* (сама проверка до уровня EV остается платной)



Либерализация глобальной инфраструктуры PKI не прошла мимо шестого по величине удостоверяющего центра StartCOM, любимого многими за «нетрадиционную» ценовую политику.

Как известно, бизнес-модель израильской компании StartCOM отличается от других центров сертификации: клиент платит только за человеческий труд, при этом машинный труд (автоматизированные процессы) для клиента бесплатны. Также у StartCOM существуют 4 уровня идентификации, при этом выдача сертификатов «внутри» уровня сертификации неограничена и бесплатна (т.к. сама выдача сертификата — полностью автоматический процесс, а вот проверку данных клиента не во всех случаях удается поручить машине).

Ранее эти правила распространялись на все классы идентификации, кроме EV: за каждый новый сертификат было необходимо доплатить еще 49.90 US$. Теперь этот сбор отменен, при достижении уровня EV клиент может выпустить неограниченное количество сертификатов, соответствующих данным EV. Цена EV-идентификации осталась неизменной и составляет 199.90 US$.

По словам CEO StartCOM Eddy Nigg:
HTTPS с «низкоуровневыми» DV SSL становится новым стандартом интернета, постепенно заменяя plain text ‘HTTP’; соответственно, новый ‘HTTPS’ (который должен выделяться, как 15 лет назад выделялся сам факт SSL-соединения — прим. перев.) должен быть защищен EV SSL. Мы осознаем важность EV SSL как стандарта для большинства коммерческих сайтов и ресурсов, работающих с критичной для пользователя информацией.


Другой важной новостью стало внедрение Certificate Transparency — нового стандарта, исправляющего недочеты в системе PKI и предназначенного для борьбы с выдачей поддельных сертификатов для доменов путем ведения логов выдачи. Информация о записи в публичном журнале внедряется в сертификат; браузер (на текущий момент только Chrome) не отобразит «зеленую строку» без этой информации даже для EV-сертификата.
При этом, в отличие от требований Google/Chrome, StartCOM будет вести логи для всех выданных сертификатов (а не только EV) на 3 различных серверах.

Также — на случай если кто-то из хабровчан пропустил — у StartSSL теперь новый современный дизайн и появилась возможность получать сертификаты Class 1 на поддомены.
Какие бесплатные УЦ вы УЖЕ использовали на практике?

Проголосовало 428 человек. Воздержалось 124 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Комментарии (25)


  1. Fullmoon
    03.04.2016 17:44

    Какие бесплатные УЦ вы УЖЕ использовали на практике?

    CACert?


    1. istui
      03.04.2016 18:30

      Корневой сертификат CACert не является общепризнанным (читай: не работает на 99% устройств), поэтому он не рассматривается.


    1. Supme
      03.04.2016 23:00

      Голосование в мобильной версии не увидел… https://letsencrypt.org/


  1. vvsvic
    03.04.2016 17:44

    А вы по-прежнему не выдаете бесплатные сертификаты для доменов третьего уровня?


    1. istui
      03.04.2016 18:33

      Я не выдаю общепризнанные сертификаты :) и со StartCOM, кроме симпатии, никак не связан.
      Касательно доменов 3го уровня — об этом написано в статье, с недавних пор это стало возможным (я лично заметил в декабре, ЕМНИП). Для широко распространенных доменов вида domain.co.uk, domain.pp.ua, domain.org.ru сертификаты выдавались с самого начала.


  1. navion
    03.04.2016 23:03
    +2

    Я правильно понимаю, что Class 1 (Domain Validated) теперь можно выпускать для любых целей, в том числе для сайта компании?


    1. istui
      03.04.2016 23:50

      Не уверен. В ноябре я хотел получить сертификат для "начинающего" интернет-магазина, в выдаче было отказано с мотивацией "коммерческий сайт". Пришлось использовать WoSign.
      В ближайшее время я опубликую статью со сравнением бесплатных сертификатов, там этот вопрос постараюсь раскрыть подробнее.


      1. navion
        04.04.2016 00:41

        CPS обновлён 23.03.2016 и в нём это прямо не запрещено, но есть подозрительная фраза про выпуск Class 1 для individual и его определение можно трактовать по-разному.


        1. istui
          04.04.2016 01:16

          интересный документ, надо изучить подробнее.
          По теме — нужно будет проверить, иначе остается только гадать.


        1. istui
          06.04.2016 16:08

          upd: мне выдали без проблем для явно коммерческого сайта.
          + теперь допускается 4 субдомена в дополнение к основному домену, можно самому выбрать common name (о чем уже писали ниже).


  1. digest
    04.04.2016 01:24
    +6

    Давным давно вел жаркий спор с Эдди Нигом по поводу чересчур хитроумно закрученных услуг (тогда до валидации EV надо было пройти еще две последовательные платные валидации физлица и юрлица), после чего навсегда вычеркнул StarCOM из своего списка. Да, в определенной конфигурации их сертификаты выходят сильно дешевле, но практически любое утверждение этого сервиса не являлось правдой на 100%. И про "неограниченность" не ложь, но и не совсем правда, и про "бесплатность", и про "только машинный труд" хотя бы потому, что валидации физлица, юрлица и EV надо подтверждать за деньги каждый год. Еще, помнится, я возмущался одним возможным code signing сертификатом, который, спасибо громадное, действительно дешевле чем у других СА, но почему бы честно не написать "Выдаем 1 (один) code signing сертификат"? Зачем писать "неограниченно", когда ограничения есть?
    Бизнес-модель StarCOM совершенно легитимна, не поймите превратно. $199 за EV, плюс попутно доменные wildcards, плюс code signing и персональные сертификаты — отличнейшая цена! Но они должны открыто, внятно, без продирания через FAQ и разночтений, написать, что это цена услуги за один год сервиса, а не нести пургу про полную неограниченность. Что "немашинного" случится на следующий год, когда Васе Пупкину потребуется ре-валидация? Я уже не спрашиваю зачем она, собственно, нужна вместо взимания честной абонентской платы.


    1. navion
      04.04.2016 11:30
      +1

      С появлением GoGetSSL по ценам всё не так однозначно и верификация у Comodo проще.


      1. istui
        04.04.2016 13:13

        https://www.gogetssl.com/extended-validation/comodo-trial-ev-ssl/ за 46$ — в чем подвох? слишком дешево для EV
        Вообще я у GoGet чаще всего беру коммерческие сертификаты, когда надо быть уверенным в том, что завтра серт не отзовут...


        1. navion
          04.04.2016 13:14

          На один год и один домен.


          1. istui
            04.04.2016 13:17

            а продление по такой же цене? и в чем тогда отличие от https://www.gogetssl.com/extended-validation/comodo-ev-ssl/, кроме 2 лет?
            Так-то есть смысл брать EV для более-менее серьезных проектов по такой цене...


            1. navion
              04.04.2016 13:23

              Существенной разницы скорее всего нет. Comodo демпенгует и выпускает идентичные сертификаты под разными брендами (PositiveSSL, InstantSSL, GGSSL). Почитайте посты и комментарии gogetssl, он писал много интересного.


        1. gogetssl
          04.04.2016 14:21
          +2

          Подвох достаточно простой. Данный сертификат можно получить лишь один раз для одного домена и на один год. Продление идет по обычной цене, около 100$. Продлевать или нет решать клиенту, это не обязательно. Задумка простая, начинающие проекты и сайты могут получить полноценный сертификат на первый год за весьма низкую цену. Как правило, процентов 90% продлевают потом обычным :)


    1. istui
      04.04.2016 13:11

      согласен с вами. Хотя сейчас у них на главной все расписано более подробно, подводные камни все же есть.


  1. L0NGMAN
    04.04.2016 01:46

    То есть в сертификатах от startssl.com уже можно указать и поддомены? Помню ранше давали только для www


    1. Levhav
      04.04.2016 05:25

      Да. Там вроде можно 1 любой подменен. Я так ещё года 2 назад получал сертификат на site.ru и app.site.ru


      1. istui
        04.04.2016 13:16

        теперь еще в дополнение к сертификату на site.ru и app.site.ru можно получить второй сертификат на mobile.site.ru, правда для субдомена необходимо прописать МХ-записи для валидации через почту.


      1. DmitryUhalov
        04.04.2016 14:22
        +1

        Только сегодня продлевал, можно 5 поддоменов указать:

        The first entry domain will be the common name of the certificate.
        You can enter up to 5 hostnames, one line one hostname with «Enter» or separate each hostname with a comma.


  1. Alcogolic
    06.04.2016 14:32

    Раньше вроде бы StartCOM-овский корневой серт знали не все браузеры/устройства, сейчас таких косяков нет?


    1. istui
      06.04.2016 16:05

      Насколько я знаю — ~99% современных ОС/Браузеров считают его доверенным. Часть legacy-устройств могут еще работать в сети.
      Для особо важных проектов лучше взять VeriSign/Comodo.

      Лично у меня лишь один раз iPhone не захотел принимать сертификат «от StartCom» при попытке аутентификации в WPA2Enterprise Wi-Fi — сети (пишу в кавычках, т.к. не уверен, что это не был какой-то «похожий» самоподписанный сертификат). При обычном браузинге проблем никогда не возникало ни на одном устройстве/ОС.


      1. navion
        06.04.2016 16:24

        Файрвол в одном из банков его не принимал (Palo Alto, Blue Coat или что-то этого класса), но там сложно понять сам банк удалил CA из доверенных или производитель железки не добавил.