Fórum Root.cz
Hlavní témata => Server => Téma založeno: Tom K 14. 02. 2012, 15:08:39
-
Přistupujeme z mnoha stanic na web server nejmenované zdravotní pojišťovny, který má SSL certifikát pro *.domena.cz podepsaný nikoliv některou z "trusted root authotities" (jejichž certifikaty jsou standardně distribuovany s Windows i jinými OS), ale podepsaný intermediate certifikátem RapidSSL CA (který je podepsán Trusted root autoritou GeoTrust Global CA).
Otázka: Jak je systémově zajištěna distribuce intermediate certifikáatů? Má být správně intermediate certifikát RapidSSL instalován na serveru server.domena.cz a stanice si jej automaticky stáhnou (=certifikát na cestě důvěry) nebo se musí na stanice dostat jinou cestou/ručně?
-
Otázka: Jak je systémově zajištěna distribuce intermediate certifikáatů? Má být správně intermediate certifikát RapidSSL instalován na serveru server.domena.cz a stanice si jej automaticky stáhnou (=certifikát na cestě důvěry) nebo se musí na stanice dostat jinou cestou/ručně?
Nepripada v uvahu, aby uzivatel musel neco instalovat nekam rucne. Distrubuci musi zajistit server, ktery dany certifikat pouziva = musi poslat intermediate certifikaty az k duveryhodnemu koreni. V pripade radidSSL by mel server poslat svuj certifikat a jeste dva dalsi, aby bylo mozne certifikat overit i ve starsich prohlizecich, ktere nemaji jeste novy geotrusti koren v ulozisti.
-
Presne ako pise diskutujuci predomnou. Server by mal posielat cely chain a typadom musia koncove stanice akceptovat len psoledny root certifikat.
-
Díky oběma za info.
V tom případě má tedy máslo na hlavě ta instituce, která si nechala své certifikáty vystavit od RapidSSL (protože jsou jedni z nejlevnějších) a nedala jejich intermediate na své servery.
-
Je uplne jedno od akej CA mas certifikaty... Kolko ludi poznate co si pozera kto vystavil certifikat? Pripadne kolko ludi si vsimne ci je to Extended Validity alebo nie?
IMHO nema najmensi zmysel kupovat drahy certifikat.
Neposielat chain je ale zas nieco ine :)
-
Jak bylo už bylo řečeno výše chyba je na straně správců web serveru,
kteří neumí zřejmě ani číst.
Máme certifikáty taky od rapidssl resp. nejmenovaného českého přeprodejce.
Pro ukázku níže připojuji text mailu, který vám od nich přijde spolu s certifikátem (bod 2).
Co dál dodat ke zdatnosti IT dané ZP , že :(
OBJEDNAVKA DOKONCENA
Gratulujeme! Vas RapidSSL certifikat byl vydan a je uvedem na konci
tohoto e-mailu.
INTRUKCE K INSTALACI:
1/ Nainstalujte certifikat
Nainstalujte X.509 verzi vaseho certifikatu, ktera je prilozena na
konci tohoto e-mailu. Pro podrobnejsi instrukce navstivte stranku:
VYNECHAN ODKAZ NA WEB PRODEJCE
2/ Upozorneni na intermediate certifikat
Spolu s certifikatem MUSITE nainstalovat take RapidSSL intermediate
certifikat, ktery je taktez umisten na konci tohoto e-mailu. Pokud
tak neucinite, nebude certifikat fungovat spravne.
Jakmile mate certifikat nainstalovany, durazne doporucujeme provest
jeho zalohu.
Dekujeme za vasi objednavku. V pripade jakychkoli dotazu nas nevahejte
kontaktovat.
S pozdravem, ....
-
Prošel jsem weby českých zdravotních pojišťoven a tahle je zřejmě z lepších, ostatní nemají SSL vůbec, nebo mají web na virtuálním hostingu a HTTPS web vede úplně někam jinam, nebo mají sice správný certifikát, ale z HTTPS okamžitě přesměruje na HTTP (!).