Distribuce Intermediate SSL certifikátů

Tom K

Distribuce Intermediate SSL certifikátů
« kdy: 14. 02. 2012, 15:08:39 »
Přistupujeme z mnoha stanic na web server nejmenované zdravotní pojišťovny, který má SSL certifikát pro *.domena.cz podepsaný nikoliv některou z "trusted root authotities" (jejichž certifikaty jsou standardně distribuovany s Windows i jinými OS), ale podepsaný intermediate certifikátem RapidSSL CA (který je podepsán Trusted root autoritou GeoTrust Global CA).

Otázka: Jak je systémově zajištěna distribuce intermediate certifikáatů? Má být správně intermediate certifikát RapidSSL instalován na serveru server.domena.cz a stanice si jej automaticky stáhnou (=certifikát na cestě důvěry) nebo se musí na stanice dostat jinou cestou/ručně?
« Poslední změna: 14. 02. 2012, 20:45:55 od Petr Krčmář »


Re:Distribuve Intermediate SSL certifikátů (RapidSSL CA)
« Odpověď #1 kdy: 14. 02. 2012, 17:37:46 »
Otázka: Jak je systémově zajištěna distribuce intermediate certifikáatů? Má být správně intermediate certifikát RapidSSL instalován na serveru server.domena.cz a stanice si jej automaticky stáhnou (=certifikát na cestě důvěry) nebo se musí na stanice dostat jinou cestou/ručně?

Nepripada v uvahu, aby uzivatel musel neco instalovat nekam rucne. Distrubuci musi zajistit server, ktery dany certifikat pouziva = musi poslat intermediate certifikaty az k duveryhodnemu koreni. V pripade radidSSL by mel server poslat svuj certifikat a jeste dva dalsi, aby bylo mozne certifikat overit i ve starsich prohlizecich, ktere nemaji jeste novy geotrusti koren v ulozisti.

PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re:Distribuce Intermediate SSL certifikátů
« Odpověď #2 kdy: 15. 02. 2012, 00:22:31 »
Presne ako pise diskutujuci predomnou. Server by mal posielat cely chain a typadom musia koncove stanice akceptovat len psoledny root certifikat.

Tom K

Re:Distribuce Intermediate SSL certifikátů
« Odpověď #3 kdy: 15. 02. 2012, 13:06:24 »
Díky oběma za info.
V tom případě má tedy máslo na hlavě ta instituce, která si nechala své certifikáty vystavit od RapidSSL (protože jsou jedni z nejlevnějších) a nedala jejich intermediate na své servery.

PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re:Distribuce Intermediate SSL certifikátů
« Odpověď #4 kdy: 15. 02. 2012, 14:41:31 »
Je uplne jedno od akej CA mas certifikaty... Kolko ludi poznate co si pozera kto vystavil certifikat? Pripadne kolko ludi si vsimne ci je to Extended Validity alebo nie?
IMHO nema najmensi zmysel kupovat drahy certifikat.

Neposielat chain je ale zas nieco ine :)


vty

Re:Distribuce Intermediate SSL certifikátů
« Odpověď #5 kdy: 15. 02. 2012, 16:14:15 »
Jak bylo už bylo řečeno výše chyba je na straně správců web serveru,
kteří neumí zřejmě ani číst.
Máme certifikáty taky od rapidssl resp. nejmenovaného českého přeprodejce.
Pro ukázku níže připojuji text mailu, který vám od nich přijde spolu s certifikátem (bod 2).
Co dál dodat ke zdatnosti IT dané ZP , že :(


OBJEDNAVKA DOKONCENA

Gratulujeme!  Vas RapidSSL certifikat byl vydan a je uvedem na konci
tohoto e-mailu. 

INTRUKCE K INSTALACI:

1/ Nainstalujte certifikat

Nainstalujte X.509 verzi vaseho certifikatu, ktera je prilozena na
konci tohoto e-mailu. Pro podrobnejsi instrukce navstivte stranku:
VYNECHAN ODKAZ NA WEB PRODEJCE

2/ Upozorneni na intermediate certifikat

Spolu s certifikatem MUSITE nainstalovat take RapidSSL intermediate
certifikat, ktery je taktez umisten na konci tohoto e-mailu. Pokud
tak neucinite, nebude certifikat fungovat spravne.

Jakmile mate certifikat nainstalovany, durazne doporucujeme provest
jeho zalohu.

Dekujeme za vasi objednavku. V pripade jakychkoli dotazu nas nevahejte
kontaktovat.

S pozdravem, ....

Re:Distribuce Intermediate SSL certifikátů
« Odpověď #6 kdy: 16. 02. 2012, 08:00:33 »
Prošel jsem weby českých zdravotních pojišťoven a tahle je zřejmě z lepších, ostatní nemají SSL vůbec, nebo mají web na virtuálním hostingu a HTTPS web vede úplně někam jinam, nebo mají sice správný certifikát, ale z HTTPS okamžitě přesměruje na HTTP (!).