Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 11 Aug 2009, at 18:30, Eduardo Schoedler wrote: > Pelo que entendi, chave é chave. Você usa onde quiser, certo ? Certo > > O seu esquema de multi-SUBdomains não se aplica para nós. > É um servidor de email com vários domínios virtuais. > Eu precisaria de uma chave para cada domínio ? São quase 500... Você precisa de um certificado multidominio. Até onde eu sei a godaddy faz isso também. Ate 100 dominios por certificado, mas vai na casa de U $1300/ano o certificado. A grande vantagem é que você pode ficar substituindo os dominios no certificado atarves de uma painel administrativo. Ai reemite o certificado e substitui no server. É meio chato mas funcionaria. > Talvez se eu alterasse os clientes para usar o nome do host ao invés > do alias "mail.dominio.com.br" funcionaria sua idéia de > multi-subdomains. É o que eu faço. Todo mundo usa pop.dominiodoprovedor.com.br, imap.dominiodoprovedor.com.br e smtp.dominiodoprovedor.com.br. A justificativa é que se não quiser receber mais o aviso de certificado com problema que mude. Além do que a gente teria que repassar os custos dos certificados pro clientes, o que eles não gostam muito. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Jean Everson Martina wrote: > Olha, eu normalmente faço é comprar um multi-subdomains e colocar o > mesmo par de chaves pra tudo. Eu compro na godaddy (como falei > antes) > um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele > pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, > www.dominio.com.br > e secure.dominio.com.br. > > Depois cria duas copias das chaves. Uma pra usar no apache (que a > chave privada e publica tem que tar separadas) e outra pro qmail e > courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). > Não > é a melhor das politicas ficar sitribuindo copias da chave privada > no > seu sistema, mas se você levar em conta que se um atacante puder > acessar uma ele também pode a outra, ai é quase a mesma coisa, pois > ta > tudo no FS. > > Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o > tempo que os clientes gastam clicando naquele maldito botão (que no > outlook é superchato de parar) e o custo do suporte que ele vai > gerar > não vale a pena. Olá Jean. Obrigado pelas respostas. Pelo que entendi, chave é chave. Você usa onde quiser, certo ? O seu esquema de multi-SUBdomains não se aplica para nós. É um servidor de email com vários domínios virtuais. Eu precisaria de uma chave para cada domínio ? São quase 500... Talvez se eu alterasse os clientes para usar o nome do host ao invés do alias "mail.dominio.com.br" funcionaria sua idéia de multi-subdomains. Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 11 Aug 2009, at 14:47, Eduardo Schoedler wrote: > Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de > emails. > Qual o tipo de chave necessária nesse caso ? > É o mesmo tipo de chave utilizando em webservers ? Olha, eu normalmente faço é comprar um multi-subdomains e colocar o mesmo par de chaves pra tudo. Eu compro na godaddy (como falei antes) um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, www.dominio.com.br e secure.dominio.com.br. Depois cria duas copias das chaves. Uma pra usar no apache (que a chave privada e publica tem que tar separadas) e outra pro qmail e courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). Não é a melhor das politicas ficar sitribuindo copias da chave privada no seu sistema, mas se você levar em conta que se um atacante puder acessar uma ele também pode a outra, ai é quase a mesma coisa, pois ta tudo no FS. Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o tempo que os clientes gastam clicando naquele maldito botão (que no outlook é superchato de parar) e o custo do suporte que ele vai gerar não vale a pena. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Em 11/08/2009, Jean Everson Martina escreveu: > Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente > em verificação formal de protocolos). O certificado ter uma boa > qualidade de asserção do CN é imprescidível para a segurança do SSL/ > TLS. A identificação correta do peer ao qual voce esta se conectando é > dada pelo certificado X509. > > Se você pensar que o certificado so serve pra fazer a distribuição do > Master Key no SSL, com certeza ambos os certificados são eficazes. Mas > as premissas do SSL/TLS são mais amplas, principalmente a de que você > tem que verificar a identidade do peer ao qual voce esta se conectando. > > A diferença entre um certificado EV e um não EV, é exatamente a > Extended Validation. Hoje um certificado destes de U$99.00 faz > unicamente a verificação do dominio via whois e se foi autorizado pelo > detentor do dominio. Um certificado EV obriga você a mostrar provas > documentais sobre a sua identidade para ser certificado. Por isso que > ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem > com o dominio. > > Em geral eu compro certificados no godaddy.com. É super barato, sem > contar quye você acha um discount code na internet de ate 20%. > funcionam muito bem para asserção do dominio. > > Jean Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de emails. Qual o tipo de chave necessária nesse caso ? É o mesmo tipo de chave utilizando em webservers ? Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 10 Aug 2009, at 20:13, Renato Frederick wrote: > Crie um site de vendas e veja se terá 1 venda se quando o cliente > abrir a > página o IE colocar um escudo vermelho falando "há um problema de > segurança > com o certificado deste site" ou então o mozilla falando > "babalbalbalba > tire-me daqui". > > Self signed certificate e um certificado comprado tem o mesmo > objetivo, mas > o público em geral não aceita isto. > > Tem a parte também do "processo acreditado de certificação", do tipo > "fé > pública" que os cartórios tem, mas isto já é papo para aquelas > palestras > chatas de segurança regadas a muito PowerPoint. Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente em verificação formal de protocolos). O certificado ter uma boa qualidade de asserção do CN é imprescidível para a segurança do SSL/ TLS. A identificação correta do peer ao qual voce esta se conectando é dada pelo certificado X509. Se você pensar que o certificado so serve pra fazer a distribuição do Master Key no SSL, com certeza ambos os certificados são eficazes. Mas as premissas do SSL/TLS são mais amplas, principalmente a de que você tem que verificar a identidade do peer ao qual voce esta se conectando. A diferença entre um certificado EV e um não EV, é exatamente a Extended Validation. Hoje um certificado destes de U$99.00 faz unicamente a verificação do dominio via whois e se foi autorizado pelo detentor do dominio. Um certificado EV obriga você a mostrar provas documentais sobre a sua identidade para ser certificado. Por isso que ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem com o dominio. Em geral eu compro certificados no godaddy.com. É super barato, sem contar quye você acha um discount code na internet de ate 20%. funcionam muito bem para asserção do dominio. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
> b) não vou procurar (preguiça commands) mas recentemente li um artigo > que mostrava a possibilidade de quebra dêsses certificados; alguma > coisa nêste link: > http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne O ataque é um null byte no campo CN do certificado. Não é um problema do certificado em si, mas dos parsers dos browsers. O que acontece é que agora as ACs estão verificando esse null byte nos novos certificados e pronto. Um ataque MITM é possivel, mas pra isso você precisa estar bem posicionado e conseguir envenenar os DNS da pessoa. Essa vulnerabilidade combinada com a do bind também no mes passado é que pode tornara coisa um pouco mais perigosa. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Crie um site de vendas e veja se terá 1 venda se quando o cliente abrir a página o IE colocar um escudo vermelho falando "há um problema de segurança com o certificado deste site" ou então o mozilla falando "babalbalbalba tire-me daqui". Self signed certificate e um certificado comprado tem o mesmo objetivo, mas o público em geral não aceita isto. Tem a parte também do "processo acreditado de certificação", do tipo "fé pública" que os cartórios tem, mas isto já é papo para aquelas palestras chatas de segurança regadas a muito PowerPoint. On Mon, 10 Aug 2009 15:29:46 -0300, irado furioso com tudo wrote: > Em Mon, 10 Aug 2009 14:44:38 -0300 > Fernando Silveira , conhecido consumidor de drogas > (BigMac's com Coke) escreveu: > >> Alguem poderia me dar alguma sugestão ?? > > já que pediu, então agora aguente: > > a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar > de fazer algo exceto por força de lei), há algo que impeça vc de > gerar/utilizar seus próprios certificados? outros sites fazem isso, > justamente para evitar essa "despesa inútil". > > b) não vou procurar (preguiça commands) mas recentemente li um artigo > que mostrava a possibilidade de quebra dêsses certificados; alguma > coisa nêste link: > http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne > > flames > /dev/null - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Hoje em dia até para certificado SSL estão "inventando moda", vendendo "addons", a própria comodo tem trocentos tipos de certificado: http://www.comodo.com/business-security/digital-certificates/ssl-certificates.php Porém o certificado "básico" já atende o que precisa, criptografar dados entre usuario -> servidor e vir de uma raiz confiável. http://www.comodo.com/business-security/digital-certificates/ssl.php Até porque analisando friamente, a maioria dos furos de segurança em aplicações web se dá por parte do cliente(trojan, keylogger, pishing, etc) e por comprometimento do servidor(código mal feito, vulnerabilidade no servidor WEB)... Então comprar um SSL de 9216bits por milhões ou um padrão por 70 dolares não indica mais ou menos segurança. On Mon, 10 Aug 2009 14:50:31 -0300, "Thiago J. Ruiz" wrote: > a EV é mais do que vc necessita se for apenas uma loja virtual, um > certificado comum (instant ssl) já é suficiente. > > att; > > 2009/8/10 Fernando Silveira > >> Boa Tarde, >> >> Estamos desenvolvendo um site de vendas e vamos precisar adquirir um >> certificado SSL >> 1. Tipos de certificado >> >> a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele >> é >> bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar >> de >> um negocio destes mesmo ??? >> >> 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é >> muito >> grande. >> >> Alguem poderia me dar alguma sugestão ?? >> >> Obrigado >> Fernando >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Há outro que é um MIDM (Man in the middle attack), não? Pensei que era deste que o colega irado se referia. [cid:part1.09020609.05080808@fcdl-sc.org.br] Leandro Quibem Magnabosco Consultor de TI (48) 3251-5323 [1]leandro.magnabo...@fcdl-sc.org.br [2]www.fcdl-sc.org.br Rua: Rafael Bandeira, 41 CEP. 88015-450 Florianópolis - SC "Este é um e-mail oriundo da Federação das Câmaras de Dirigentes Lojistas de Santa Catarina, e seu conteúdo é confidencial e destinado exclusivamente a seu(s) destinatário(s), não podendo ser copiado ou repassado,no todo ou em parte, a terceiros. Se esta mensagem foi-lhe enviada por engano, pedimos o obséquio de entrar em contato conosco. This is an e-mail from the Federação das Câmaras de Dirigentes Lojistas de Santa Catarina and its contents are privileged and confidential to the ordinary user(s) of the e-mail address(es) to which it was addressed, and no one else may copy or forward all or any of it in any form. If this e-mail was sent to you in error, please contact us." Marcus Alves Grando wrote: On 08/10/2009 03:29 PM, irado furioso com tudo wrote: Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveira[3], conhecido consumidor de drogas (BigMac's com Coke) escreveu: Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa "despesa inútil". b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: [4]http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ss l+certificates+vulne Sim, se baseava em super certs e usava caracteres asiáticos para mostrar a URL, mas sim, funcionava. Abraços flames> /dev/null References 1. mailto:leandro.magnabo...@fcdl-sc.org.br 2. http://www.fcdl-sc.org.br/ 3. mailto:fern...@gmail.com 4. http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne <>- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
very sing 2009/8/10 Fernando Silveira > Boa Tarde, > > Estamos desenvolvendo um site de vendas e vamos precisar adquirir um > certificado SSL > 1. Tipos de certificado > > a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é > bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de > um negocio destes mesmo ??? > > 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito > grande. > > Alguem poderia me dar alguma sugestão ?? > > Obrigado > Fernando > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 08/10/2009 03:29 PM, irado furioso com tudo wrote: > Em Mon, 10 Aug 2009 14:44:38 -0300 > Fernando Silveira, conhecido consumidor de drogas > (BigMac's com Coke) escreveu: > >> Alguem poderia me dar alguma sugestão ?? > > já que pediu, então agora aguente: > > a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar > de fazer algo exceto por força de lei), há algo que impeça vc de > gerar/utilizar seus próprios certificados? outros sites fazem isso, > justamente para evitar essa "despesa inútil". > > b) não vou procurar (preguiça commands) mas recentemente li um artigo > que mostrava a possibilidade de quebra dêsses certificados; alguma > coisa nêste link: > http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne Sim, se baseava em super certs e usava caracteres asiáticos para mostrar a URL, mas sim, funcionava. Abraços > > flames> /dev/null > -- Marcus Alves Grando marcus(at)sbh.eng.br | Personal mnag(at)FreeBSD.org | FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveira , conhecido consumidor de drogas (BigMac's com Coke) escreveu: > Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa "despesa inútil". b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Salário Ejaculação Precoce Quando entra, já acabou. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
a EV é mais do que vc necessita se for apenas uma loja virtual, um certificado comum (instant ssl) já é suficiente. att; 2009/8/10 Fernando Silveira > Boa Tarde, > > Estamos desenvolvendo um site de vendas e vamos precisar adquirir um > certificado SSL > 1. Tipos de certificado > > a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é > bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de > um negocio destes mesmo ??? > > 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito > grande. > > Alguem poderia me dar alguma sugestão ?? > > Obrigado > Fernando > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Thiago J. Ruiz SysAdmin/NetAdmin Cisco CCNA - Loading. http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
2009/8/10 Fernando Silveira > Boa Tarde, > > Estamos desenvolvendo um site de vendas e vamos precisar adquirir um > certificado SSL > 1. Tipos de certificado > > a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é > bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de > um negocio destes mesmo ??? > Eu uso certificados da instantssl [1]. A partir de $99.95 por ano. > 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito > grande. Existem diversos tipos de certificação e garantias de segurança em moeda, se o intuito é mostrar o cadeado de segurança ao usuário esse da instantssl já é suficiente. > > Alguem poderia me dar alguma sugestão ?? > > Obrigado > Fernando > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > [1] http://www.instantssl.com/ssl-certificate-products/addsupport/ssl-instantssl.html -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd