[ CoyoteKG @ 20.01.2017. 22:37 ] @
potreban mi je wildcard za sada, i kupovao sam preko neke firme.
Uzeli samo Comodo, i cifra je bila 210€ godisnje za domain validated.

Posto imam neki dev server na hetzneru mislim da iz njhovog robota mogu da porucim i SSL, ali neki Thawte
https://www.hetzner.de/hu/hosting/ssl/zertifika koji bi me kostao i duplo manje.
Čak na ovom linku kapiram da neograničeno subdomena je u pitanju, i osim toga da nije ssl samo za subdomain nego i za taj domain? Sa tim comodo koji sam pomenuo, važio je samo za subdomains

Uopšte ne kapiram kako da izaberem SSL u moru ponuda.
[ Goran Rakić @ 20.01.2017. 23:50 ] @
Wildcard sertifikati ne mogu da budu EV (green bar), pa ti preostaju OV (org-validated) i DV (domain-validated).

Tehnički nema razlike, u slučaju skupljih OV sertifikata u sertifikatu je upisan i naziv organizacije, dok je kod DV sertifikata upisan samo domen. Kod OV sertifikata postoji i ta dodatna provera (mada slabije nego za EV), dok se DV sertifikati izdaju brže.

Comodo na primer ima PositiveSSL, EssentialSSL koji su DV i PremiumSSL koji je OV.

Primer DV sertifikata


Primer OV sertifikata



Za obične sertifikate (koji nisu wildcard) uz EssentialSSL dobijaš besplatnu nadogradnju na EV SSL (green bar) u prvoj godini, za kupce koji kod Comodoa sertifikat uzimaju prvi put. Ali za wildcard sertifikate to nije moguće, pa nisam siguran da postoji ikakva razlika.

Cena je uvek bolja preko preprodavaca, pogledaj već ko ima aktuelnu akcijsku ponudu. Na primer https://www.ssl2buy.com nudi wildcard Comodo PositiveSSL za $54/godišnje odnosno $147 za tri godine.

Sertifikaciona tela takođe naplaćuju svoj brend, pa GlobalSign recimo nudi i jeftinije sertifikate preko AlphaSSL brenda. U oba slučaja root sertifikat je isti "GlobalSign Root CA"
[ CoyoteKG @ 21.01.2017. 09:03 ] @
Hvala Gorane. Delom jasnije.

Kapirao sam šta je DV, a šta OV, sad kapiram i šta je EV.
Ali i dalje ne razumem zasto jedan sertifikat kosta 10E, a drugi 50E.

Recimo, zasto je tolika razlika izmedju Comodo PositiveSSL i EssentialSSL.
Zasto je WildCard Comodo toliko skuplji od Thawte, mada i to je diskutabilno, Thawte se isto razlikuje za 50% cena krecimo kod Hetznera i ssl2buy.

Jesam li razumeo dobro, da kod ovih 5 brendova...
- Comodo
- GeoTrust
- Thawte
- GlobalSign
- Symantec
...je svejedno koji odaberem? Da su svi odlični, i da bolje da se vodim logikom o ceni?



Pored ovoga me interesuje jos jedno.
Na web serverima apache ili IIS, da li je obavezno da imam dedicated IP adresu za svaki različit sertifikat koji instaliram?
[ S A J A @ 21.01.2017. 12:08 ] @
https://letsencrypt.org/
[ Informer @ 21.01.2017. 15:39 ] @
^

Ja koristim lets encrypt vec nekoliko meseci i mogu ti reci da sam zadovoljan.
[ CoyoteKG @ 21.01.2017. 17:46 ] @
Stavio sad i ja letsencrypt na par sajtova, ima ga u Plesku medju ekstenzijama, pa mi nije bilo tesko...
Sljaka.
Mada i dalje ne razumem koja je sad razlika izmedju ovog besplatnog i onih koji kostaju po 50-100$.

Jedino sto jos nemaju wildcard
[ iglig @ 21.01.2017. 18:24 ] @
Ako nemaš root pristup serveru onda ne možeš da napišeš skriptu za automatizovano generisanje potvrda prilikom pravljenja novog sertifikata i tako svaka 3 meseca za svaki od domena. Dobićeš upozorenje mesec dana pred istek ali uvek ima prioritetnijih stvari pa se lako čovek zaboravi. Jeste 10 minuta posla ali opet uradi 4x godišnje za svaki domen i računaj još toliko što si izgubio na šaltanju sa primarnog posla i eto računa za kupovinu godišnjeg sertifikata. Comodo bih zaobišao nakon pokušaja nihovog CEO-a da patentira generisanje ključeva kao njihov izum a mislim i da su imali neki ozbiljan fejl prošle godine na istočnom tržištu ako me sećanje dobro služi.
[ CoyoteKG @ 21.01.2017. 18:58 ] @
Aham, nisam kapirao da traje samo 3 meseca.
[ Goran Rakić @ 21.01.2017. 21:30 ] @
Između brendova, jeste sve jedno. Možda Symantec možeš da izbegneš dok se stvari ne raščiste, više kao vid protesta. Rekao bih da je šansa da bilo šta što će se njima desiti utiče na tebe kao korisnika minimalna. U najgorem slučaju browseri mogu odlučiti da od nekog trenutka ne veruju njihovim novim sertifikatima.

Sertifikat nema nikakve veze sa IP adresama, to je do podešavanja servera.

Kao što za HTTP postoji name-based virtual host (više sajtova na jednoj IP adresi) tako i za HTTPS postoji SNI. Neki stariji browseri i klijenti ne podržavaju SNI (posebno bilo koja verzija IE na WinXP i Java6 kao klijent što je značajno za neke veb aplikacije), pa o tome treba voditi računa.

Server koristi SNI da zna koji sertifikat (od više njih) da ponudi dolaznom klijentu. Problem kod HTTPS SNI je što ako se virtual host loše podesi ili klijent ne podržava SNI dolazi do prikaza greške da sertifikat ne odgovara domenu i konekcija nije moguća.

Alternativa je da svaki domen (i poddomen) ima svoj IP (IP based virtual hosts) kako bi po dolaznoj konekciji server znao koji sertifikat da ponudi.

Ako koristiš wild-card sertifikat ili multi-domain sertifikat onda možeš sve ove domene/poddomene da držiš na istoj IP adresi, pošto server svima šalje isti sertifikat. To je praktično, pa su zato oni skuplji.

Danas međutim većina browsera može da koristi HTTPS SNI.
[ CoyoteKG @ 22.01.2017. 16:55 ] @
Hvala Gorane jasnije puno