StartSSL umožňuje až pět subdomén v certifikátu zdarma

Líbí se vám zprávička?
Podpořte redakci

Petr Stehlík 5. 2. 2016

Pod tlakem z konkurence (čti: Let's Encrypt) vydávající SSL certifikáty automatizovaně se izraelská firma StartCom rozhodla vyměnit svůj prastarý web za moderní a nabídnout až pět subdomén v jednom certifkátu zdarma. Přestože dovoluje nahrát si vlastní CSR, chybí tam radio button, který by tuto volbu potvrdil, takže je nutno vygenerovat privátní klíč v prohlížeči. Chybičku snad brzy odstraní.

Služba StartSSL byla donedávna velmi populární, protože jako jedna z mála nabízela důvěryhodné certifikáty zdarma. Hlavními omezeními bylo nekomerční použití a jedna jediná subdoména. Situace se ale nyní dramaticky změnila s příchodem Let's Encrypt, což je otevřená služba pro automatické generování neomezeného počtu certifikátů zdarma. O StartSSL přednášel na LinuxDays 2014 Ondřej Caletka.

Našli jste v článku chybu?

5. 2. 2016 8:16

Rhinox (neregistrovaný) 192.102.17.---

Vy pisete "pět subdomén", na webu vidim "5 domains". Jak je to tedy? Neskousel sem, jen se ptam...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:08

Petr Stehlík 93
Zlatý podporovatel

Nezkoušel jsem zadat různé domény, nedává smysl, aby to bylo povoleno, když StartSSL každou doménu nejdřív chce validovat. Leda by tam povolil pět různých, ale zvalidovaných domén. To pro zajímavost zkusím a dám vědět.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:47

Ondřej Caletka 97
Zlatý podporovatel

Určitě to tak jde. Nejdřív všechny požadované SLD domény validujete a pak po dobu jejich platnosti můžete vydávat certifikáty s libovolně nakombinovanými jmény v rámci validovaných SLD.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2016 1:17

Jindřich Šaur 84

Mně to smysl dává. Zrovna teď bych něco takového uvítal. :-) Ale potřeboval bych to pro komerční užití :-(
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2016 10:23

Petr Krčmář 99
Firemní podporovatel

Pak není nic jednoduššího než nasadit Let's Encrypt. Nebo zaplatit u StartSSL 100 dolarů ročně a pak generovat podle potřeby.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2016 18:42

Jindřich Šaur 84

Těch 100 dolarů už jsem několikrát "utopil" zkoumáním Let's Encrypt, abch zjistil, že tudy (alespoň pro mne) zatím cesta nevede, takže na StartSSL určitě mrknu. Díky
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 2. 2016 21:01

Petr Krčmář 99
Firemní podporovatel

Tohle mě celkem zajímá. Proč přes Let's Encrypt cesta nevede?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 2. 2016 2:03

Jindřich Šaur 84

Možná vede, ale ne teď pro mne :-) Potřebuji na pár dní certifikát pro MS Exchange. 90 dní by bylo ideál a všude se teď mluví o jednoduchosti LE, tak to zkusím. Jsem v časové tísni, tak bez bez nějakého studování instaluji LE. Instalace je trivka. Generuji certifikát. Zjišťuji, že na Debianu Wheezy si to nerozumí s Apache 2.2. OK, aspoň si vyzkouším na nějakém testovacím serveru přechod na Jessie, kde je 2.4 a s tím je to v pohodě. Pozitivní zpráva - přechod je v pohodě. Na druhou stranu hodina v háji. Zkouším generovat fake certifikát... Po chvíli bádání vidím, že na testovací stroj musím povolit port 80 nebo 443. OK, povoluji. Generuji a aha, úplně fake to být nemůže. OK po dalších minutách, generuji na jméno testovacího stroje. Vygenerováno. Zkouším jiné jméno a jsem zase u toho, že musí odpovídat DNS.
A tady jsem to zabalil. Mohl bych si ještě nainstalovat virtuál v síti, kde je ten Exchange, nebo to protunelovat a naroutovat přes správnou IP adresu. Na chvíli přesměrovat porty a vygenerovat certifikát. A (snad) hotovo. Ale teď, kdy se už skoro vidím zezadu, si certifikát raději koupím a za deset minut je hotovo.
Laborování s LE si dopíšu na seznam "až bude čas" (nebo až bude to bude opravdu potřeba) :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:06

tomasfuk (neregistrovaný) 79.107.103.---

Hned večer vyzkouším.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:10

lazywriter (neregistrovaný) 91.219.246.---

A pritom porad konkurenci nemaji. LE certifikaty nepodporuji Win XP, takze jdou pouzit maximalne na nejake amaterske miniprojekty, pripadne intranet.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:22

ASW (neregistrovaný) ---.cust.nbox.cz

On ještě někdo používá Windows XP?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 17:10

lazywriter (neregistrovaný) 91.219.246.---

Pořád ještě řádově procenta uživatelů. Ano, na hipsterském blogísku to nevadí.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:26

kostaldavid8 (neregistrovaný) ---.google.com

Nevím kde se profesionálně na serveru používají Windows XP, ale protokol je otevřený, takže si můžete udělat vlastní klient pro generování certifikátů
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 9:29

mojko (neregistrovaný) ---.jic.cz

Isteze... ale len ked pouzivas IE8 :-D Co nikto normalny nerobi - browsovat po nete na OS s prehliadacom kory nedostava zaplaty ...

Pozeram sa na https://www.ssllabs.com a vidim:
IE 8 / XP No SNI Incorrect certificate because this client doesn't support SNI
TLS 1.0 TLS_RSA_WITH_3DES_EDE_CBC_SHA

Cize u mna by na IE8 nefungoval ani cert od Verisignu za $1000, kvoli krepemu MS ze nedokazali do exploreru SNI implementovat.

XP + Chrome = ziaden problem s certifikatmi.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 17:15

lazywriter (neregistrovaný) 91.219.246.---

LE nefungují ani s Chrome. Jedině s FF, protože ten umí na XP certifikáty s NameConstraints, které LE používá.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 2. 2016 7:20

LivingLegend (neregistrovaný) ---.cust.vodafone.cz

Jo ale google zachvily zavre chrom pro xp...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2016 23:44

BlackRider 72

XP uz nepodporuje ani Microsoft, takze to je v poradku...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 2. 2016 20:23

ja. (neregistrovaný) ---.95-102-6.t-com.sk

Ja xp obcas este vidim, napriklad na letisku alebo u zubara... Ak mate soft pre rontgen iba pre XP, nebudete kupovat nove stroje za tisice eur len kvoli nepodporovanym XP. Snad tam nikto nebrowsuje po nete
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem