| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | | | | | Segundo paragrafo: "If you are looking to have your web browser trust our certificates, please install our root certificate."
Ou, por outras palavras, nao serve como solucao.
|
| | | | É claro que por esse ponto de vista nada serve como solução, apenas comprar certificados à Verisign ou similares. A multicert também requer a instalação do seu root certificate e funciona...
-- Carlos Rodrigues
|
| | | | Requer porque a Multicert e' CA e não RA.
//vd |
| | | | Sim, eu usei-a como exemplo exactamente porque não faz parte de uma cadeia de verificação que termine numa das Root CAs cujos certificados já vêm incluidos com os browsers.
-- Carlos Rodrigues
|
| | | | Sim, faz. Como disse acima, o certificado Multicert-CA e' assinado pela GTE Cybertrust, e funciona transparentemente em qualquer browser minimamente recente desde cerca de Junho de 2002.
|
| | | | Ok, estava enganado então. Da última vez que experimentei (já foi há uns tempos largos) era preciso instalar o root certificate da Multicert a partir do site deles.
-- Carlos Rodrigues
|
| | | | Isso nao e' necessariamente um motivo para instalar o certificado num browser, basta que tenha acima dela uma RA e que te envie a chain correctamente.
Olha por exemplo para a informacao SSL disto. (passe a publicidade). Nao tens o certificado dessa CA no teu browser, mas funciona porque tens o da RSA.
|
| | | | | Olha por exemplo para a informacao SSL disto. (passe a publicidade). Nao tens o certificado dessa CA no teu browser, mas funciona porque tens o da RSA. Antes de mais, o topo da cadeia de certificados (a raiz) pertence à VALICERT e não à RSA como referido No entanto, e para o caso específico, não será estranho o facto da VALICERT possuir na sua página principal (https://www.valicert.com) um certificado emitido pela VERISIGN???? Será que a própria VALICERT não confia nos seus próprios certificados??? Infelizmente, é sempre o mesmo problema: Os Portugueses tentam sempre dar a volta à situação - É UMA QUESTÃO DE CONFIANÇA - simplesmente comprem um certificado que vos ofereça garantia (e aos clientes) de que o mesmo foi emitido seguindo todas as regras de autenticação e verificação. Passando a publicidade, a minha opção recairia (sem margem para dúvidas) pela VERISIGN - sabiam que têm um representante em Portugal: a CERTISIGN?
|
| | | | Antes de mais, o topo da cadeia de certificados (a raiz) pertence à VALICERT e não à RSA como referido
Eu nunca disse que o topo era a RSA, disse que tinha o cert da RSA no meu browser. E tenho, out-of-the-box.
$ grep -A 6 be:1c:9f:d2:cd:b5:84:a6:80:73:63:66:d5:65:f8:2d /usr/share/ssl/certs/ca-bundle.crt
be:1c:9f:d2:cd:b5:84:a6:80:73:63:66:d5:65:f8:2d
Signature Algorithm: sha1WithRSAEncryption
Issuer: L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com
Validity
Not Before: Apr 30 15:30:19 2002 GMT
Not After : Apr 30 09:21:55 2019 GMT
Subject: O=RSA Security Inc., CN=RSA Public Root CA v1/emailAddress=rsakeonrootsign@rsasecurity.com
Qualquer um pode fazer o mesmo "grep" no seu ca-bundle para confirmar.
Será que a própria VALICERT não confia nos seus próprios certificados???
Nem sei, nem estou interessado em saber. Desde que os certificados das CA que eles assinam funcionem... E convenhamos que estes tais de RSA Security Inc não são uns completos desconhecidos no mercado, e como fizeste questão de apontar foram certificados pela Valicert (a tal com falta de auto-confiança)...
simplesmente comprem um certificado que vos ofereça garantia (e aos clientes) de que o mesmo foi emitido seguindo todas as regras de autenticação e verificação.
o que, como eu estava a dizer acima, é qualquer certificado que esteja numa chain reconhecida por qualquer browser, mesmo que tenha sido acabado de instalar de fresco, em oposição ao "qualquer certificado da Verisign" como pareces estar a querer dizer.
Passando a publicidade, a minha opção recairia (sem margem para dúvidas) pela VERISIGN - sabiam que têm um representante em Portugal: a CERTISIGN?
Curiosamente, sabia, amatos. O que para mim foi mais curioso foi fazer esta pesquisa no Google, e reparar que por acaso há um Álvaro Matos que trabalha (ou trabalhou) na Certisign; pode ser coinicidência, mas o mais provável é que essa inquestionável opção, em maiusculas e tudo, seja um bocadito biased, não? :)
E mesmo esquecendo isso, qualquer profissional de Internet que preze aquilo que faz deve ter um ódio de estimação pela Verisign graças ao SiteFinder.
|
| | | | | Antes de mais, uma das grandes vantagens dos grupos de discussão reside no facto dos utilizadores poderem ser anónimos - característica de que não abdico - cada um que suponha e tire as ilações que desejar: nunca tentei, nem tentarei, fazer qualquer tipo de associação dos nickname com hipotéticas pessoas físicas. Como deves saber, Spyder, um certificado apenas é válido se toda a cadeia (até à raiz) for toda ela válida - de que serve um certificado intermédio da RSA se a chave privada do seu emissor (a Valicert) for comprometida ou cair em descrédito?
É uma das desvantagens da tecnologia PKI: sempre que uma chave é comprometida, toda a sua subhierarquia também o é! ...qualquer profissional de Internet que preze aquilo que faz deve ter um ódio de estimação pela Verisign graças ao SiteFinder. Eu diria antes: "qualquer profissional de Internet que preze aquilo que faz deve saber distinguir os melhores produtos/serviços existentes no mercado, e escolher aquele que apresente a melhor relação qualidade/preço, dentro dos condicionalismos eventualmente existentes."
Mais, um bom profissional (seja ou não de TI) não se rege por ódios, mas sim pelas suas necessidades e pelas mais valias que poderá obter para o seu produto/serviço final.
|
| | | | Isso ja' nao e' verdade ha bastante tempo, o certificado da Multicert esta' assinado pela GTE. Se algum site com certificados da Multicert precisa do certificado da Multicert no browser, esse site esta' mal configurado (nao esta' a passar devidamente a chain). Confirme-se, por exemplo, no https://www.multicert.pt/, que funciona lindamente sem instalacao de certificado nenhum.
Adiante. Relaccionado com o que esta' acima, mas nao necessariamente (ie, nao dirigido a nenhum caso em concreto): O uso de CAs que nao sao reconhecidas automagicamente e' aceitavel para ambientes controlados (digamos, sites internos, assinaturas digitais dentro da empresa/grupo/relacoes b2b/whatever, software SSL desenhado in-house e que reconheca a CA out-of-the-box, autenticacao end-to-end), mas pessoalmente acho conceptualmente errado (e confuso para os utilizadores) requerer a instalacao de um certificado num browser para que as pessoas possam ver um site publico "sem dar avisos ou erros".
A certificacao serve em parte para dar `as pessoas a ideia de confianca implicita na identidade de um site ("porque o meu computador/browser/sistema confia e garante"), e pedir a essas mesmas pessoas para o fazerem explicitamente (instalando o cert da CA) vai contra isso;
Mais ainda: para a maior parte dos consumidores, ler "Multicert", "Verisign", ou "TrampaSec" vai dar ao mesmo, sao nomes que nao lhes dizem nada. Tendo isto em conta, o que me impede de montar alguns sites SSL assinados com o cert da TrampaSec, e pedir gentilmente `as pessoas para irem ao site da TrampaSec (que tambem e' minha, mas so' por acaso) instalar o root certificate, e voltarem depois, ja' sem avisos? E' verdade, os avisos pararam, e agora posso alegremente usar os dados de cartoes de credito ;)
|
| | | | Julgo que em breve o mozilla vai ter este certificado instalado de raiz.
|
| | | | Bem, eu ate tentei, agora o problema é alguem que verifique a minha identidade.....
Gustavo Felisberto
72ef1d7183eb2ea89420b94c0cf3e1f1
apt-get install anarchism |
| | | | eu também ando de volta disso.
acho que estou mais apontado para digicert
mas ainda nao me decidi.
podes sempre ver sslreview para ficar com uma melhor ideia, mais precisamente isto.
|
| | | | | | O sslreview.com é um site de publicidade para o freessl.com. (ponto final)
Como é que te decidiste pelo digicert.com (que nem sequer conheço, mas ok...) num site feito para escolheres o freessl.com ou o geotrust.com é que é um mistério para mim :-)
Regards,
Nuno Silva aka RaTao |
| | | | falaram-me do digicert. quanto ao sslreview, e' sempre bom ver uns comparativos...
|
| | | | Não estás a perceber... Verifica, por exemplo, quem é o admin contact tanto do sslreview.com como do freessl.com.
Não gosto nada deste tipo de sites, que aparentam ser independentes mas têm o objectivo de atirar o pessoal numa determinada direcção...
Regards,
Nuno Silva aka RaTao |
| | | | | falaram-me do digicert.
quanto ao sslreview, e' sempre bom ver uns comparativos...
|
| | | | Saudades da Certipor, snif.
New Wave "May The Peace Be Green" |
| | | | | Todas as entidades referidas emitem certificados perfeitamente válidos e funcionais para a maioria dos servidores e browsers existentes. No entanto, a questão não é apenas técnica - o que se deseja no processo é cativar a CONFIANÇA dos clientes! Será que o custo de um certificado da verisign (ver o seu representante em Portugal) é assim tão elevado, quando com ele se poderá cativar mais clientes?
|
| | | | | | A confianca dos clientes cativa-se com o aparecimento "magico" do cadeado no canto do browser, ou com o "Identity Verified" no cliente de mail.
"Verisign" nao e' um household name, (como muita gente provavelmente conseguiu perceber na altura do SiteFinder, com toda a gente a perguntar-lhes "quem raios sao estes gajos?") e a grande maioria dos consumidores nem sabe o que e' um certificado.
Existe uma vaga nocao de que "cadeado == seguro", "medalhazinha no outlook == identidade confirmada", e e' isso que tem que ser satisfeito. Quanto mais barato, melhor, desde que funcione.
|
| | | | | A confianca dos clientes cativa-se com o aparecimento "magico" do cadeado no canto do browser Numa PKI, a tecnologia é APENAS um dos componentes (talvez não o mais importante), de onde se destacam a infraestrutura de segurança, a performance, a disponibilidade, e acima de tudo as práticas e as políticas de autenticação.
Se consultares a legislação existente, poderás facilmente encontrar alusões a este conceito, nomeadamente no que se refere à sua existência, publicação e auditoria. Os utilizadores até podem não saber como os certificados são emitidos e/ou utilizados, mas com certeza estará muito receptivo a qualquer notícia pública que descredebilize a Autoridade Certificadora que os emite. Tal poderá ter repercussões (por vezes com custos elevadíssimos) para as entidades que os utilizam.
Também por isso é que quase todas as Autoridades Certificadoras (que merecem alguma confiança) possuem um seguro de responsabilidade civil - em Portugal, tal também está preconizado (Portaria n. 1370/2000, de 12 de Setembro). Quanto mais barato, melhor, desde que funcione Como em tudo, existem sempre dois caminhos: o que dá ênfase à qualidade (deixando para segundo plano o custo) e o da quantidade (onde prevalece o baixo custo, em detrimento da qualidade do produto/serviço). Obviamente, cada um opta pela solução que mais lhe convém!
Já a minha Avó dizia: "O barato às vezes sai caro". Senão vejamos: tecnicamente falando, tudo isto se pode resumir à simples inclusão nos browsers do certificado de raiz de uma qualquer AC. Como é do conhecimento geral, tal é efectuado através do pagamento de um determinado montante (considerável) à Microsoft, Netscape, etc, podendo depois emitir os certificados da forma que desejar (com ou sem qualquer tipo de validação). Cada um que tire as suas conclusões...
|
| |
|
