Certificati SSL

[XWolverineX]

Salve!
In previsione dello sviluppo di un nostro sistema di ecommerce, per il pagamento via carta di credito e paypal (oltre a varie sezioni da rendere sicure) mi sto informando sui certificati SSL.

Tralasciando l'ipotesi di autofirmare un certificato (perchè chiaramente i clienti avrebbero un avviso di sicurezza), l'unico modo è pagare?
Ho trovato, ad esempio, www.cacert.org
Anche questo viene segnalato come non sicuro? Perchè questo sì e gli altri no? I browser hanno una lista di certificati che danno per "sicuri" al loro interno?

Insomma, domanda finale: per avere un certificato serio, devo per forza chiamare verisign e dargli dei soldi?

[Habanero]

Un certificato certifica presso l'utente chi tu sia e permette in base a questo di criptare una connessione.
Per fare questo è necessario che un ente terzo (ente certificatore), sicuramente fidato, garantisca per te. Un po' come andare dal notaio insomma... Questo ha dei costi più o meno elevati.

Per rispondere alle tue domande...

Originariamente inviato da XWolverineX
l'unico modo è pagare?

che sappia io, Sì.
A meno che tu voglia far installare il tuo certificato autofirmato sui sistemi dei tuoi clienti... ma visto che si tratta di ecommerce non ci faresti una bella figura.

Originariamente inviato da XWolverineX
Ho trovato, ad esempio, www.cacert.org
Anche questo viene segnalato come non sicuro? Perchè questo sì e gli altri no?

Non li ho mai provati ma dire di sì visto che chi parlano di root certificate da importare nel browser:http://www.cacert.org/index.php?id=3

Originariamente inviato da XWolverineX
I browser hanno una lista di certificati che danno per "sicuri" al loro interno?

Sì, hanno i certificati degli enti certificatori fidati. (tra l'altro quelli per IE sono aggiornabili via Windows Update)

Originariamente inviato da XWolverineX
Insomma, domanda finale: per avere un certificato serio, devo per forza chiamare verisign e dargli dei soldi?

Sì, e visto che l'attività che intendete intraprendere è di quelle che necessitano la fiducia del cliente, direi che è una scelta obbligata.
Senti anche dal tuo hoster, spesso propongono certificati a prezzi inferiori dei più blasonati Verisign, Thawte etc...

[XWolverineX]

Ho trovato StartSSL.com che pure fa certificati gratis.
Sembra inoltre essere incluso in Windows e Firefox di default.

[Habanero]

Quelli di StartCom sembrano effettivamente essere riconosciuti da tutti i maggiori browser. Da quel che ho capito la versione free non dà comunque garanzie su chi sia effettivamente il detentore del nome di dominio associato ed ha diverse limitazioni.

In ogni caso, il mio modesto parere... senza nemmeno considerare un più costoso certificato EV... un certificato "normale" senza tutte le limitazioni del free costa poche decine di euro l'anno... stiamo comunque parlando di ecommerce...

[XWolverineX]

Non sono i 10 euro, è il principio che è sbagliato.
Perchè mai devo pagare qualcuno che garantisce che bla bla bla bla bla ove, se non dai almeno 1000 euro l'anno, non ti danno nessuna forma di assicurazione?

[stefania_78]

Originariamente inviato da XWolverineX
Salve!
In previsione dello sviluppo di un nostro sistema di ecommerce, per il pagamento via carta di credito e paypal (oltre a varie sezioni da rendere sicure) mi sto informando sui certificati SSL.

Tralasciando l'ipotesi di autofirmare un certificato (perchè chiaramente i clienti avrebbero un avviso di sicurezza), l'unico modo è pagare?
Ho trovato, ad esempio, www.cacert.org
Anche questo viene segnalato come non sicuro? Perchè questo sì e gli altri no? I browser hanno una lista di certificati che danno per "sicuri" al loro interno?

Insomma, domanda finale: per avere un certificato serio, devo per forza chiamare verisign e dargli dei soldi?

ci sono anche i certificati di prova emessi tipo da rapidssl o geotrust che vengono dati gratis per provarli per un mese, ma alla fine li devi comunque comprare se li vuoi "firmati"
scherzi a parte ci sono dei siti che li offrono comunque a basso prezzo, io ad esempio acquisto come rivenditore quelli di trustico perche' spesso mi sono stati richiesti come fornitori dai miei clienti finali e alla fine i certificati non sono gratis pero' costano meno della concorrenza, e ti parlo di rapidssl, geotrust, thawte, verisign, quindi alla fine il meglio sul mercato.
Per quanto riguarda la lista dei certificati sicuri per ogni browser effettivamente esiste, altrimenti non si giustificherebbe la spesa che le autorita' di certificazione destinano ad entrare a far parte di questa schiera di eletti
ho letto di recente che chrome, ad esempio, sta pensando di eliminare la lista di siti con certificazioni attendibili e valide (CRL, mi sembra si chiami cosi') per lasciarne valida una solo interna, e ovviamente symantec che l'ha resa disponibile non l'ha presa bene

[amvinfe]

ciao Stefania,

generalmente chiudiamo i 3d vecchi di due anni, ma in questo caso credo sia più utile lasciarlo aperto visto il tema trattato.


Grazie per il tuo contributo.

[stefania_78]

Originariamente inviato da amvinfe
ciao Stefania,

generalmente chiudiamo i 3d vecchi di due anni, ma in questo caso credo sia più utile lasciarlo aperto visto il tema trattato.


Grazie per il tuo contributo.

grazie

una domanda: qualcuno mi sa dire qualcosa relativamente all'attacco BEAST? ho trovato una ricerca online, chiamata SSL Pulse, che denuncia il potenziale pericolo di questo attacco per il 75% dei siti web, ma non e' che si capisca molto (e io non inglese, tra l'altro, non sono cosi' ferrata ) c'e' qualche anima pia che saprebbe spiegare di cosa si tratti? sembra che possa colpire anche siti con certificati SSL validi e riconosciuti