Подскажите пожалуйста, есть ли у нас организация, которая выдаёт\подтверждает SSL сертификаты?

Подскажите пожалуйста, есть ли у нас организация, которая выдаёт\подтверждает SSL сертификаты?
Есть, но для браузеров они будут невалидны (если имеете ввиду сертификаты для сайтов) Здесь (http://rc-service.ftmtm.uz/) посмотрите. Но лучше Thawte или VeriSign.

для браузеров они будут невалидны
Вы лучше объяснили бы, что значит невалидность сертификата для браузера. И чем это лучше Thawte или Verisign?

Вы лучше объяснили бы, что значит невалидность сертификата для браузера. И чем это лучше Thawte или Verisign?
Зачем Вам объяснять, если Вы и так знаете?

Вы лучше объяснили бы, что значит невалидность сертификата для браузера. И чем это лучше Thawte или Verisign?
Зачем Вам объяснять, если Вы и так знаете?

Я незнаю, почему вы сделали такой вывод. Я считаю, что вы неправы. Поэтому я попросил объяснить.

Я незнаю, почему вы сделали такой вывод. Я считаю, что вы неправы. Поэтому я попросил объяснить.
Ну и объясните в чем я не прав, прежде чем требовать объяснений от меня.

Я незнаю, почему вы сделали такой вывод. Я считаю, что вы неправы. Поэтому я попросил объяснить.
Ну и объясните в чем я не прав, прежде чем требовать объяснений от меня.
Вы неправы относительно вашего высказывания
но для браузеров они будут невалидны
И я не уверен в том что,
лучше Thawte или VeriSign

Вы неправы относительно вашего высказывания
Так может все-таки объясните, почему я не прав?

И я не уверен в том что,
А я уверен. Сертификаты подписанные данными CA в браузерах определяются как доверенные, подписанные именно этими CA. Также сертификаты подписанные этими CA обеспечены страховкой. А думаете сертификаты выданные нашими CA будут определятся как подписанные доверенной стороной, или же сторона подписавшая сертификат будет неизвестной и вручную придется добавлять исключения? Это в случае с браузерами. В случае с ОС (Windows) будет то же самое, в корневых хранилищах наших CA нет.

Вы неправы относительно вашего высказывания
Так может все-таки объясните, почему я не прав?

И я не уверен в том что,
А я уверен. Сертификаты подписанные данными CA в браузерах определяются как доверенные, подписанные именно этими CA. Также сертификаты подписанные этими CA обеспечены страховкой. А думаете сертификаты выданные нашими CA будут определятся как подписанные доверенной стороной, или же сторона подписавшая сертификат будет неизвестной и вручную придется добавлять исключения? Это в случае с браузерами. В случае с ОС (Windows) будет то же самое, в корневых хранилищах наших CA нет.

Не правы, потому что сертификаты выданные нашими CA валидны. Валидность этих сертификатов легко проверяется.

Что означает "обеспечены страховкой"?

Тот факт, что сертификаты наших СА нет в хранилищах по умалчанию, не означает что они не валидны. И что они хуже таковых Verisign и любых других подобных.

Не правы, потому что сертификаты выданные нашими CA валидны. Валидность этих сертификатов легко проверяется.
Под невалидностью я имел ввиду то, что браузеры не определяют их как подписанные доверенной стороной. Конечно легко проверяется, в два клика. Только кто сказал, что после этого я должен доверять нашему корневому CA?
Насчет страховки - можете почитать хотя бы на сайте Verisign - каждый сертификат обеспечен страховкой (гаранией), выраженной N-ой суммой.
Для меня наши сертификаты хуже других тем, что их нет в корневых хранилищах, наши CA не дают всего того спектра услуг, которые представлены хотя бы тем же Verisign. Покажите мне хоть один сайт с сертифкатом выданным нашим CA, при заходе на который мой браузер скажет, что сертифкат подписан доверенной стороной и без проблем позволит пройти дальше по https, тогда я скажу что наши сертификаты не хуже других. А пока от Вас я не услышал, какие преимущества или плюсы имееют наши сертифкаты, чтобы быть не хуже сертификатов Verisign. Я самоподписанному сертифкату буду также доверять как выданному нашими CA.

Эльдар, большое спасибо. Именно то, что хотелось узнать.
Тему можете закрыть для прекращения флейма.

Не правы, потому что сертификаты выданные нашими CA валидны. Валидность этих сертификатов легко проверяется.
Под невалидностью я имел ввиду то, что браузеры не определяют их как подписанные доверенной стороной. Конечно легко проверяется, в два клика. Только кто сказал, что после этого я должен доверять нашему корневому CA?

А почему вы не доверяте? Из-за того что, это "местного розлива"?


Насчет страховки - можете почитать хотя бы на сайте Verisign - каждый сертификат обеспечен страховкой (гаранией), выраженной N-ой суммой.

Не смешите, наши тоже могут написать такое, даже больше. Но думаю, у вас не правильное отношение к отечественным производителям. Наверное у вас есть причина.


Для меня наши сертификаты хуже других тем, что их нет в корневых хранилищах, наши CA не дают всего того спектра услуг, которые представлены хотя бы тем же Verisign. Покажите мне хоть один сайт с сертифкатом выданным нашим CA, при заходе на который мой браузер скажет, что сертифкат подписан доверенной стороной и без проблем позволит пройти дальше по https, тогда я скажу что наши сертификаты не хуже других. А пока от Вас я не услышал, какие преимущества или плюсы имееют наши сертифкаты, чтобы быть не хуже сертификатов Verisign. Я самоподписанному сертифкату буду также доверять как выданному нашими CA.

Вы делайте как хотите, но людей не вводите в заблуждение. Хотя бы напишете ИМХО. :-)

Кстати, вы наверное знаете и о "ляпах" Verisign или и сделали домашнее задание про и другие производители SSL сертификатов.

для прекращения флейма.
Вы считаете обсуждение наше флеймом? Зря. Я надеюсь вы не будете следовать совету госп. Ишимбаева и поддержите отечественного производителя. ;-)

Есть конечно одно исключение, если ваш сайт рассчитан на пользователей извне, покупайте SSL сертификаты зарубежного производителя. Но они дорогие, имейте ввиду. :-)

Не смешите, наши тоже могут написать такое, даже больше.
Для того чтобы написать, нужно подкреплять написанное действием. Кто из наших CA гарантирует и подкрепляет свою гарантию страховкой?

Вы делайте как хотите, но людей не вводите в заблуждение. Хотя бы напишете ИМХО. :-)
Ну вот и пишите ИМХО и вводите людей в заблуждение тем, что ставите сертификаты от трастовых CA в один ряд с нашими. Когда они дойдут до их уровня, тогда я с удовольствием буду пользоваться их услугами. И это не мое ИМХО, а текущее состояние PKI в Узбекистане.

Кстати, вы наверное знаете и о "ляпах" Verisign или и сделали домашнее задание про и другие производители SSL сертификатов.
Чо?

Вы считаете обсуждение наше флеймом? Зря. Я надеюсь вы не будете следовать совету госп. Ишимбаева и поддержите отечественного производителя. ;-)
Как вижу совет использовать сертификаты, подписанные нашими CA исходят только из посыла поддерживать отечественного производителя. Ну-ну.
Кстати, я просил дать ссылку хотя бы на один сайт, который использует наш сертифкат, и который мой браузер воспримет как подписанный доверенной стороной. Есть?

Если заметили, то я дал ссылку на наш корневой CA и не давал их на зарубежные, а выбор Максима, это его выбор, я никого ни к чему не обязываю - это к тому, что Вы пытаетесь упорно доказать, что я предвзято отношусь к нашим CA. Вынужден огорчить Вас - я всегда за отечественного производителя, только пусть качество будет на высоте.

Вы считаете обсуждение наше флеймом? Зря. Я надеюсь вы не будете следовать совету госп. Ишимбаева и поддержите отечественного производителя. ;-)
Как вижу совет использовать сертификаты, подписанные нашими CA исходят только из посыла поддерживать отечественного производителя. Ну-ну.
Кстати, я просил дать ссылку хотя бы на один сайт, который использует наш сертифкат, и который мой браузер воспримет как подписанный доверенной стороной. Есть?

Вы не поняли, ну и ладно. За посылом поддержки отечественного производителя следовал смайлик, если не заметили.

Главное есть сайты, которые мой браузер воспринимает. За ваш браузер я не отвечаю.

Чо?
Если не поняли, я вас отсылал на гугл. Поищите и почитайте про сертификаты Verisgn.

Для того чтобы написать, нужно подкреплять написанное действием. Кто из наших CA гарантирует и подкрепляет свою гарантию страховкой?

Как вы себе представляете эту гарантию?

Вы не поняли, ну и ладно. За посылом поддержки отечественного производителя следовал смайлик, если не заметили. Главное есть сайты, которые мой браузер воспринимает. За ваш браузер я не отвечаю.
Слишком много смайлов, думал у Вас они автоматом вставляются по нажатию Enter.

лавное есть сайты, которые мой браузер воспринимает. За ваш браузер я не отвечаю.
Сами написали?

Если не поняли, я вас отсылал на гугл. Поищите и почитайте про сертификаты Verisgn.
Я не понял, что Вы там про домашнее задание написали.

Как вы себе представляете эту гарантию?
Очень просто - я получаю денежное вознаграждение, если SSL-сертификат будет скомпрометирован.

Так как насчет сайта? Или плюсов наших SSL-сертифкатов?

Слишком много смайлов, думал у Вас они автоматом вставляются по нажатию Enter.

Ну если вы об этом позаботились (скрипты-то вы добавляете :), то да.

Сами написали?
Не поняли, ну и ладно. Ничего страшнего. Потому-что у вас по-любому есть один вопрос:

А какая вам разница?


Я не понял, что Вы там про домашнее задание написали.

Так как насчет сайта? Или плюсов наших SSL-сертифкатов?
Сайты поищите сами.

Для вас нет никаких плюсов, потому что вы считаете огромным минусом то, что корневые сертификаты наших СА не находятся в соответсвующих хранилищах (браузера и т.д.). И вопросы, которые вы мне задаете основаны именно на этом факте.

для прекращения флейма.
Вы считаете обсуждение наше флеймом? Зря. Я надеюсь вы не будете следовать совету госп. Ишимбаева и поддержите отечественного производителя. ;-) В таком случае, каждый линуховый хост в моей сети - отечественный производитель! Тысяча чертей! да у меня даже HPшные свичике умеют генерить SSL сертификаты!
Флейм - это то, что выходит за рамки вопроса, заданного топикстартером, то бишь - мной. Так как я поблагодарил ответевшего на мой вопрос респондента и ответил, что для меня вопрос полностью раскрыт и не требует дальнейшего разьяснения. + вы так и не указали ни одного местного СА. Что вполне подходит под третий пункт определения флейм.
Пожалуйста покажите мне местные СА и я заберу свои слова обратно. И буду сильно благодарен, кстати. :187:
Есть конечно одно исключение, если ваш сайт рассчитан на пользователей извне, покупайте SSL сертификаты зарубежного производителя. Но они дорогие, имейте ввиду. :-)
нет, сайт, как раз таки, местный и для внутреннего рынка только, в скором времени ограничу данный хост с мира даже. tas-ix only.

Пожалуйста покажите мне местные СА
Вам уже Eldar Ishimbaev давал ссылку. Я лично использую вот этот (http://crk.mss.uz).

определения Ссылка на Wikipediaфлейм.
Ну вот еще этого не хватило, отсылает в Википедию. ;-)

https://img.uforum.uz/images/1685479.png
Что такое? Ай-яй-яй.
Думаете я исхожу из факта, что его нет в корневом хранилище? Заблуждаетесь. Меня интересует алгоритм шифрования, нахождение в реестре и прочее. В данном случае я могу доверится этому сертификату добавив его в исключения (SHA-1 с RSA вполне стойкий алгоритм, который взломать можно только теоритически). Но используя сертификат на таких узлах, где, например, происходят денежные транзакции, я бы установил оный от доверенного источника, дабы не вводить в заблуждение своих клиентов. Для других, менее критичных секьюрных узлов можно использовать сертификаты "отечественного производителя" (кстати, если что, я работаю на государственном отечественном предприятии - в случае если Вы до сих пор думаете, что я против отечественного производителя или "местного розлива". В "розлив" кстати, не употребляю :) )или даже самоподписанные, что на данный момент считаю равнозначным.


shumbola,
предлагаю далее не разводить флейм, ибо ТС удовлетворен полученной информацией. Я не в коей мере не хочу переубеждать Вас или заставлять кого-либо останавливать выбор на одном из CA. Ваше мнение - Ваше, мое - мое.

Что такое? Ай-яй-яй.
Думаете я исхожу из факта, что его нет в корневом хранилище? Заблуждаетесь. Меня интересует алгоритм шифрования, нахождение в реестре и прочее. В данном случае я могу доверится этому сертификату добавив его в исключения (SHA-1 с RSA вполне стойкий алгоритм, который взломать можно только теоритически). Но используя сертификат на таких узлах, где, например, происходят денежные транзакции, я бы установил оный от доверенного источника, дабы не вводить в заблуждение своих клиентов. Для других, менее критичных секьюрных узлов можно использовать сертификаты "отечественного производителя" (кстати, если что, я работаю на государственном отечественном предприятии - в случае если Вы до сих пор думаете, что я против отечественного производителя или "местного розлива". В "розлив" кстати, не употребляю :) )или даже самоподписанные, что на данный момент считаю равнозначным.

Вы просто тут занимаетесь, извините за выражение, словоблудием.

Какой алгоритм шифрования вас интересует? Нахождение в каком реестре? И что такое "прочее"? Огласите, может быть вы от меня получите ответы.

И пожалуйста, не надо вумных слов, типа "где происходят денежные транзакции". Отечественные сертификаты вполне подходят для этого. Только не надо мне опять про хранилищ по умалчанию.

Вы скажите конкретно, чем они вас не удовлетворяет.

А вот это что такое? :shok:
менее критичных секьюрных узлов


Самоподписанные сертификаты зло, вы что хотите считайте, но это не равнозначно. Поверьте мне.



shumbola,
предлагаю далее не разводить флейм, ибо ТС удовлетворен полученной информацией. Я не в коей мере не хочу переубеждать Вас или заставлять кого-либо останавливать выбор на одном из CA. Ваше мнение - Ваше, мое - мое.

Меня переубеждать? :shok:
Вы думаете, это я из-за своего убеждения (ошибочного?) выступаю? Хе-хе-хе...

Опять пытаетесь выставить обсуждение (пока конечно, трудно считать это обсуждением, конкретики тут мало, кроме одного :) флеймом, но я думаю народу не помешает узнать о SSL сертификатах и конечно об отечественных производителях оных.

Хорошо, спрошу проще - если я получу SSL сертификат от местного производителя будет ли конечный клиент, входящий на мою https страничку видеть ту же самую фигню, скриншот которой привёл выше
Eldar Ishimbaev?

Хорошо, спрошу проще - если я получу SSL сертификат от местного производителя будет ли конечный клиент, входящий на мою https страничку видеть ту же самую фигню, скриншот которой привёл выше
Eldar Ishimbaev?

Фигню никто не увидеть. Предупреждение, да.

Вы можете обучать ваших пользователей безопасности, или дайте ссылки на такие странички. Они будут один раз добавлять доверенные сертификаты в соответствующие хранилища. Они не должны добавлять исключение.

Москва сразу не строилась, сертификаты многих производителей тоже не сразу попали в хранилище по умолчанию. У MS например, обновления время от времени появляются. Их тоже приходиться устанавливать.

Кроме того, что вы даете знать своим пользователям что соеденение безопасное, в свою очередь можете авторизовать своих пользователей соответствующим сертификатом. Так сказать, обоюдная авторизация.

Фигню никто не увидит. Предупреждение, да.

Вы можете обучать ваших пользователей безопасности, или дайте ссылки на такие странички. Они будут один раз добавлять доверенные сертификаты в соответствующие хранилища. Они не должны добавлять исключение.

Москва сразу не строилась, сертификаты многих производителей тоже не сразу попали в хранилище по умолчанию. У MS например, обновления время от времени появляются. Их тоже приходиться устанавливать.

Кроме того, что вы даете знать своим пользователям что соединение безопасное, в свою очередь можете авторизовать своих пользователей соответствующим сертификатом. Так сказать, обоюдная авторизация.
Это не вариант. Никаких предупреждений. Должно быть всё чётко, как при входе на https://gmail.com
Пока не будет в хранилище по умолчанию местный производитель может продолжать строиться.
Не вижу смысла покупать за деньги такое половинчатое решение.

Фигню никто не увидит. Предупреждение, да.

Вы можете обучать ваших пользователей безопасности, или дайте ссылки на такие странички. Они будут один раз добавлять доверенные сертификаты в соответствующие хранилища. Они не должны добавлять исключение.

Москва сразу не строилась, сертификаты многих производителей тоже не сразу попали в хранилище по умолчанию. У MS например, обновления время от времени появляются. Их тоже приходиться устанавливать.

Кроме того, что вы даете знать своим пользователям что соединение безопасное, в свою очередь можете авторизовать своих пользователей соответствующим сертификатом. Так сказать, обоюдная авторизация.
Это не вариант. Никаких предупреждений. Должно быть всё чётко, как при входе на https://gmail.com
Пока не будет в хранилище по умолчанию местный производитель может продолжать строиться.
Не вижу смысла покупать за деньги такое половинчатое решение.
После того как сертификаты попали в хранилище, ничем другим не отличается от https://gmail.com. Кстати, даже у google было время когда они забыли обновить сертификат и пользователи (пользователи ФФ точно, за других не уверен) получили предупреждение.

Выбор за вами. За "половинчатое решение" вы платите соответсвующие деньги. :)

А я говорил что мне не хватает денег купить качественный сервис?
Но никто не может его предоставить тут.

А я говорил что мне не хватает денег купить качественный сервис?
Но никто не может его предоставить тут.

Я не говорил про нехватки денег. Я намекнул на то, что цена SSL сертификата местного производителя дешевле. А качество качеству рознь. Я вас больше не буду убеждать. У вас кажется другое представление о качества сервиса. Verisign тоже не блешить качеством, между прочим.
Я лишь хочу вам напомнить, что отсутствие предупреждения еще не означает, что вы получили качественный сервис. Удачи.

Тем не менее соглашусь с мнением, что при прочих равных условиях сертификаты, не включенные в хранилище, проигрывают. Это не говорит об их некачественности и/или небезопасности. Просто пока их не включили - я лично никогда не куплю, пусть он стоит хоть в 50 раз дешевле. Если у меня серьезный сервис (да какой бы ни был), я бы не хотел, чтобы посетителями моего сайта высвечивалась неприятная надпись "... использует недействительный сертификат безопасности. К сертификату нет доверия". 99,99% посетителей если и не уйдут в этот момент с сайта, то по крайней мере насторожатся. Именно по этой причине как-то приходилось приобретать сертификат у Verisign.

Я не говорил про нехватки денег. Я намекнул на то, что цена SSL сертификата местного производителя дешевле. А качество качеству рознь.

Браво!

Что и требовалось доказать.

А качество качеству рознь

С VeriSign в свое время перешел на сертификаты от Godaddy.
Нареканий не имею, установка легкая, на сайте подробное руководство для каждой OS. Цена существенно ниже, чем у Verisign - 29$ в год. Хотя последний явно по-брендовее будет..

Единственный серьезный момент - при заявке на получение сертификата и его оплаты Godaddy отсылает письмо с подтверждением на .... e-mail адрес, указанный во whois. А такой адрес может быть или приватно защищеным, а, зачастую, вообще указан e-mail адрес хостера типа info@домен_хострера.

то по крайней мере насторожатся
Они в любом случае должны насторажаться. И это хорошо. Для их же безопасности.

Наивные ребята, думают что, раз купили сертификат у Verisgn/GoDaddy/etc безопасность само по себе приходить.

Ну все, больше в этой теме писать не буду. Обещаю. ;-)

Ну все, больше в этой теме писать не буду. Обещаю. ;-)
А что так? Вы уж пишите раз начали:)

Erkin Kuchkarov - можно я попишу ? :)

ustas - относительно "бесплатно" Вы можете организовать свой УЦ, а так в любом случае придется выбирать сервис, никто не возьмет гарантии Вашей безопасности на свои плечи даром.

И ... я так понял, что речь в данном случае идет о доверии к организации представляющей сервис удостоверяющего центра и собсноть где купить сертификаты этой организации?

Я бы все же выбрал местную организацию УЦ, поддержанную на уровне администрации города (края, страны), как гарант. А вопрос о "отсутствии сертификата в хранилище" - это вопрос организационный, так как пользователям Вашего сервиса может быть регламентом предписано устанавливать и настраивать систему на доверие к сертификату УЦ, лишь бы была возможность проверки списков отзыва и плана смены сертификатов - то есть нормальной работы с УЦ.

НАПРИМЕР : организаций представляющих сервис много, в России есть один из сервисов к которому у меня есть личное доверие (это не рекламма - просто перепечатка с сайта):

(КриптоПро CSP 3.0 имеет сертификат соответствия ФСБ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.)

http://cpca.cryptopro.ru/

Erkin Kuchkarov - можно я попишу ?
Да легко... тем более я в УЦ (СА) не разбираюсь вообще... но могу сказать, что внутриведомственных нормативных актов в Узбекистане по приданию юридической значимости документов или служб использующих данный механизм еще не видел. Буду рад если ошибусь.
ustas - относительно "бесплатно" Вы можете организовать свой УЦ, а так в любом случае придется выбирать сервис, никто не возьмет гарантии Вашей безопасности на свои плечи даром.
Даром никто не возьмет- это же процедура (хранения выдачи и отзыва)

жаль тему сейчас обнаружил :)
возвращаюсь к теме :)
очень сильно понадобился нормальный сертификат, который есть в списке доверенных. наши юзера достали уже нас с вопросом - почему никогда не работает наш ПК: https://cabinet.infonet.uz
ну оно то и понятно, хоть мой сертификат само-подписанный, но последние версии браузеров типа лисы, оперы и 8-го ишака просто пугают юзеров страшными словами :) а пунктика написанного мелким шрифтом где то внизу страницы "добавить исключение" не замечают. отсюда и проблемы у нашего СТП.
поэтому возвращаясь к теме, спрашиваю - где можно купить недорогой сертификат для вебсервера на 1 хост подписанный центром сертификации находящимуся в центральном хранилище серификатов, желательно через вебмани? кто сталкивался?

жаль тему сейчас обнаружил :)
возвращаюсь к теме :)
очень сильно понадобился нормальный сертификат, который есть в списке доверенных. наши юзера достали уже нас с вопросом - почему никогда не работает наш ПК: https://cabinet.infonet.uz
ну оно то и понятно, хоть мой сертификат само-подписанный, но последние версии браузеров типа лисы, оперы и 8-го ишака просто пугают юзеров страшными словами :) а пунктика написанного мелким шрифтом где то внизу страницы "добавить исключение" не замечают. отсюда и проблемы у нашего СТП.
поэтому возвращаясь к теме, спрашиваю - где можно купить недорогой сертификат для вебсервера на 1 хост подписанный центром сертификации находящимуся в центральном хранилище серификатов, желательно через вебмани? кто сталкивался?

1) Делаем свой центр сертификации
2) На сранице https://cabinet.infonet.uz (https://cabinet.infonet.uz/) проверяем есть ли куки ,
если нет перенаправляем на страницу http://dobavit_centr_sertifikacii.infonet.uz (https://cabinet.infonet.uz/) где есть большая ссылка о добавлении Вашего центра в браузер.
если есть, то пускаем в кабинет
3) После добавления центра сертификации (ввашего) всех отправляем на https://cabinet.infonet.uz (https://cabinet.infonet.uz/)

Реально реализовать?
Если получится, то я и сам буду пользовать Ваш сервис.

жаль тему сейчас обнаружил :)
возвращаюсь к теме :)
очень сильно понадобился нормальный сертификат, который есть в списке доверенных. наши юзера достали уже нас с вопросом - почему никогда не работает наш ПК: https://cabinet.infonet.uz
ну оно то и понятно, хоть мой сертификат само-подписанный, но последние версии браузеров типа лисы, оперы и 8-го ишака просто пугают юзеров страшными словами :) а пунктика написанного мелким шрифтом где то внизу страницы "добавить исключение" не замечают. отсюда и проблемы у нашего СТП.
поэтому возвращаясь к теме, спрашиваю - где можно купить недорогой сертификат для вебсервера на 1 хост подписанный центром сертификации находящемуся в центральном хранилище сертификатов, желательно через вебмани? кто сталкивался?

1) Делаем свой центр сертификации
2) На странице https://cabinet.infonet.uz (https://cabinet.infonet.uz/) проверяем есть ли куки ,
если нет перенаправляем на страницу http://dobavit_centr_sertifikacii.infonet.uz (https://cabinet.infonet.uz/) где есть большая ссылка о добавлении Вашего центра в браузер.
если есть, то пускаем в кабинет
3) После добавления центра сертификации (ввашего) всех отправляем на https://cabinet.infonet.uz (https://cabinet.infonet.uz/)

Реально реализовать?
Если получится, то я и сам буду пользоваться Ваш сервис.
Элегантное решение в наших условиях - разместить скриншоты экранов браузеров с выделенным жирным квадратиком куда пользователю нажать чтоб добавить этот "небезопасный" сертификат.

дурацкая идея :) юзеров это пугает до ужаса :)

На странице https://cabinet.infonet.uz проверяем есть ли куки ,
если нет перенаправляем на страницу http://dobavit_centr_sertifikacii.infonet.uz где есть

куки могут по прошествии времени стереться, и опять юзера перенаправлять на страницу добавления сертификата?

Тем не менее соглашусь с мнением, что при прочих равных условиях сертификаты, не включенные в хранилище, проигрывают. Это не говорит об их некачественности и/или небезопасности. Просто пока их не включили - я лично никогда не куплю, пусть он стоит хоть в 50 раз дешевле. Если у меня серьезный сервис (да какой бы ни был), я бы не хотел, чтобы посетителями моего сайта высвечивалась неприятная надпись "... использует недействительный сертификат безопасности. К сертификату нет доверия". 99,99% посетителей если и не уйдут в этот момент с сайта, то по крайней мере насторожатся. Именно по этой причине как-то приходилось приобретать сертификат у Verisign.

Полностью поддерживаю. Если ЦС нет в корневых хранилищах, то это подразумевает, что пользователю(обычному пользователю, далеко не админу, который даже понятия не имеет зачем все это нужно) придется лишний раз задумываться и вчитываться в надписи типа "Сертификат недействителен" и тп. А этого никакие юсеры не любят. И будет потом телефон, форум и другие средства обратной связи разрываться от жалоб "У меня что-то неправильно работает, что мне делать.....".

Вопрос к тем кто уже имеет опыт внедрения у себя SSL-сертификата.

Подскажите процедуру получения SSL сертификата у verysign или другого центра, находяшегося в хранилищах Windows.

О, тема ожила :)
Мы наконец то купили серт начального уровня, но этого хватает что бы юзеров не пугало различными сообщениями :)
попробуйте например открыть МТС или полосатых: https://my.mts.uz или https://uslugi.beeline.uz/
или провайдеры: https://cabinet.stream.uz/auth/login https://stat.tps.uz/
ну как? пугает да? особенно 8й ишак - так вообще застращает что конечно же, и юзер у ужасе закроет страницу :)
к сожалению, как показал осмотр и наблюдение за местными сайтами с использованием SSL - у всех компаний установлены демо сертификаты или же само подписанные сертификаты, к тому же с истёкшими сроками действия. не понимаю, как такие компании гиганты, например как МТС и Би экономят на бабках и не покупают сертификаты??? им же ничего не стоит купить серт, даже пусть начального уровня.

ну и на закуску - а теперь попробуйте: https://cabinet.infonet.uz
класс да? :)
Вот она сила - платного сертификата :)
всё законно, всё проходит по базе. и получение серта начального уровня занимает всего полчаса!
к тому же количество звонков в наше СТП сократилось практически на 85% по поводу невозможности попасть в персональный кабинет!

делайте выводы!
з.ы. данный призыв относится ко всем ОПСОСам и провайдерам :)
позаботьтесь о своих пугливых пользователях :)

Подскажите процедуру получения SSL сертификата у verysign или другого центра, находяшегося в хранилищах Windows.
http://www.verisign.com/ssl/buy-ssl-certificates/index.html?tid=a_box

[QUOTE='Kabachkov Anton;421123']Подскажите процедуру получения SSL сертификата у verysign или другого центра, находяшегося в хранилищах Windows.

Если нет особого желания тратить доплонительные деньги только за brand Verisign, есть масса более дешевых альтернатив (например http://www.thawte.com/)
Небольшие и средние компании вполне обходятся подобными альтернативами - технически разницы нет.

Если уж совсем бесплатно - startcom
на год точно бесплатно, их центр сертификации прописан уже в IE 7 и выше,в опере 9/10 и мозилле

в IE 7 и выше,в опере 9/10 и мозилле
опера 10.01
только что проверил у себя. ругается.
будет юзеров с ёперой пугать :)

Вопрос к УзАСИ:
Будет ли добавлен сертификат ERI markazlarini ro'yxatdan o'tkazuvchi organi
в доверенные (по умолчанию)?

Помогите пожалуйста разобраться вот с такой дилеммой. Насколько я знаю на территории Республики Узбекистан для коммерчиских целей разрешено использовать только государственные стандарты(исправьте если я не прав). В связи с этим вопрос, что делать если возникла необходимость использовать SSL? Почитал тему многие люди используют SSL с алгоритмами RSA, RC4. Скажите такое использование не гос. алгоритмов разрешено законом или это временное решение до тех пор пока не появится реализация SSL/TLS с поддержкой узбекских криптографических стандартов? Или быть может такие реализации уже существуют? Буду очень признателен за вашу помощь.

На всякий случай апну тему.

С момента открытия темы прошло 2.5 года, с момента последнего ответа примерно год, поэтому хотелось бы узнать:
есть ли у нас организация, которая выдаёт\подтверждает SSL сертификаты?
заранее спасибо.
Примечание: имеются в виду доверенные сертификаты.

Нет.
https://card.uzpsb.uz/
Брали в Thawte

Примечание: имеются в виду доверенные сертификаты.
Смотря что понимать под доверенными. Помнится где-то около 1 года назад(может меньше) MSS предлагали ssl сертификаты, заверенные их центром. Цена на тот момент была около 100 тыс сум. А вот срок не помню, но скорее всего 1 год. По сути их центр является доверенным, имеет лицензию и тд. Но вот для броузера их сертификат не является таким, поэтому он на него ругается, т.к. сертификат самого центра(т.е. корневой), которым будут подписываться все выдаваемые сертификаты не находится в реестре доверенных корневых сертификатов.
В итоге мы тоже взяли в GeoTrust, хотя до последнего хотели поддержать отечественного производителя.

С момента открытия темы прошло 2.5 года, с момента последнего ответа примерно год, поэтому хотелось бы узнать:
есть ли у нас организация, которая выдаёт\подтверждает SSL сертификаты?
заранее спасибо.
Примечание: имеются в виду доверенные сертификаты.

http://www.logol.ru/ssl/start/

Если кому-то нужны валидные SSL-сертификаты. Оплата в WebMoney.

Sharq Telekom предоставляет возможность заказать сертефикаты:

RapidSSL Certificate
Comodo Essential SSL
Thawte SSL123 Certificate
и так далее...

D - Домен
D+O Домен и организация
IDN — Поддержка национальных доменов
EV — Расширенная проверка
WC - WildCard — Поддержка субдоменов
SGC — Высокий уровень шифрования

Посредством партнерского участия.

Смотря что понимать под доверенными. Помнится где-то около 1 года назад(может меньше) MSS предлагали ssl сертификаты, заверенные их центром. Цена на тот момент была около 100 тыс сум. А вот срок не помню, но скорее всего 1 год. По сути их центр является доверенным, имеет лицензию и тд. Но вот для броузера их сертификат не является таким, поэтому он на него ругается, т.к. сертификат самого центра(т.е. корневой), которым будут подписываться все выдаваемые сертификаты не находится в реестре доверенных корневых сертификатов.
Спасибо, Антон. Я подразумевал сертификаты, на которые браузер не будет ругаться.

на которые браузер не будет ругаться.

А вот мне бы хотелось поподробнее узнать что из себя представляет процесс становления сертификата "Доверенным Корневым". Это нужно с Microsoft решать или как-то иначе?
Вроде есть свой стандарт, свой криптопровайдер, несколько центров регистрации. Вообщем отпишитесь, кто в курсе вопроса.

Перечислением за суммы, официально
http://www.active.uz/ru-uz/services/SSL/

на которые браузер не будет ругаться.

А вот мне бы хотелось поподробнее узнать что из себя представляет процесс становления сертификата "Доверенным Корневым". Это нужно с Microsoft решать или как-то иначе?
Вроде есть свой стандарт, свой криптопровайдер, несколько центров регистрации. Вообщем отпишитесь, кто в курсе вопроса.

В случае с нашим алгоритмом УзДСТ XXXX:YYYY, следует реализовать криптопровайдер библиотеку (dll), которая должна быть подписана сертификатом Microsoft a. После установки криптопровайтера на компьютеры пользователей можно будет работать с алгоритмом вызывая стандартные CryptAPI функции.

Windows проверяя действительность сертификата, определяет ее AlgID (алгоритм) и по нему находит соответствующий криптопровайдер. Вызывая функции криптопровайдера определяется, Действительна-ли подпись издателя подписавшего данный сертификат. Далее Windows проверяет действительность сертификата издателя, и так по цепочке вверх до корневого сертификата. Если все сертификаты выше действительны, то и Ваш сертификат действителен.

я так думаю. :buba:

У меня плохое предчувствие, что правительство объявит SSL, TLS, SSH и т.д., чтобы быть "несовместимыми с местными стандартами" в ближайшее время. До свидания, Gmail и facebook!