуренции случилось 2 события - a) сертификаты сильно подешевели b) им теперь не верят и для серьезных применений надо покупать EV в 50 раз дороже

Задача - "чтобы браузер не ругался" (не вылезало окошко с подтверждением), никаких серьезных применений, самогенеренный вполне подходит.

тогда сойдет любой

Угу, я уже два источника бесплатных нашел. Правда вот Стартком дает одну штуку в руки, дальше полтинник за идентификацию.

Простите за, возможно, глупый вопрос. А можно ли RapidSSL купить для жаббер-сервера, который крутится на dyndns?

У меня на этот вопрос два ответа
1) Х.З. как у них процедура верификации устроена, еще не пробовал. Но скорее всего как у всех - размешение файлика на сервере. Т.е. придется (временно) поднять http-сервер

2) По идее, можно бесплатно попробовать: http://www.rapidssl.com/ssl-certificate-products/free-ssl/freessl.htm

не знаю не знаю, магазины крутятся, картами платят исправно, стоят GoDaddy много лет... какая разница то? главное чтобы люди видели защищенное соединение и в браузере не лезли предупреждения "партишиал контент" и т.п. и все... ну и номера карт не хранить :-) узай гуглпоиск buy ssl certificate cheap, смотри спонсоред линкс, перед выдачей, и переходи по рекламной ссылке прямо на GoDaddy, там сразу всегда идет промо код!
namecheap.com Rapid SSL 10 баксов? но надо быть внимательным у ресселеров часто скрытые платежи...пишут $10 баксов, а в корзине маленькими буквами, +за регистрацию $20 !!!
так что я за GoDaddy дешевле + чтобы всё работало не нашел!

А можно сайт посмотреть какой-нибудь с таким сертификатом.

Полоска синяя ('run by unknown') или зеленая?

:-) ха, run by unknown это ес-но, или надо платить больше и слать доки... Тут уж, извините, не важно от кого сертификат, начальная безопасность она и в африке, 10 баксов это и есть 10 баксов...
ну вот навкидку
_https://www.italiancharmsmarket.com - годадди
_https://www.charmsland.com хз тавте
_https://www.italiancharms.com/cgi-bin/icharms/process - рапидссл
_https://www.rapidsslonline.com/rapidssl.aspx - рапидссл

Ага, спасибо.

Жалко, что за 10 баксов не бывает чудес :)

Посмотрите безплатные сертификаты от Comodo http://www.comodo.com/e-commerce/ssl-certificates/free-ssl-cert.php
они для подписывания собственных веб-серверов вроде и предназначены.
Насколько мне извесно на сертификаты от Comodo винда не ругается. динственный минус, нужно генерить новый каждых 90 дней.

Я был уверен, что второй раз сгенерировать сертификат на тот же hostname мне не дадут :)

Если это не так, то раз в 90 дней - неудобно ужасно, но если десятки жалко, то вполне можно.