Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 11 Aug 2009, at 18:30, Eduardo Schoedler wrote: Pelo que entendi, chave é chave. Você usa onde quiser, certo ? Certo O seu esquema de multi-SUBdomains não se aplica para nós. É um servidor de email com vários domínios virtuais. Eu precisaria de uma chave para cada domínio ? São quase 500... Você precisa de um certificado multidominio. Até onde eu sei a godaddy faz isso também. Ate 100 dominios por certificado, mas vai na casa de U $1300/ano o certificado. A grande vantagem é que você pode ficar substituindo os dominios no certificado atarves de uma painel administrativo. Ai reemite o certificado e substitui no server. É meio chato mas funcionaria. Talvez se eu alterasse os clientes para usar o nome do host ao invés do alias mail.dominio.com.br funcionaria sua idéia de multi-subdomains. É o que eu faço. Todo mundo usa pop.dominiodoprovedor.com.br, imap.dominiodoprovedor.com.br e smtp.dominiodoprovedor.com.br. A justificativa é que se não quiser receber mais o aviso de certificado com problema que mude. Além do que a gente teria que repassar os custos dos certificados pro clientes, o que eles não gostam muito. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne O ataque é um null byte no campo CN do certificado. Não é um problema do certificado em si, mas dos parsers dos browsers. O que acontece é que agora as ACs estão verificando esse null byte nos novos certificados e pronto. Um ataque MITM é possivel, mas pra isso você precisa estar bem posicionado e conseguir envenenar os DNS da pessoa. Essa vulnerabilidade combinada com a do bind também no mes passado é que pode tornara coisa um pouco mais perigosa. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 10 Aug 2009, at 20:13, Renato Frederick wrote: Crie um site de vendas e veja se terá 1 venda se quando o cliente abrir a página o IE colocar um escudo vermelho falando há um problema de segurança com o certificado deste site ou então o mozilla falando babalbalbalba tire-me daqui. Self signed certificate e um certificado comprado tem o mesmo objetivo, mas o público em geral não aceita isto. Tem a parte também do processo acreditado de certificação, do tipo fé pública que os cartórios tem, mas isto já é papo para aquelas palestras chatas de segurança regadas a muito PowerPoint. Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente em verificação formal de protocolos). O certificado ter uma boa qualidade de asserção do CN é imprescidível para a segurança do SSL/ TLS. A identificação correta do peer ao qual voce esta se conectando é dada pelo certificado X509. Se você pensar que o certificado so serve pra fazer a distribuição do Master Key no SSL, com certeza ambos os certificados são eficazes. Mas as premissas do SSL/TLS são mais amplas, principalmente a de que você tem que verificar a identidade do peer ao qual voce esta se conectando. A diferença entre um certificado EV e um não EV, é exatamente a Extended Validation. Hoje um certificado destes de U$99.00 faz unicamente a verificação do dominio via whois e se foi autorizado pelo detentor do dominio. Um certificado EV obriga você a mostrar provas documentais sobre a sua identidade para ser certificado. Por isso que ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem com o dominio. Em geral eu compro certificados no godaddy.com. É super barato, sem contar quye você acha um discount code na internet de ate 20%. funcionam muito bem para asserção do dominio. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Em 11/08/2009, Jean Everson Martina escreveu: Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente em verificação formal de protocolos). O certificado ter uma boa qualidade de asserção do CN é imprescidível para a segurança do SSL/ TLS. A identificação correta do peer ao qual voce esta se conectando é dada pelo certificado X509. Se você pensar que o certificado so serve pra fazer a distribuição do Master Key no SSL, com certeza ambos os certificados são eficazes. Mas as premissas do SSL/TLS são mais amplas, principalmente a de que você tem que verificar a identidade do peer ao qual voce esta se conectando. A diferença entre um certificado EV e um não EV, é exatamente a Extended Validation. Hoje um certificado destes de U$99.00 faz unicamente a verificação do dominio via whois e se foi autorizado pelo detentor do dominio. Um certificado EV obriga você a mostrar provas documentais sobre a sua identidade para ser certificado. Por isso que ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem com o dominio. Em geral eu compro certificados no godaddy.com. É super barato, sem contar quye você acha um discount code na internet de ate 20%. funcionam muito bem para asserção do dominio. Jean Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de emails. Qual o tipo de chave necessária nesse caso ? É o mesmo tipo de chave utilizando em webservers ? Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 11 Aug 2009, at 14:47, Eduardo Schoedler wrote: Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de emails. Qual o tipo de chave necessária nesse caso ? É o mesmo tipo de chave utilizando em webservers ? Olha, eu normalmente faço é comprar um multi-subdomains e colocar o mesmo par de chaves pra tudo. Eu compro na godaddy (como falei antes) um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, www.dominio.com.br e secure.dominio.com.br. Depois cria duas copias das chaves. Uma pra usar no apache (que a chave privada e publica tem que tar separadas) e outra pro qmail e courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). Não é a melhor das politicas ficar sitribuindo copias da chave privada no seu sistema, mas se você levar em conta que se um atacante puder acessar uma ele também pode a outra, ai é quase a mesma coisa, pois ta tudo no FS. Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o tempo que os clientes gastam clicando naquele maldito botão (que no outlook é superchato de parar) e o custo do suporte que ele vai gerar não vale a pena. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Jean Everson Martina wrote: Olha, eu normalmente faço é comprar um multi-subdomains e colocar o mesmo par de chaves pra tudo. Eu compro na godaddy (como falei antes) um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, www.dominio.com.br e secure.dominio.com.br. Depois cria duas copias das chaves. Uma pra usar no apache (que a chave privada e publica tem que tar separadas) e outra pro qmail e courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). Não é a melhor das politicas ficar sitribuindo copias da chave privada no seu sistema, mas se você levar em conta que se um atacante puder acessar uma ele também pode a outra, ai é quase a mesma coisa, pois ta tudo no FS. Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o tempo que os clientes gastam clicando naquele maldito botão (que no outlook é superchato de parar) e o custo do suporte que ele vai gerar não vale a pena. Olá Jean. Obrigado pelas respostas. Pelo que entendi, chave é chave. Você usa onde quiser, certo ? O seu esquema de multi-SUBdomains não se aplica para nós. É um servidor de email com vários domínios virtuais. Eu precisaria de uma chave para cada domínio ? São quase 500... Talvez se eu alterasse os clientes para usar o nome do host ao invés do alias mail.dominio.com.br funcionaria sua idéia de multi-subdomains. Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [off-topic] Compra Certificado SSL
Boa Tarde, Estamos desenvolvendo um site de vendas e vamos precisar adquirir um certificado SSL 1. Tipos de certificado a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de um negocio destes mesmo ??? 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito grande. Alguem poderia me dar alguma sugestão ?? Obrigado Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
2009/8/10 Fernando Silveira fern...@gmail.com Boa Tarde, Estamos desenvolvendo um site de vendas e vamos precisar adquirir um certificado SSL 1. Tipos de certificado a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de um negocio destes mesmo ??? Eu uso certificados da instantssl [1]. A partir de $99.95 por ano. 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito grande. Existem diversos tipos de certificação e garantias de segurança em moeda, se o intuito é mostrar o cadeado de segurança ao usuário esse da instantssl já é suficiente. Alguem poderia me dar alguma sugestão ?? Obrigado Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [1] http://www.instantssl.com/ssl-certificate-products/addsupport/ssl-instantssl.html -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
a EV é mais do que vc necessita se for apenas uma loja virtual, um certificado comum (instant ssl) já é suficiente. att; 2009/8/10 Fernando Silveira fern...@gmail.com Boa Tarde, Estamos desenvolvendo um site de vendas e vamos precisar adquirir um certificado SSL 1. Tipos de certificado a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de um negocio destes mesmo ??? 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito grande. Alguem poderia me dar alguma sugestão ?? Obrigado Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz SysAdmin/NetAdmin Cisco CCNA - Loading. http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveira fern...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa despesa inútil. b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Salário Ejaculação Precoce Quando entra, já acabou. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 08/10/2009 03:29 PM, irado furioso com tudo wrote: Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveirafern...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa despesa inútil. b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne Sim, se baseava em super certs e usava caracteres asiáticos para mostrar a URL, mas sim, funcionava. Abraços flames /dev/null -- Marcus Alves Grando marcus(at)sbh.eng.br | Personal mnag(at)FreeBSD.org | FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
very sing 2009/8/10 Fernando Silveira fern...@gmail.com Boa Tarde, Estamos desenvolvendo um site de vendas e vamos precisar adquirir um certificado SSL 1. Tipos de certificado a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de um negocio destes mesmo ??? 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito grande. Alguem poderia me dar alguma sugestão ?? Obrigado Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Há outro que é um MIDM (Man in the middle attack), não? Pensei que era deste que o colega irado se referia. [cid:part1.09020609.05080808@fcdl-sc.org.br] Leandro Quibem Magnabosco Consultor de TI (48) 3251-5323 [1]leandro.magnabo...@fcdl-sc.org.br [2]www.fcdl-sc.org.br Rua: Rafael Bandeira, 41 CEP. 88015-450 Florianópolis - SC Este é um e-mail oriundo da Federação das Câmaras de Dirigentes Lojistas de Santa Catarina, e seu conteúdo é confidencial e destinado exclusivamente a seu(s) destinatário(s), não podendo ser copiado ou repassado,no todo ou em parte, a terceiros. Se esta mensagem foi-lhe enviada por engano, pedimos o obséquio de entrar em contato conosco. This is an e-mail from the Federação das Câmaras de Dirigentes Lojistas de Santa Catarina and its contents are privileged and confidential to the ordinary user(s) of the e-mail address(es) to which it was addressed, and no one else may copy or forward all or any of it in any form. If this e-mail was sent to you in error, please contact us. Marcus Alves Grando wrote: On 08/10/2009 03:29 PM, irado furioso com tudo wrote: Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveira[3]fern...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa despesa inútil. b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: [4]http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ss l+certificates+vulne Sim, se baseava em super certs e usava caracteres asiáticos para mostrar a URL, mas sim, funcionava. Abraços flames /dev/null References 1. mailto:leandro.magnabo...@fcdl-sc.org.br 2. http://www.fcdl-sc.org.br/ 3. mailto:fern...@gmail.com 4. http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne inline: logotipos.gif- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Hoje em dia até para certificado SSL estão inventando moda, vendendo addons, a própria comodo tem trocentos tipos de certificado: http://www.comodo.com/business-security/digital-certificates/ssl-certificates.php Porém o certificado básico já atende o que precisa, criptografar dados entre usuario - servidor e vir de uma raiz confiável. http://www.comodo.com/business-security/digital-certificates/ssl.php Até porque analisando friamente, a maioria dos furos de segurança em aplicações web se dá por parte do cliente(trojan, keylogger, pishing, etc) e por comprometimento do servidor(código mal feito, vulnerabilidade no servidor WEB)... Então comprar um SSL de 9216bits por milhões ou um padrão por 70 dolares não indica mais ou menos segurança. On Mon, 10 Aug 2009 14:50:31 -0300, Thiago J. Ruiz thiagojr...@gmail.com wrote: a EV é mais do que vc necessita se for apenas uma loja virtual, um certificado comum (instant ssl) já é suficiente. att; 2009/8/10 Fernando Silveira fern...@gmail.com Boa Tarde, Estamos desenvolvendo um site de vendas e vamos precisar adquirir um certificado SSL 1. Tipos de certificado a certisign existe varios modelos, vi que EV SSL parece ser o melhor. Ele é bom mesmo ?? porque o preço dele é bem salgado tb. Será que vou precisar de um negocio destes mesmo ??? 2. Qual empresa contratar ??? o preco de uma Certisign para Thawte é muito grande. Alguem poderia me dar alguma sugestão ?? Obrigado Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Crie um site de vendas e veja se terá 1 venda se quando o cliente abrir a página o IE colocar um escudo vermelho falando há um problema de segurança com o certificado deste site ou então o mozilla falando babalbalbalba tire-me daqui. Self signed certificate e um certificado comprado tem o mesmo objetivo, mas o público em geral não aceita isto. Tem a parte também do processo acreditado de certificação, do tipo fé pública que os cartórios tem, mas isto já é papo para aquelas palestras chatas de segurança regadas a muito PowerPoint. On Mon, 10 Aug 2009 15:29:46 -0300, irado furioso com tudo ir...@bsd.com.br wrote: Em Mon, 10 Aug 2009 14:44:38 -0300 Fernando Silveira fern...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Alguem poderia me dar alguma sugestão ?? já que pediu, então agora aguente: a) se não houver imposição LEGAL (ninguém é obrigado a fazer ou deixar de fazer algo exceto por força de lei), há algo que impeça vc de gerar/utilizar seus próprios certificados? outros sites fazem isso, justamente para evitar essa despesa inútil. b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne flames /dev/null - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd