No SSL?

r.stefanov

New Member
Оти няколко сравнително големи български фирми (2 за сега видях) нямат SSL нито на билинга, нито на контролния панел? Други са със self signed, ама поне има нещо. :shock:
 

s1yf0x

Well-Known Member
От: No SSL?

SSL може да ползва и бекенда им без да минава през потребителския браузър. Обикновено ползват WSO.
 

r.stefanov

New Member
От: No SSL?

Нещо не ми се връзва тук. Да не говорим, че да тормозиш бекенда допълнително е просто глупаво. Иначе всички големи компании щях да го правят. Aaaand a practical study establishes that SSL/TLS is not computationally expensive any more.
 

s1yf0x

Well-Known Member
От: No SSL?

На тебе много неща не ти се връзват, но това е загубена кауза. Аз също не го намирам за правилно но е факт, че се прави. Дори системата на БОРИКА за разплащания използва този модел за комуникация между клиентксия POS терминал и собствения си service. Мога да изброя и още примери за разплащателни системи. Дори държавните агенции до скоро ползваха собствен CA, който не беше включен в предварително инсталирание root сертификати на браузърите и се налагаше да се правят потвърждения, записвания и прочие допълнителни операции.
 

happyslacker

New Member
От: No SSL?

SSL сертификата струва пари. Удоволствието да имаш отделен IP адрес - също.
 

s1yf0x

Well-Known Member
От: No SSL?

SSL сертификата струва пари. Удоволствието да имаш отделен IP адрес - също.

:) това е несериозно. В най-лошия случай един SSL сертификат струва 20 лв и едно IP 24 лв на година - общо взето 44 лв. Ако сертификата е wildcard тогава може да е по-скъм, но в БГ само банките ползват такива. В повечето случаи използването на SSL в бекенда е заради начина на работа на платформата, която се ползва или някакъв сървиз.
 

r.stefanov

New Member
От: No SSL?

SSL сертификата струва пари. Удоволствието да имаш отделен IP адрес - също.

Майтапиш се с тоя пост, нали? Как може да сравниш сигурността на клиента (пък и своята) с удоволствие?

И каква платформа може да ползва една хостинг фирма след като панела е whm, а билинга whmcs, че чак ссл-а да е в бекенда?

Както казах, нещо не ми се връзва. Между другото има и безплатни class1 сертификати (домейн и 1 под домейн), които вършат същата работа и всичко си е зелено ако толкова няма пари. Няма разлика с евтиния платен.
 

happyslacker

New Member
От: No SSL?

И аз не се чувствам комфортно да се логвам в сайт, който не ползва силна криптография. Обаче има много потребители, които нямат представа какво е SSL и си цвъкат паролата в открит текст без да си дават сметка за последствията. Гледам, че има даже и онлайн магазини, които приемат кредитни и дебитни карти без никакво криптиране. И щом продължават да съществуват, значи има клиенти, които да пазаруват от тях. Аз не бих пазарувал от такова място, но много хора го правят.
 

docenta

New Member
От: No SSL?

И аз не се чувствам комфортно да се логвам в сайт, който не ползва силна криптография. Обаче има много потребители, които нямат представа какво е SSL и си цвъкат паролата в открит текст без да си дават сметка за последствията. Гледам, че има даже и онлайн магазини, които приемат кредитни и дебитни карти без никакво криптиране. И щом продължават да съществуват, значи има клиенти, които да пазаруват от тях. Аз не бих пазарувал от такова място, но много хора го правят.

Магазини, кредитни карти през http:// ? Кой е лудия да ги обслужва ?
 

happyslacker

New Member
От: No SSL?

Не е луд този, който взима парите, лудите са тези, които му ги дават...
 
От: No SSL?

И ако си като повечето българи, които нямат идея какво е ssl е достатъчно да ти качат един снифер и отиде коньо у ряката :) SSL-a поне ще убие мерака на ботовете, не че някой ако иска пак няма да те тормози. cPanel е по-убит и от FileZilla.
Връзката ми с cPanel е през https:// - това достатъчно ли е? Или трябва да закупя сертификат?
Предвидил съм, когато инсталирам онлайн магазин, да закупя SSL сертификат. Защото искам да има възможност за онлайн разплащане. Пък който не му харесва така, да си плаща на куриерската фирма.
 

s1yf0x

Well-Known Member
От: От: No SSL?

Връзката ми с cPanel е през https:// - това достатъчно ли е? Или трябва да закупя сертификат?
Предвидил съм, когато инсталирам онлайн магазин, да закупя SSL сертификат. Защото искам да има възможност за онлайн разплащане. Пък който не му харесва така, да си плаща на куриерската фирма.

Този ssl на cpanel е грижа на хостинг провайдъра ти. cPanel има възможност за достъп и без https, но някой БГ доставчици са против това и е деактивирано като възможност. ssl-а за cPanel може да се инсталира и на FTP-то и на SMTP-то / IMAP-а / POP3-то . Твоята грижа е да настроиш ftp клиента си да работи с FTPS протокола за да ползва SSL/TLS .
 

happyslacker

New Member
От: No SSL?

Може да нямаш SSL на сайта, но да приемаш плащания през друг сайт, който има SSL (примерно "любимите" ни PayPal). Обаче повечето платформи за електронни магазини взимат личните данни на клиента преди да го пратят при доставчика на платежни услуги, където правят плащането. В този случай личните данни няма да са защитени (на теория*), но плащането ще бъде.

* В същност и да си купиш SSL пак няма абсолютна сигурност, защото слабото място е сигурността на доставчика ти на хостинг. Едва ли някой ще се занимава да снифи трафика за лични данни, в които няма номера на кредитни/дебитни карти. На който му трябват лични данни - в Търговския регистър има колкото си искаш (при това с повече подробности - номера на лични карти и паспорти, ЕГН-та, образци от подписи и т.н.).
 

s1yf0x

Well-Known Member
От: No SSL?

каква е разликата в SSL сертификат за няколко десетки долара и такъв с няколко нули повече - Class 3 Extended Validation SSL CA

В застраховката и брандирането :D
 

r.stefanov

New Member
От: No SSL?

каква е разликата в SSL сертификат за няколко десетки долара и такъв с няколко нули повече - Class 3 Extended Validation SSL CA

Главните разлики са цената и authority, т.е. какво доверие може да се има към сайта/фирмата. Искаш да знаеш кой стои зад сайта от който пазариш, нали? Ти можеш и сам да си направиш сертификат, ама аз например от къде да знам кой си? Има разлика и в паричните гаранции.
 

s1yf0x

Well-Known Member
От: No SSL?

Обясни го малко по-лаишки де. Основната идея на SSL сертификата е да защити начина по който изпращаш данните на някого и да удостовери, че този който ще ги получи е действително този, на когото ги изпращаш. Т.е. да криптира трафика между тем и получатела и да даде информация, кой е получателя.

И евтините и скъпите сертификати предлагат една и съща степен на криптиране. Без значение кой ги издава - Geotrust, Symantec, Comodo и т.н. все е 256 битова. Всеки един такъв издател прави редица проверки за да удостовери в последстиве, че зад даден сертификат стои точно определен сайт, организация, лице и прочие. След като гарантира, че тези проверки са направени дава и гаранция на сертификата. В зависимост от вида (разбирай цената) гаранцията е различна. Разлика има и в броя домейни, за които се издава сертифиакта - има сертификати за един домейн, има и wildcard за много поддомейни на един домейн (най-общо казано).

Защо някой организации използват по-скъпи (more trusted) сертификати - изисквания на ISO и брандиране.
 

happyslacker

New Member
От: No SSL?

По-скъпите сертификати дават информация на потребителя кой точно стои зад сайта (удостоверяват собственика на сайта). Евтините сертификати не удостоверяват кой е собственика.

Атакуващият може да си купи сертификат от друг доставчик и да замени оригиналния сайт с неговия чрез манипулиране на DNS. Нещо такова бяха направили като измамници си купиха сертификат за google.com.
 

s1yf0x

Well-Known Member
От: No SSL?

По-скъпите сертификати дават информация на потребителя кой точно стои зад сайта (удостоверяват собственика на сайта). Евтините сертификати не удостоверяват кой е собственика.

Атакуващият може да си купи сертификат от друг доставчик и да замени оригиналния сайт с неговия чрез манипулиране на DNS. Нещо такова бяха направили като измамници си купиха сертификат за google.com.

За да си купиш такъв сертификат трябва да потвърдиш издаването, чрез хиперлинк изпратен автоматично на един от следните мейли:
1. registrant - проверен през whois протокол
2. [email protected] , [email protected], [email protected]

За да си вземат такъв сертификат или трябва да са имали достъп до мейла от whois-а или до MX-а на google.com , което ми се струва малко в сферата на измислиците. По-вероятно е да са издали такъв сертификат на някой от ccTLD-тата на google за определена държава. Или да са компрометирали цялото CA - примерно да хакнат Geotrust или Comodo. На същия принцип можеш да си издадеш ел. подпис на всяко едно лице, ако имаш достъп до системата на Инфонотари или на някой друг издател.
 

Горе