Либерализация глобальной инфраструктуры PKI не прошла мимо шестого по величине удостоверяющего центра StartCOM, любимого многими за «нетрадиционную» ценовую политику.
Как известно, бизнес-модель израильской компании StartCOM отличается от других центров сертификации: клиент платит только за человеческий труд, при этом машинный труд (автоматизированные процессы) для клиента бесплатны. Также у StartCOM существуют 4 уровня идентификации, при этом выдача сертификатов «внутри» уровня сертификации неограничена и бесплатна (т.к. сама выдача сертификата — полностью автоматический процесс, а вот проверку данных клиента не во всех случаях удается поручить машине).
Ранее эти правила распространялись на все классы идентификации, кроме EV: за каждый новый сертификат было необходимо доплатить еще 49.90 US$. Теперь этот сбор отменен, при достижении уровня EV клиент может выпустить неограниченное количество сертификатов, соответствующих данным EV. Цена EV-идентификации осталась неизменной и составляет 199.90 US$.
По словам CEO StartCOM Eddy Nigg:
HTTPS с «низкоуровневыми» DV SSL становится новым стандартом интернета, постепенно заменяя plain text ‘HTTP’; соответственно, новый ‘HTTPS’ (который должен выделяться, как 15 лет назад выделялся сам факт SSL-соединения — прим. перев.) должен быть защищен EV SSL. Мы осознаем важность EV SSL как стандарта для большинства коммерческих сайтов и ресурсов, работающих с критичной для пользователя информацией.
Другой важной новостью стало внедрение Certificate Transparency — нового стандарта, исправляющего недочеты в системе PKI и предназначенного для борьбы с выдачей поддельных сертификатов для доменов путем ведения логов выдачи. Информация о записи в публичном журнале внедряется в сертификат; браузер (на текущий момент только Chrome) не отобразит «зеленую строку» без этой информации даже для EV-сертификата.
При этом, в отличие от требований Google/Chrome, StartCOM будет вести логи для всех выданных сертификатов (а не только EV) на 3 различных серверах.
Также — на случай если кто-то из хабровчан пропустил — у StartSSL теперь новый современный дизайн и появилась возможность получать сертификаты Class 1 на поддомены.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (25)
vvsvic
03.04.2016 17:44А вы по-прежнему не выдаете бесплатные сертификаты для доменов третьего уровня?
istui
03.04.2016 18:33Я не выдаю общепризнанные сертификаты :) и со StartCOM, кроме симпатии, никак не связан.
Касательно доменов 3го уровня — об этом написано в статье, с недавних пор это стало возможным (я лично заметил в декабре, ЕМНИП). Для широко распространенных доменов вида domain.co.uk, domain.pp.ua, domain.org.ru сертификаты выдавались с самого начала.
navion
03.04.2016 23:03+2Я правильно понимаю, что Class 1 (Domain Validated) теперь можно выпускать для любых целей, в том числе для сайта компании?
istui
03.04.2016 23:50Не уверен. В ноябре я хотел получить сертификат для "начинающего" интернет-магазина, в выдаче было отказано с мотивацией "коммерческий сайт". Пришлось использовать WoSign.
В ближайшее время я опубликую статью со сравнением бесплатных сертификатов, там этот вопрос постараюсь раскрыть подробнее.navion
04.04.2016 00:41CPS обновлён 23.03.2016 и в нём это прямо не запрещено, но есть подозрительная фраза про выпуск Class 1 для individual и его определение можно трактовать по-разному.
istui
04.04.2016 01:16интересный документ, надо изучить подробнее.
По теме — нужно будет проверить, иначе остается только гадать.
istui
06.04.2016 16:08upd: мне выдали без проблем для явно коммерческого сайта.
+ теперь допускается 4 субдомена в дополнение к основному домену, можно самому выбрать common name (о чем уже писали ниже).
digest
04.04.2016 01:24+6Давным давно вел жаркий спор с Эдди Нигом по поводу чересчур хитроумно закрученных услуг (тогда до валидации EV надо было пройти еще две последовательные платные валидации физлица и юрлица), после чего навсегда вычеркнул StarCOM из своего списка. Да, в определенной конфигурации их сертификаты выходят сильно дешевле, но практически любое утверждение этого сервиса не являлось правдой на 100%. И про "неограниченность" не ложь, но и не совсем правда, и про "бесплатность", и про "только машинный труд" хотя бы потому, что валидации физлица, юрлица и EV надо подтверждать за деньги каждый год. Еще, помнится, я возмущался одним возможным code signing сертификатом, который, спасибо громадное, действительно дешевле чем у других СА, но почему бы честно не написать "Выдаем 1 (один) code signing сертификат"? Зачем писать "неограниченно", когда ограничения есть?
Бизнес-модель StarCOM совершенно легитимна, не поймите превратно. $199 за EV, плюс попутно доменные wildcards, плюс code signing и персональные сертификаты — отличнейшая цена! Но они должны открыто, внятно, без продирания через FAQ и разночтений, написать, что это цена услуги за один год сервиса, а не нести пургу про полную неограниченность. Что "немашинного" случится на следующий год, когда Васе Пупкину потребуется ре-валидация? Я уже не спрашиваю зачем она, собственно, нужна вместо взимания честной абонентской платы.navion
04.04.2016 11:30+1С появлением GoGetSSL по ценам всё не так однозначно и верификация у Comodo проще.
istui
04.04.2016 13:13https://www.gogetssl.com/extended-validation/comodo-trial-ev-ssl/ за 46$ — в чем подвох? слишком дешево для EV
Вообще я у GoGet чаще всего беру коммерческие сертификаты, когда надо быть уверенным в том, что завтра серт не отзовут...navion
04.04.2016 13:14На один год и один домен.
istui
04.04.2016 13:17а продление по такой же цене? и в чем тогда отличие от https://www.gogetssl.com/extended-validation/comodo-ev-ssl/, кроме 2 лет?
Так-то есть смысл брать EV для более-менее серьезных проектов по такой цене...
gogetssl
04.04.2016 14:21+2Подвох достаточно простой. Данный сертификат можно получить лишь один раз для одного домена и на один год. Продление идет по обычной цене, около 100$. Продлевать или нет решать клиенту, это не обязательно. Задумка простая, начинающие проекты и сайты могут получить полноценный сертификат на первый год за весьма низкую цену. Как правило, процентов 90% продлевают потом обычным :)
istui
04.04.2016 13:11согласен с вами. Хотя сейчас у них на главной все расписано более подробно, подводные камни все же есть.
L0NGMAN
04.04.2016 01:46То есть в сертификатах от startssl.com уже можно указать и поддомены? Помню ранше давали только для www
Levhav
04.04.2016 05:25Да. Там вроде можно 1 любой подменен. Я так ещё года 2 назад получал сертификат на site.ru и app.site.ru
istui
04.04.2016 13:16теперь еще в дополнение к сертификату на site.ru и app.site.ru можно получить второй сертификат на mobile.site.ru, правда для субдомена необходимо прописать МХ-записи для валидации через почту.
DmitryUhalov
04.04.2016 14:22+1Только сегодня продлевал, можно 5 поддоменов указать:
The first entry domain will be the common name of the certificate.
You can enter up to 5 hostnames, one line one hostname with «Enter» or separate each hostname with a comma.
Alcogolic
06.04.2016 14:32Раньше вроде бы StartCOM-овский корневой серт знали не все браузеры/устройства, сейчас таких косяков нет?
istui
06.04.2016 16:05Насколько я знаю — ~99% современных ОС/Браузеров считают его доверенным. Часть legacy-устройств могут еще работать в сети.
Для особо важных проектов лучше взять VeriSign/Comodo.
Лично у меня лишь один раз iPhone не захотел принимать сертификат «от StartCom» при попытке аутентификации в WPA2Enterprise Wi-Fi — сети (пишу в кавычках, т.к. не уверен, что это не был какой-то «похожий» самоподписанный сертификат). При обычном браузинге проблем никогда не возникало ни на одном устройстве/ОС.navion
06.04.2016 16:24Файрвол в одном из банков его не принимал (Palo Alto, Blue Coat или что-то этого класса), но там сложно понять сам банк удалил CA из доверенных или производитель железки не добавил.
Fullmoon
CACert?
istui
Корневой сертификат CACert не является общепризнанным (читай: не работает на 99% устройств), поэтому он не рассматривается.
Supme
Голосование в мобильной версии не увидел… https://letsencrypt.org/