Comments 30
Вспоминается ситуация с угоном сертификата и домена у одной компании…
обладая хорошей памятью можно вспомнить и не такое))).
но согласитесь, то случаев кражи сертификатов можно посчитать по пальцам, при этом эти случаи рано или поздно открывались, а сертификаты отзывались. А вот случаев подобных атак без использования сертификатов вряд ли можно посчитать по пальцам всех людей на земле… хотя, наверное китайцы спасают статистику))))
но согласитесь, то случаев кражи сертификатов можно посчитать по пальцам, при этом эти случаи рано или поздно открывались, а сертификаты отзывались. А вот случаев подобных атак без использования сертификатов вряд ли можно посчитать по пальцам всех людей на земле… хотя, наверное китайцы спасают статистику))))
Компания Symantec производит ежедневное сканирование сайтов, защищенных с помощью VeriSign Trust Seal (компонент, предоставляемый всем пользователям SSL-сертификатов VeriSign).Подробнее хотелось бы узнать.
если вкратце, то производится подключение по HTTP/HTTPS и отклик анализируется на наличие злонамеренного кода, при этом не нагружая сам сайт ресурсоемкими проверками. Сразу скажу, что это не сканирование на наличие уязвимостей (но такой задачи и не ставится перед этой услугой), а в основном анализ исполняемых файлов, скрытого кода, скрытых айфреймов.
То есть можно выдавать вам хороший сайт, а им — плохой?
логика вопроса мне нравится.
но здесь нужно понимать, что речь идет про защиту хороших сайтов, которые могут быть взломаны злоумышленниками, а не про то, что злоумышленники могут купить сертификат и обманывать Symantec). А в данном сценарии нужно «более сильно сломать сайт», а также произвести лишние изменения, которые значительно проще обнаружить администратопам системы.
на вопрос пока не овтетил. Возможно, проведения сканирований ведется с разных IP. Обещаю проверить и ответить)
но здесь нужно понимать, что речь идет про защиту хороших сайтов, которые могут быть взломаны злоумышленниками, а не про то, что злоумышленники могут купить сертификат и обманывать Symantec). А в данном сценарии нужно «более сильно сломать сайт», а также произвести лишние изменения, которые значительно проще обнаружить администратопам системы.
на вопрос пока не овтетил. Возможно, проведения сканирований ведется с разных IP. Обещаю проверить и ответить)
В случае обнаружения злонамеренного кода владельцы сайта будут информированы об инциденте. Устранение проблем позволяет избежать вероятности попасть в «черные» списки поисковых систем, а также не даст испортить имидж компании в глазах заказчиков.
Этот пункт кричит «Мы расскажем вам если ваш сайт взломают». Хотя, конечно, это другая сфера защиты, к вашему продукту не относящееся.
Проверил.
Именно для обхода подобной ситуации используется случайный IP из большого диапазона адресов.
Спасибо за вопрос!
Именно для обхода подобной ситуации используется случайный IP из большого диапазона адресов.
Спасибо за вопрос!
Я так и не понял, сертификаты других фирм чем-то хуже?
Сканирование антивирусом, это хорошо, но разве сайты с сертификатами только от Verisign отображаются с зеленой адресной строкой?
Сканирование антивирусом, это хорошо, но разве сайты с сертификатами только от Verisign отображаются с зеленой адресной строкой?
UFO just landed and posted this here
не все ЦС прописаны в системах. Например, в xp нет сертификатов ЦС goDaddy
В моей XP Godaddy прописан (У меня SP3)
Написали бы в чем ключевые отличия самого дешевого сертификата отVerisign Symantec за $995 ( www.verisign.com/ssl/buy-ssl-certificates/extended-validation-ssl-certificates/index.html ) и сертификата Godaddy за $99.99 ( www.godaddy.com/ssl/ssl-extended-validation.aspx ). Я вот совсем не понял.
Написали бы в чем ключевые отличия самого дешевого сертификата от
Как минимум, что GoDaddy вот что пишет про свои EV сертификаты:
Available only for businesses in the United States, Canada, United Kingdom, New Zealand and Australia.
Взято здесь:
www.godaddy.com/ssl/ssl-extended-validation.aspx
а поподробнее напишу немного утром…
Available only for businesses in the United States, Canada, United Kingdom, New Zealand and Australia.
Взято здесь:
www.godaddy.com/ssl/ssl-extended-validation.aspx
а поподробнее напишу немного утром…
Если подробнее, то:
сертификат, это не только техническая составляющая (причем, это меньшая составляющая). Куда большие ресурсозатраты уходят на организационные моменты. Выпустить сертификат — технически это не дорого. Значительно дороже организовать проведение проверки клиента, организовать систему защиты для инфраструктуры, охраняющей центр сертификации.
Недостаточное внимание этим моментам приводят к не самым радостным последствиям (http://blog.mozilla.com/security/2011/03/25/comodo-certificate-issue-follow-up/).
Также у VeriSign есть возможность вернуть сертификта в течение 30 дней если не понравился))).
Опять же отзыв сертификата у VeriSign бесплатный.
есть и некоторые другие дополнительные возможности, детали здесь (раздел Additional Features):
www.verisign.com/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html
сертификат, это не только техническая составляющая (причем, это меньшая составляющая). Куда большие ресурсозатраты уходят на организационные моменты. Выпустить сертификат — технически это не дорого. Значительно дороже организовать проведение проверки клиента, организовать систему защиты для инфраструктуры, охраняющей центр сертификации.
Недостаточное внимание этим моментам приводят к не самым радостным последствиям (http://blog.mozilla.com/security/2011/03/25/comodo-certificate-issue-follow-up/).
Также у VeriSign есть возможность вернуть сертификта в течение 30 дней если не понравился))).
Опять же отзыв сертификата у VeriSign бесплатный.
есть и некоторые другие дополнительные возможности, детали здесь (раздел Additional Features):
www.verisign.com/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html
ну и на последок:
сертификат — это лицо брэнда. Вам хотелось бы, чтобы лицо бренда выдавалось компанием с названием GoDaddy?)))))))
Может, только мне кажется, что у кого-то фантазия слишком сильно ключом била во время создания названия?)))
можете сказать, что VeriSign берет деньги ни за что, за имя.
Я не соглашусь… Если попросить создать маленькую машинку у BMW, то получится купер, а если у нашего родного производителя, то выйдет ока.
У каждого клиента свои потребности к сертификатам. Кому-то нужна только техническая часть. Кому-то узнаваемость бренда.
Кому-то быстрый выпуск и консоль централизованного управления.
Мы это прекрасно понимаем. Именно по этой причине у нас есть несколько различных брэндов, от имени которых выпускаются сертификаты:
— если нужен лучший сертификат (и по набору сопутствующего функционала, и по узнаваемости), то это VeriSign
— если среднего класса — то Thawte или GeoTrust отличный выбор.
сертификат — это лицо брэнда. Вам хотелось бы, чтобы лицо бренда выдавалось компанием с названием GoDaddy?)))))))
Может, только мне кажется, что у кого-то фантазия слишком сильно ключом била во время создания названия?)))
можете сказать, что VeriSign берет деньги ни за что, за имя.
Я не соглашусь… Если попросить создать маленькую машинку у BMW, то получится купер, а если у нашего родного производителя, то выйдет ока.
У каждого клиента свои потребности к сертификатам. Кому-то нужна только техническая часть. Кому-то узнаваемость бренда.
Кому-то быстрый выпуск и консоль централизованного управления.
Мы это прекрасно понимаем. Именно по этой причине у нас есть несколько различных брэндов, от имени которых выпускаются сертификаты:
— если нужен лучший сертификат (и по набору сопутствующего функционала, и по узнаваемости), то это VeriSign
— если среднего класса — то Thawte или GeoTrust отличный выбор.
первый пункт — самый «неотличительный». Т.е. это может любой сертификат с возможностью Extended Validation. Но, согласитесь, большинство людей (уверен даже многие в данном высокотехнологичном сообществе) не знают, что существует отдельный класс сертификатов… И только для них работает эта фича. Поэтому и добавили этот пункт, чтобы обратить внимание на этот момент.
но все остальные 4 пункта (2-5) есть только у VeriSign (теперь Symantec).
На мой взгляд, самая интересная возможность — выдача и обновлени сертификата за 5 минут.
Хотя, общался со некоторыми компаниями, где этот момент был не актуален, зато очень нравилась возможность «отметки» сайта в результатах поисковиков.
но все остальные 4 пункта (2-5) есть только у VeriSign (теперь Symantec).
На мой взгляд, самая интересная возможность — выдача и обновлени сертификата за 5 минут.
Хотя, общался со некоторыми компаниями, где этот момент был не актуален, зато очень нравилась возможность «отметки» сайта в результатах поисковиков.
Путем подмены сертификата на свой Microsoft Forefront перехватывает https трафик.
Получается незаметно для простого пользователя, т.к. подменный сертификат выдается доверенной CA.
Какие-нибудь варианты решения неоднозначности существуют? Чтобы пользователь знал, что большой брат не спит.
Получается незаметно для простого пользователя, т.к. подменный сертификат выдается доверенной CA.
Какие-нибудь варианты решения неоднозначности существуют? Чтобы пользователь знал, что большой брат не спит.
Сам нашел, подмена EV не поддерживается forefront ( technet.microsoft.com/en-us/library/ee658156.aspx )
Вашу рекламу мы можем почитать и в других местах.
Сделайте статьи по сертификатам — типы сертификатов, про длинну ключей (какие сертификаты какую длинну поддерживают), использование нескольких сертификатов на разные домены на одном веб сервере и прочее.
По простым сертификатам информации полно, а как нужно сделать что-то по сложнее — информационный вакум вообще. Не знаешь с какого конца взятся.
Вот к примеру ситуация — есть сайт, доступный по www.example.com и example.com (редиректит на www.example.com). А на сервере несколько сайтов, которым тоже надо подключить SSL. В добавок ещё есть админка, которую надо бы повесить на самоподписанный сертификат (и вообще доступ только по сертификатам туда). Вот как совместить всё это не закупая +100500 IP и серверов?
По простым сертификатам информации полно, а как нужно сделать что-то по сложнее — информационный вакум вообще. Не знаешь с какого конца взятся.
Вот к примеру ситуация — есть сайт, доступный по www.example.com и example.com (редиректит на www.example.com). А на сервере несколько сайтов, которым тоже надо подключить SSL. В добавок ещё есть админка, которую надо бы повесить на самоподписанный сертификат (и вообще доступ только по сертификатам туда). Вот как совместить всё это не закупая +100500 IP и серверов?
по поводу длины ключа проще всего посмотреть здесь:
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
Из типов сертификтов предложил бы обратить на следующие:
1. Обычные SSL (в терминологии VeriSign — Secure Site)
2. С принудительным шифрованием сильным ключом (в терминологии VeriSign — Secure Site Pro)
3. С расширенной проверкой, т.е. те самые Extended Validation (у VeriSign — Secure Site with EV)
4. Одновременно с сильным шифрованием и EV (у VeriSign — Secure Site Pro with EV).
Если я правильно понял вашу потребность, то это поможет:
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
по поводу админки с самоподписанным сертификатом не особо понял. Можете уточнить?
p.s.: если многим будет интересна данная тема, то попозже можно будет ее поподробнее раскрыть…
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
Из типов сертификтов предложил бы обратить на следующие:
1. Обычные SSL (в терминологии VeriSign — Secure Site)
2. С принудительным шифрованием сильным ключом (в терминологии VeriSign — Secure Site Pro)
3. С расширенной проверкой, т.е. те самые Extended Validation (у VeriSign — Secure Site with EV)
4. Одновременно с сильным шифрованием и EV (у VeriSign — Secure Site Pro with EV).
Если я правильно понял вашу потребность, то это поможет:
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
по поводу админки с самоподписанным сертификатом не особо понял. Можете уточнить?
p.s.: если многим будет интересна данная тема, то попозже можно будет ее поподробнее раскрыть…
небольшое дополнение…
если совсем все поддомены не нужны, то можно менее радикальную меру:
www.verisign.com/ssl/buy-ssl-certificates/subject-alternative-name-certificates/
если совсем все поддомены не нужны, то можно менее радикальную меру:
www.verisign.com/ssl/buy-ssl-certificates/subject-alternative-name-certificates/
Ну вот в итоге сидишь и не знаешь — а что выбрать. А ещё EV сильно ограниченны — невозможно получить во многих странах — просто отказывают в проверке. Пока не инициализируешь саму проверку — не узнаешь, и ждать по полтора-два месяца.
Насчёт сертификатов — ну есть у нас админка, нам не нужно для неё официальный сертификат — нам своего хватит, т.к. заходить будут только свои сотрудники. Как нам на одном веб сервере совместить официальные сертификаты и свой сертификат? :) Хотя бы для apache, а лучше nginx/lighttpd.
Вариант с запуском нескольких веб серверов на разных портах понятен, но иногда неудобен (есть отдельным поддомен под админку и балансировщик принимает только 80 и 443 порты).
В общем раскрывайте тему в подробностях, потому что лично мы потратили почти месяц разбиратения типов сертификатов, покупку и всёравно вляпались пару раз что купили не то или сделали что-то не так.
Насчёт сертификатов — ну есть у нас админка, нам не нужно для неё официальный сертификат — нам своего хватит, т.к. заходить будут только свои сотрудники. Как нам на одном веб сервере совместить официальные сертификаты и свой сертификат? :) Хотя бы для apache, а лучше nginx/lighttpd.
Вариант с запуском нескольких веб серверов на разных портах понятен, но иногда неудобен (есть отдельным поддомен под админку и балансировщик принимает только 80 и 443 порты).
В общем раскрывайте тему в подробностях, потому что лично мы потратили почти месяц разбиратения типов сертификатов, покупку и всёравно вляпались пару раз что купили не то или сделали что-то не так.
Что интересно, в России очень мало распространены EV сертификаты, даже у многих банков это редкость (вроде только у тинькова появился). Мы у себя поставили EV, в принципе, вопросы типа «А Вы надежный магазин?» отпали совсем =)
> в принципе, вопросы типа «А Вы надежный магазин?» отпали совсем =)
Кое-какие вопросы все таки остались: habrastorage.org/storage1/04486301/5bf8d781/5c77a473/410be987.png: -)
Кое-какие вопросы все таки остались: habrastorage.org/storage1/04486301/5bf8d781/5c77a473/410be987.png: -)
Sign up to leave a comment.
Чем хороши SSL-сертификаты VeriSign EV