r.stefanov
Well-Known Member
Оти няколко сравнително големи български фирми (2 за сега видях) нямат SSL нито на билинга, нито на контролния панел? Други са със self signed, ама поне има нещо. :shock:
No SSL?
- Автор r.stefanov
- Начална дата
r.stefanov
Well-Known Member
От: No SSL?
Нещо не ми се връзва тук. Да не говорим, че да тормозиш бекенда допълнително е просто глупаво. Иначе всички големи компании щях да го правят. Aaaand a practical study establishes that SSL/TLS is not computationally expensive any more.
Нещо не ми се връзва тук. Да не говорим, че да тормозиш бекенда допълнително е просто глупаво. Иначе всички големи компании щях да го правят. Aaaand a practical study establishes that SSL/TLS is not computationally expensive any more.
s1yf0x
Well-Known Member
От: No SSL?
На тебе много неща не ти се връзват, но това е загубена кауза. Аз също не го намирам за правилно но е факт, че се прави. Дори системата на БОРИКА за разплащания използва този модел за комуникация между клиентксия POS терминал и собствения си service. Мога да изброя и още примери за разплащателни системи. Дори държавните агенции до скоро ползваха собствен CA, който не беше включен в предварително инсталирание root сертификати на браузърите и се налагаше да се правят потвърждения, записвания и прочие допълнителни операции.
На тебе много неща не ти се връзват, но това е загубена кауза. Аз също не го намирам за правилно но е факт, че се прави. Дори системата на БОРИКА за разплащания използва този модел за комуникация между клиентксия POS терминал и собствения си service. Мога да изброя и още примери за разплащателни системи. Дори държавните агенции до скоро ползваха собствен CA, който не беше включен в предварително инсталирание root сертификати на браузърите и се налагаше да се правят потвърждения, записвания и прочие допълнителни операции.
happyslacker
New Member
От: No SSL?
SSL сертификата струва пари. Удоволствието да имаш отделен IP адрес - също.
SSL сертификата струва пари. Удоволствието да имаш отделен IP адрес - също.
s1yf0x
Well-Known Member
От: No SSL?
това е несериозно. В най-лошия случай един SSL сертификат струва 20 лв и едно IP 24 лв на година - общо взето 44 лв. Ако сертификата е wildcard тогава може да е по-скъм, но в БГ само банките ползват такива. В повечето случаи използването на SSL в бекенда е заради начина на работа на платформата, която се ползва или някакъв сървиз.
това е несериозно. В най-лошия случай един SSL сертификат струва 20 лв и едно IP 24 лв на година - общо взето 44 лв. Ако сертификата е wildcard тогава може да е по-скъм, но в БГ само банките ползват такива. В повечето случаи използването на SSL в бекенда е заради начина на работа на платформата, която се ползва или някакъв сървиз.
r.stefanov
Well-Known Member
От: No SSL?
Майтапиш се с тоя пост, нали? Как може да сравниш сигурността на клиента (пък и своята) с удоволствие?
И каква платформа може да ползва една хостинг фирма след като панела е whm, а билинга whmcs, че чак ссл-а да е в бекенда?
Както казах, нещо не ми се връзва. Между другото има и безплатни class1 сертификати (домейн и 1 под домейн), които вършат същата работа и всичко си е зелено ако толкова няма пари. Няма разлика с евтиния платен.
Майтапиш се с тоя пост, нали? Как може да сравниш сигурността на клиента (пък и своята) с удоволствие?
И каква платформа може да ползва една хостинг фирма след като панела е whm, а билинга whmcs, че чак ссл-а да е в бекенда?
Както казах, нещо не ми се връзва. Между другото има и безплатни class1 сертификати (домейн и 1 под домейн), които вършат същата работа и всичко си е зелено ако толкова няма пари. Няма разлика с евтиния платен.
happyslacker
New Member
От: No SSL?
И аз не се чувствам комфортно да се логвам в сайт, който не ползва силна криптография. Обаче има много потребители, които нямат представа какво е SSL и си цвъкат паролата в открит текст без да си дават сметка за последствията. Гледам, че има даже и онлайн магазини, които приемат кредитни и дебитни карти без никакво криптиране. И щом продължават да съществуват, значи има клиенти, които да пазаруват от тях. Аз не бих пазарувал от такова място, но много хора го правят.
И аз не се чувствам комфортно да се логвам в сайт, който не ползва силна криптография. Обаче има много потребители, които нямат представа какво е SSL и си цвъкат паролата в открит текст без да си дават сметка за последствията. Гледам, че има даже и онлайн магазини, които приемат кредитни и дебитни карти без никакво криптиране. И щом продължават да съществуват, значи има клиенти, които да пазаруват от тях. Аз не бих пазарувал от такова място, но много хора го правят.
happyslacker
New Member
От: No SSL?
Не е луд този, който взима парите, лудите са тези, които му ги дават...
Не е луд този, който взима парите, лудите са тези, които му ги дават...
r.stefanov
Well-Known Member
Вискяр Градинаров
Well-Known Member
От: No SSL?
Предвидил съм, когато инсталирам онлайн магазин, да закупя SSL сертификат. Защото искам да има възможност за онлайн разплащане. Пък който не му харесва така, да си плаща на куриерската фирма.
Връзката ми с cPanel е през https:// - това достатъчно ли е? Или трябва да закупя сертификат?И ако си като повечето българи, които нямат идея какво е ssl е достатъчно да ти качат един снифер и отиде коньо у ряката
Предвидил съм, когато инсталирам онлайн магазин, да закупя SSL сертификат. Защото искам да има възможност за онлайн разплащане. Пък който не му харесва така, да си плаща на куриерската фирма.
s1yf0x
Well-Known Member
От: От: No SSL?
Този ssl на cpanel е грижа на хостинг провайдъра ти. cPanel има възможност за достъп и без https, но някой БГ доставчици са против това и е деактивирано като възможност. ssl-а за cPanel може да се инсталира и на FTP-то и на SMTP-то / IMAP-а / POP3-то . Твоята грижа е да настроиш ftp клиента си да работи с FTPS протокола за да ползва SSL/TLS .
Този ssl на cpanel е грижа на хостинг провайдъра ти. cPanel има възможност за достъп и без https, но някой БГ доставчици са против това и е деактивирано като възможност. ssl-а за cPanel може да се инсталира и на FTP-то и на SMTP-то / IMAP-а / POP3-то . Твоята грижа е да настроиш ftp клиента си да работи с FTPS протокола за да ползва SSL/TLS .
happyslacker
New Member
От: No SSL?
Може да нямаш SSL на сайта, но да приемаш плащания през друг сайт, който има SSL (примерно "любимите" ни PayPal). Обаче повечето платформи за електронни магазини взимат личните данни на клиента преди да го пратят при доставчика на платежни услуги, където правят плащането. В този случай личните данни няма да са защитени (на теория*), но плащането ще бъде.
* В същност и да си купиш SSL пак няма абсолютна сигурност, защото слабото място е сигурността на доставчика ти на хостинг. Едва ли някой ще се занимава да снифи трафика за лични данни, в които няма номера на кредитни/дебитни карти. На който му трябват лични данни - в Търговския регистър има колкото си искаш (при това с повече подробности - номера на лични карти и паспорти, ЕГН-та, образци от подписи и т.н.).
Може да нямаш SSL на сайта, но да приемаш плащания през друг сайт, който има SSL (примерно "любимите" ни PayPal). Обаче повечето платформи за електронни магазини взимат личните данни на клиента преди да го пратят при доставчика на платежни услуги, където правят плащането. В този случай личните данни няма да са защитени (на теория*), но плащането ще бъде.
* В същност и да си купиш SSL пак няма абсолютна сигурност, защото слабото място е сигурността на доставчика ти на хостинг. Едва ли някой ще се занимава да снифи трафика за лични данни, в които няма номера на кредитни/дебитни карти. На който му трябват лични данни - в Търговския регистър има колкото си искаш (при това с повече подробности - номера на лични карти и паспорти, ЕГН-та, образци от подписи и т.н.).
s1yf0x
Well-Known Member
r.stefanov
Well-Known Member
От: No SSL?
Главните разлики са цената и authority, т.е. какво доверие може да се има към сайта/фирмата. Искаш да знаеш кой стои зад сайта от който пазариш, нали? Ти можеш и сам да си направиш сертификат, ама аз например от къде да знам кой си? Има разлика и в паричните гаранции.
Главните разлики са цената и authority, т.е. какво доверие може да се има към сайта/фирмата. Искаш да знаеш кой стои зад сайта от който пазариш, нали? Ти можеш и сам да си направиш сертификат, ама аз например от къде да знам кой си? Има разлика и в паричните гаранции.
s1yf0x
Well-Known Member
От: No SSL?
Обясни го малко по-лаишки де. Основната идея на SSL сертификата е да защити начина по който изпращаш данните на някого и да удостовери, че този който ще ги получи е действително този, на когото ги изпращаш. Т.е. да криптира трафика между тем и получатела и да даде информация, кой е получателя.
И евтините и скъпите сертификати предлагат една и съща степен на криптиране. Без значение кой ги издава - Geotrust, Symantec, Comodo и т.н. все е 256 битова. Всеки един такъв издател прави редица проверки за да удостовери в последстиве, че зад даден сертификат стои точно определен сайт, организация, лице и прочие. След като гарантира, че тези проверки са направени дава и гаранция на сертификата. В зависимост от вида (разбирай цената) гаранцията е различна. Разлика има и в броя домейни, за които се издава сертифиакта - има сертификати за един домейн, има и wildcard за много поддомейни на един домейн (най-общо казано).
Защо някой организации използват по-скъпи (more trusted) сертификати - изисквания на ISO и брандиране.
Обясни го малко по-лаишки де. Основната идея на SSL сертификата е да защити начина по който изпращаш данните на някого и да удостовери, че този който ще ги получи е действително този, на когото ги изпращаш. Т.е. да криптира трафика между тем и получатела и да даде информация, кой е получателя.
И евтините и скъпите сертификати предлагат една и съща степен на криптиране. Без значение кой ги издава - Geotrust, Symantec, Comodo и т.н. все е 256 битова. Всеки един такъв издател прави редица проверки за да удостовери в последстиве, че зад даден сертификат стои точно определен сайт, организация, лице и прочие. След като гарантира, че тези проверки са направени дава и гаранция на сертификата. В зависимост от вида (разбирай цената) гаранцията е различна. Разлика има и в броя домейни, за които се издава сертифиакта - има сертификати за един домейн, има и wildcard за много поддомейни на един домейн (най-общо казано).
Защо някой организации използват по-скъпи (more trusted) сертификати - изисквания на ISO и брандиране.
happyslacker
New Member
От: No SSL?
По-скъпите сертификати дават информация на потребителя кой точно стои зад сайта (удостоверяват собственика на сайта). Евтините сертификати не удостоверяват кой е собственика.
Атакуващият може да си купи сертификат от друг доставчик и да замени оригиналния сайт с неговия чрез манипулиране на DNS. Нещо такова бяха направили като измамници си купиха сертификат за google.com.
По-скъпите сертификати дават информация на потребителя кой точно стои зад сайта (удостоверяват собственика на сайта). Евтините сертификати не удостоверяват кой е собственика.
Атакуващият може да си купи сертификат от друг доставчик и да замени оригиналния сайт с неговия чрез манипулиране на DNS. Нещо такова бяха направили като измамници си купиха сертификат за google.com.
s1yf0x
Well-Known Member
От: No SSL?
За да си купиш такъв сертификат трябва да потвърдиш издаването, чрез хиперлинк изпратен автоматично на един от следните мейли:
1. registrant - проверен през whois протокол
2. [email protected] , [email protected], [email protected]
За да си вземат такъв сертификат или трябва да са имали достъп до мейла от whois-а или до MX-а на google.com , което ми се струва малко в сферата на измислиците. По-вероятно е да са издали такъв сертификат на някой от ccTLD-тата на google за определена държава. Или да са компрометирали цялото CA - примерно да хакнат Geotrust или Comodo. На същия принцип можеш да си издадеш ел. подпис на всяко едно лице, ако имаш достъп до системата на Инфонотари или на някой друг издател.
За да си купиш такъв сертификат трябва да потвърдиш издаването, чрез хиперлинк изпратен автоматично на един от следните мейли:
1. registrant - проверен през whois протокол
2. [email protected] , [email protected], [email protected]
За да си вземат такъв сертификат или трябва да са имали достъп до мейла от whois-а или до MX-а на google.com , което ми се струва малко в сферата на измислиците. По-вероятно е да са издали такъв сертификат на някой от ccTLD-тата на google за определена държава. Или да са компрометирали цялото CA - примерно да хакнат Geotrust или Comodo. На същия принцип можеш да си издадеш ел. подпис на всяко едно лице, ако имаш достъп до системата на Инфонотари или на някой друг издател.