---

Jeg skal til at forny et certefikat der udløber ganske snart. Er der nogen
der har gode erfaringer med nogle lidt større spillere på markedet - og
gerne nogen der har det til en god pris?

Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt. et
stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt i forhold
til fx http://www.thawte.com/ hvor det ser ud til at fås for 349$.

Som man måske kan læse ud fra at Thawte er med i overvejelserne, så er det
fint med betaling med Visa og at det er udenlandsk firma!

--
Mvh
Jesper

---

"Jesper Kjeldsen" <usenet@jknet.dk> writes:

> Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt. et
> stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt i forhold
> til fx http://www.thawte.com/ hvor det ser ud til at fås for 349$.

Tjah.. TDC tager 4500 for 2 år for et af deres egne certifikater. Se
mere på <http://www.certifikat.dk>

> --
> Mvh
> Jesper

--
Ole Hansen

---

"Ole Hansen" <moped@get2net.dk> skrev i en meddelelse
news:uy8sie5gm.fsf@get2net.dk...
> "Jesper Kjeldsen" <usenet@jknet.dk> writes:
> > Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt.
et
> > stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt i
forhold
> > til fx http://www.thawte.com/ hvor det ser ud til at fås for 349$.
> Tjah.. TDC tager 4500 for 2 år for et af deres egne certifikater. Se
> mere på <http://www.certifikat.dk>

Hvad skulle grunden være til at vælge fx TDC i stedet for Thawte? Jeg tænker
igen på at Thawte kun koster 349$ (ca. 2500 kr.)?
Altså ud over de åbenlyse med dansk firma, dansk support, kender dem osv?
Med andre - nogle tekniske grunde?

--
Mvh
Jesper

---

On 08 Jan 2004 18:05:29 +0100, Ole Hansen <moped@get2net.dk>
wrote:

> Tjah.. TDC tager 4500 for 2 år for et af deres egne certifikater.

Hvis man har mange internationale brugere på sit websted, er det
nok en god idé at skaffe sig et certifikat fra et af de store,
internationale firmaer, der stoles på stort set overalt.

-A
--
http://www.hojmark.org/

---

Den Thu, 08 Jan 2004 22:17:41 +0100 skrev Asbjorn Hojmark:
>On 08 Jan 2004 18:05:29 +0100, Ole Hansen <moped@get2net.dk>
>wrote:
>
>> Tjah.. TDC tager 4500 for 2 år for et af deres egne certifikater.
>
>Hvis man har mange internationale brugere på sit websted, er det
>nok en god idé at skaffe sig et certifikat fra et af de store,
>internationale firmaer, der stoles på stort set overalt.

Nok nærmere "et af de store, internationale firmaer, som stort set
alle browsere er sat op til at stole på som default, og som kun de
færreste af brugerne har fundet ud af hvordan man sletter".

Forskellen? Jo, 99% af alle browsere har fx stadig Verisigns
root-certifikat installeret, altså det der firma der blev berygtet på
det stunt de lavede med at kapre samtlige fejl-indtastede domæne-navne,
og videresende dem til deres egen webserver (uanset om det så var SSH-
forbindelser). Den slags er der ikke mange der stoler på, men alligevel
har man deres certifikat installeret, for alting bliver jo meget mere
besværligt.

IMHO gør det SSL ubrugeligt til authentication, så der reelt kun er
krypteringen tilbage. Man ved jo i virkeligheden ikke om det er et
pålideligt firma man handler med, eller det er et firma som Verisign.

Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet, når
man ikke kan stole på hvem der sidder i den anden ende?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote :

> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet, når
> man ikke kan stole på hvem der sidder i den anden ende?

Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i hvert
fald, hvis du med "den anden ende" hentyder til butikken man handler med.

--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

Den Thu, 8 Jan 2004 22:10:06 +0000 (UTC) skrev Jesper Stocholm:
>Kent Friis wrote :
>
>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet, når
>> man ikke kan stole på hvem der sidder i den anden ende?
>
>Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i hvert
>fald, hvis du med "den anden ende" hentyder til butikken man handler med.

Hele fidusen med certifikater er da netop at nogen man stoler på
siger god for dem i den anden ende af forbindelsen (ja, butikken).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote :

> Den Thu, 8 Jan 2004 22:10:06 +0000 (UTC) skrev Jesper Stocholm:
>>Kent Friis wrote :
>>
>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet, når
>>> man ikke kan stole på hvem der sidder i den anden ende?
>>
>>Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i hvert
>>fald, hvis du med "den anden ende" hentyder til butikken man handler med.
>
> Hele fidusen med certifikater er da netop at nogen man stoler på
> siger god for dem i den anden ende af forbindelsen (ja, butikken).

Men VeriSign etc garanterer jo ikke hæderlighed men kun identitet. At du
kender navn og adresse på indehaveren af din lokale grønthandler betyder jo
ikke nødvendigvis, at du kan stole på ham.

--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

Den Fri, 9 Jan 2004 23:57:13 +0000 (UTC) skrev Jesper Stocholm:
>Kent Friis wrote :
>
>> Den Thu, 8 Jan 2004 22:10:06 +0000 (UTC) skrev Jesper Stocholm:
>>>Kent Friis wrote :
>>>
>>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet, når
>>>> man ikke kan stole på hvem der sidder i den anden ende?
>>>
>>>Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i hvert
>>>fald, hvis du med "den anden ende" hentyder til butikken man handler med.
>>
>> Hele fidusen med certifikater er da netop at nogen man stoler på
>> siger god for dem i den anden ende af forbindelsen (ja, butikken).
>
>Men VeriSign etc garanterer jo ikke hæderlighed men kun identitet.

Det ændrer da ikke på at fidusen i SSL er at man skal have nogen man
stoler på (altså ikke Verisign) til at garantere for identiteten.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Sat, 10 Jan 2004 00:49:39 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

> Det ændrer da ikke på at fidusen i SSL er at man skal have nogen man
> stoler på (altså ikke Verisign) til at garantere for identiteten.

Det du skal stole på er, at de er i stand til at håndtere
certifikater på en sikkerhedsmæssigt forsvarlig måde. Jeg mener
ikke, de med deres DNS-stunt har foretaget sig noget, der kan
bruges til at drage certifikathåndteringen i tvivl.

-A
--
http://www.hojmark.org/

---

Den Sat, 10 Jan 2004 10:19:14 +0100 skrev Asbjorn Hojmark:
>On Sat, 10 Jan 2004 00:49:39 +0000 (UTC), leeloo@phreaker.net
>(Kent Friis) wrote:
>
>> Det ændrer da ikke på at fidusen i SSL er at man skal have nogen man
>> stoler på (altså ikke Verisign) til at garantere for identiteten.
>
>Det du skal stole på er, at de er i stand til at håndtere
>certifikater på en sikkerhedsmæssigt forsvarlig måde. Jeg mener
>ikke, de med deres DNS-stunt har foretaget sig noget, der kan
>bruges til at drage certifikathåndteringen i tvivl.

Jeg mener at de med deres DNS-stunt har bevist at de ikke har en sk*d
styr på det tekniske, og at de er parat til at gøre hvadsomhelst, uden
hensyntagen til hvem det går ud over, om så det er hele internettet.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Sat, 10 Jan 2004 11:43:23 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

>> Jeg mener ikke, de med deres DNS-stunt har foretaget sig noget,
>> der kan bruges til at drage certifikathåndteringen i tvivl.

> Jeg mener at de med deres DNS-stunt har bevist at de ikke har en
> sk*d styr på det tekniske

Jeg tror du tager fejl, og at de netop har været fuldstændig klar
over, hvad det var de lavede, rent teknisk. Men mit gætværk er
vel ikke bedre end dit.

Det 'politiske' i det de lavede er i høj grad diskutabelt -- og
det kan da meget vel være afgørende for, om man selv ønsker at
handle med dem -- men det er IMO besides the point.

-A
--
http://www.hojmark.org/

---

Den Sat, 10 Jan 2004 17:29:26 +0100 skrev Asbjorn Hojmark:
>On Sat, 10 Jan 2004 11:43:23 +0000 (UTC), leeloo@phreaker.net
>(Kent Friis) wrote:
>
>>> Jeg mener ikke, de med deres DNS-stunt har foretaget sig noget,
>>> der kan bruges til at drage certifikathåndteringen i tvivl.
>
>> Jeg mener at de med deres DNS-stunt har bevist at de ikke har en
>> sk*d styr på det tekniske
>
>Jeg tror du tager fejl, og at de netop har været fuldstændig klar
>over, hvad det var de lavede, rent teknisk. Men mit gætværk er
>vel ikke bedre end dit.

De nægtede at acceptere at deres indfald skabte alle de problemer det
gjorde, selv da IANA gjorde dem opmærksomme på det.

Officielt blev projektet ikke engang stoppet pga. alle de problemer
det skabte, men kun midlertidigt sat ud af drift imens man undersøgte
om der var hold i problemerne.

Det er muligt at det er en chef der har "overridet" teknikernes
indvindinger imod sitefinder, og teknikerne udemærket har styr på
hvad de foretager sig. Men hvis cheferne ignorerer teknikerne, er det
sådan set irrelevant om teknikerne har forstand på det eller ej. De
beslutninger der bliver truffet bliver truffet udfra den manglende
(ignorerede) viden.

>Det 'politiske' i det de lavede er i høj grad diskutabelt -- og
>det kan da meget vel være afgørende for, om man selv ønsker at
>handle med dem -- men det er IMO besides the point.

Det er IMHO nok til at man ikke kan stole på dem. Næste gang finder
de vel ud af at deres private key til root certifikatet kan sælges
for adskillige millioner til mafiaen, og så gør man også det.

Det handler om tillid, og jeg mener ikke man kan have tillid til sådan
et firma. Og dermed er hele grundlaget for certifikaterne ødelagt, så
længe browserne fortsætter med at betragte Verisigns certifikat som
trusted.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Det er IMHO nok til at man ikke kan stole på dem. Næste gang finder
> de vel ud af at deres private key til root certifikatet kan sælges
> for adskillige millioner til mafiaen, og så gør man også det.

Kom dog med et lidt mere realistisk eksempel. Hvis de
nu finder på at genindføre sitefinder, og de i den
forbindelse beslutter, at den også skal virke med
https, hvad gør de så?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Sat, 10 Jan 2004 18:04:08 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Hvis de nu finder på at genindføre sitefinder, og de i den
> forbindelse beslutter, at den også skal virke med https, hvad
> gør de så?

Om ikke andet så skal de i givet fald lave en helt afskyelig
mængde certifikater, eller (måske teknisk mere realistisk)
generere dem on-the-fly.

-A
--
http://www.hojmark.org/

---

>>>>> "AH" == Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:


AH> Om ikke andet så skal de i givet fald lave en helt afskyelig
AH> mængde certifikater, eller (måske teknisk mere realistisk)
AH> generere dem on-the-fly.

Er der noget i vejen for at generere et wildcard-certifikat for *.com?


/Benny

---

On 10 Jan 2004 21:51:35 +0100, Benny Amorsen
<amorsen@vega.amorsen.dk> wrote:

> Er der noget i vejen for at generere et wildcard-certifikat for *.com?

Ja, et certifikat skal matche på FQDN.

-A
--
http://www.hojmark.org/

---

>>>>> "AH" == Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

AH> On 10 Jan 2004 21:51:35 +0100, Benny Amorsen
AH> <amorsen@vega.amorsen.dk> wrote:

>> Er der noget i vejen for at generere et wildcard-certifikat for
>> *.com?

AH> Ja, et certifikat skal matche på FQDN.

Err, jeg har da set certifikater for *.somedomain.com tilbudt?

http://www.digicert.com/wildcard-ssl-certificates.htm

Hvad er der i vejen for at lave sådan et for *.com?


/Benny

---

On 11 Jan 2004 01:34:55 +0100, Benny Amorsen
<amorsen@vega.amorsen.dk> wrote:

>> Ja, et certifikat skal matche på FQDN.

> Err, jeg har da set certifikater for *.somedomain.com tilbudt?

Hmm. Jeg vil ikke udelukke, at jeg har misforstået "Dette må man
ikke ifølge licensbetingelserne" som et "Dette må man ikke ifølge
standarderne".

Er der nogen, der faktisk har prøvet at installere sådan et
wildcard-certifikat, og set det virke med de mest almindelige
browsere?

-A
--
http://www.hojmark.org/

---

On Sat, 10 Jan 2004 16:49:06 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

>> Jeg tror du tager fejl, og at de netop har været fuldstændig klar
>> over, hvad det var de lavede, rent teknisk. Men mit gætværk er
>> vel ikke bedre end dit.

> De nægtede at acceptere at deres indfald skabte alle de problemer
> det gjorde, selv da IANA gjorde dem opmærksomme på det.

Jeg er ikke bekendt med, at de nægtede, hvilken opførsel det
medførte, men derimod om den opførsel var rimelig eller ej. Det
var altså ikke en teknisk diskussion men en politisk.

> Det er IMHO nok til at man ikke kan stole på dem.

Lad os nøjes med at konkludere, at der er vi så ikke enige.

-A
--
http://www.hojmark.org/

---

Kent Friis wrote :

> Den Fri, 9 Jan 2004 23:57:13 +0000 (UTC) skrev Jesper Stocholm:
>>Kent Friis wrote :
>>
>>> Den Thu, 8 Jan 2004 22:10:06 +0000 (UTC) skrev Jesper Stocholm:
>>>>Kent Friis wrote :
>>>>
>>>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet,
>>>>> når man ikke kan stole på hvem der sidder i den anden ende?
>>>>
>>>>Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i
>>>>hvert fald, hvis du med "den anden ende" hentyder til butikken man
>>>>handler med.
>>>
>>> Hele fidusen med certifikater er da netop at nogen man stoler på
>>> siger god for dem i den anden ende af forbindelsen (ja, butikken).
>>
>>Men VeriSign etc garanterer jo ikke hæderlighed men kun identitet.
>
> Det ændrer da ikke på at fidusen i SSL er at man skal have nogen man
> stoler på (altså ikke Verisign) til at garantere for identiteten.

Nej, på et eller andet tidspunkt er du nødt til at stole på nogen, men du skrev

[...]
>>>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet,
>>>>> når man ikke kan stole på hvem der sidder i den anden ende?
[/...]

Som jeg "oversætter" til "Hvad hjælper SSL, når du ikke kan stole på butikken du
handler med?".

Min pointe er jo netop, at SSL slet ikke giver denne beskyttelse, da SSL-
certifikater kun beskæftiger sig med, hvem butikken _er_ og ikke med, hvad butikken
_laver_.

--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

Den Sat, 10 Jan 2004 11:28:21 +0000 (UTC) skrev Jesper Stocholm:
>Kent Friis wrote :
>
>> Den Fri, 9 Jan 2004 23:57:13 +0000 (UTC) skrev Jesper Stocholm:
>>>Kent Friis wrote :
>>>
>>>> Den Thu, 8 Jan 2004 22:10:06 +0000 (UTC) skrev Jesper Stocholm:
>>>>>Kent Friis wrote :
>>>>>
>>>>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet,
>>>>>> når man ikke kan stole på hvem der sidder i den anden ende?
>>>>>
>>>>>Men det har jo så ikke så meget med SSL og sikkerhed at gøre - i
>>>>>hvert fald, hvis du med "den anden ende" hentyder til butikken man
>>>>>handler med.
>>>>
>>>> Hele fidusen med certifikater er da netop at nogen man stoler på
>>>> siger god for dem i den anden ende af forbindelsen (ja, butikken).
>>>
>>>Men VeriSign etc garanterer jo ikke hæderlighed men kun identitet.
>>
>> Det ændrer da ikke på at fidusen i SSL er at man skal have nogen man
>> stoler på (altså ikke Verisign) til at garantere for identiteten.
>
>Nej, på et eller andet tidspunkt er du nødt til at stole på nogen, men du skrev
>
>[...]
>>>>>> Og hvad hjælper det egentlig at kryptere nummeret på VISA-kortet,
>>>>>> når man ikke kan stole på hvem der sidder i den anden ende?
>[/...]
>
>Som jeg "oversætter" til "Hvad hjælper SSL, når du ikke kan stole på butikken du
>handler med?".

Prøv at læse det igen. Der står "... stole på hvem der sidder i den
anden ende", ikke "... stole på dem der sidder i den anden ende".

Altså, hvad hjælper det at kryptere nummeret på VISA-kortet, når man
reelt ikke ved hvem der sidder i den anden ende - hvorvidt det rent
faktisk er dem man forventer, eller nogen helt andre.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote :

> Prøv at læse det igen. Der står "... stole på hvem der sidder i den
> anden ende", ikke "... stole på dem der sidder i den anden ende".
>
> Altså, hvad hjælper det at kryptere nummeret på VISA-kortet, når man
> reelt ikke ved hvem der sidder i den anden ende - hvorvidt det rent
> faktisk er dem man forventer, eller nogen helt andre.

Aah - se, straks giver det mere mening :)

--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

On Thu, 8 Jan 2004 22:07:03 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

> Forskellen? Jo, 99% af alle browsere har fx stadig Verisigns
> root-certifikat installeret, altså det der firma der blev berygtet på
> det stunt de lavede med at kapre samtlige fejl-indtastede domæne-navne,
> og videresende dem til deres egen webserver (uanset om det så var SSH-
> forbindelser). Den slags er der ikke mange der stoler på, men alligevel
> har man deres certifikat installeret, for alting bliver jo meget mere
> besværligt.

Det stunt gør vel ikke deres håndtering af certifikater mindre
'trustworthy'?

-A
--
http://www.hojmark.org/

---

Den Thu, 08 Jan 2004 23:12:56 +0100 skrev Asbjorn Hojmark:
>On Thu, 8 Jan 2004 22:07:03 +0000 (UTC), leeloo@phreaker.net
>(Kent Friis) wrote:
>
>> Forskellen? Jo, 99% af alle browsere har fx stadig Verisigns
>> root-certifikat installeret, altså det der firma der blev berygtet på
>> det stunt de lavede med at kapre samtlige fejl-indtastede domæne-navne,
>> og videresende dem til deres egen webserver (uanset om det så var SSH-
>> forbindelser). Den slags er der ikke mange der stoler på, men alligevel
>> har man deres certifikat installeret, for alting bliver jo meget mere
>> besværligt.
>
>Det stunt gør vel ikke deres håndtering af certifikater mindre
>'trustworthy'?

Det gør firmaet utroværdigt.

De har vist at de ikke har en sk*d styr på det tekniske, og de har vist
at de er villige til at gøre hvadsomhelst for at få flere besøgende
på deres site.

To meget dårlige ting, når det drejer sig om certifikater.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Asbjorn Hojmark wrote :

> On 08 Jan 2004 18:05:29 +0100, Ole Hansen <moped@get2net.dk>
> wrote:
>
>> Tjah.. TDC tager 4500 for 2 år for et af deres egne certifikater.
>
> Hvis man har mange internationale brugere på sit websted, er det
> nok en god idé at skaffe sig et certifikat fra et af de store,
> internationale firmaer, der stoles på stort set overalt.

TDCs certifikater er krydssignerede af vist nok GlobalSign, der findes som
standard i de fleste browsere - i modsætning til TDCs eget rodcertifikat.
Det bør derfor ikke give anledning til problemer med internationale kunder,
da deres browser sandsynligvis "stoler" på GlobalSign.

--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

On Thu, 8 Jan 2004 22:07:27 +0000 (UTC), Jesper Stocholm
<j@stocholm.invalid> wrote:

>> Hvis man har mange internationale brugere på sit websted, er det
>> nok en god idé at skaffe sig et certifikat fra et af de store,
>> internationale firmaer, der stoles på stort set overalt.

> TDCs certifikater er krydssignerede af vist nok GlobalSign,

Ja, jeg har lige læst op på det, og deres SSL certifikat-produkt
er ganske rigtig 'rooted' til GlobalSign. Jeg har blot tidligere
oplevet problemer med det, og var ikke klar over, at de har flere
forskellige produkter.

-A
--
http://www.hojmark.org/

---

Jesper Kjeldsen wrote:

> Jeg skal til at forny et certefikat der udløber ganske snart. Er der
> nogen der har gode erfaringer med nogle lidt større spillere på
> markedet - og gerne nogen der har det til en god pris?
>
> Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt.
> et stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt
> i forhold til fx http://www.thawte.com/ hvor det ser ud til at fås for
> 349$.
>
> Som man måske kan læse ud fra at Thawte er med i overvejelserne, så er
> det fint med betaling med Visa og at det er udenlandsk firma!
>

www.geotrust.com

--
regards, Peter Larsen - GratisDNS.dk

---

Vælg TDC på http://www.certifikat.dk billigt, mindre end 5000 og dansk, med
support osv...

128bit - 2år.




"Jesper Kjeldsen" <usenet@jknet.dk> wrote in message
news:3ffd834e$0$180$edfadb0f@dread11.news.tele.dk...
> Jeg skal til at forny et certefikat der udløber ganske snart. Er der nogen
> der har gode erfaringer med nogle lidt større spillere på markedet - og
> gerne nogen der har det til en god pris?
>
> Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt. et
> stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt i
forhold
> til fx http://www.thawte.com/ hvor det ser ud til at fås for 349$.
>
> Som man måske kan læse ud fra at Thawte er med i overvejelserne, så er det
> fint med betaling med Visa og at det er udenlandsk firma!
>
> --
> Mvh
> Jesper
>
>

---

In article <3ffdcdff$0$138$edfadb0f@dread11.news.tele.dk>, c.kruse wrote:
> Vælg TDC på http://www.certifikat.dk billigt, mindre end 5000 og dansk, med
> support osv...

Er det billigt for 2 år?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <3ffd834e$0$180$edfadb0f@dread11.news.tele.dk>, Jesper Kjeldsen wrote:
> Jeg skal til at forny et certefikat der udløber ganske snart. Er der nogen
> der har gode erfaringer med nogle lidt større spillere på markedet - og
> gerne nogen der har det til en god pris?

Hvorfor skal det være en størrer spiller?

> Ved jo at det koster - men kan se at det svinger rigtig meget. Har pt. et
> stående tilbud på 8000 kr. for et år hvilket jeg synes virker dyrt i forhold
> til fx http://www.thawte.com/ hvor det ser ud til at fås for 349$.

Eller hvad med 129$, http://www.qualityssl.com/en/products/ssl_certificates.html

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnbvs2ki.bm3.chel@weebo.dmz.spindelnet.dk...
> In article <3ffd834e$0$180$edfadb0f@dread11.news.tele.dk>, Jesper Kjeldsen
wrote:
> > Jeg skal til at forny et certefikat der udløber ganske snart. Er der
nogen
> > der har gode erfaringer med nogle lidt større spillere på markedet - og
> > gerne nogen der har det til en god pris?
> Hvorfor skal det være en størrer spiller?
> Eller hvad med 129$,
http://www.qualityssl.com/en/products/ssl_certificates.html

En større spiller både pga. troværdigheden, men mere pga. det tekniske med
at rod-certefikatet skal være med i de browsere brugerne bruger uden de skal
foretage sig yderligere.

--
Mvh
Jesper

---

In article <3ffe74aa$0$175$edfadb0f@dread11.news.tele.dk>, Jesper Kjeldsen wrote:
> En større spiller både pga. troværdigheden, men mere pga. det tekniske med

Så har du misforstået sikkerheden i SSL.

Sikkerheden er er afhængig af den mest usikre certifikat underskriver, også
selvom du bruger den mest sikre certifikat underskriver.

> at rod-certefikatet skal være med i de browsere brugerne bruger uden de skal
> foretage sig yderligere.

Hvilket er tilfældet.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Jesper Kjeldsen skrev:

> Jeg skal til at forny et certefikat der udløber ganske snart.
> Er der nogen der har gode erfaringer med nogle lidt større
> spillere på markedet - og gerne nogen der har det til en god
> pris?

http://www.cacert.org/ er gratis.

--
Klaus Alexander Seistrup, Copenhagen, Denmark.
http://www.seistrup.dk/ · http://www.pnx.dk/

---

Klaus Alexander Seistrup wrote:
>
> Jesper Kjeldsen skrev:
>
> > Jeg skal til at forny et certefikat der udløber ganske snart.
> > Er der nogen der har gode erfaringer med nogle lidt større
> > spillere på markedet - og gerne nogen der har det til en god
> > pris?
>
> http://www.cacert.org/ er gratis.

Det virker kun hvis brugerne på forhånd selv har
installeret certifikatet derfra. Og hvor meget
sikkerhed er der tilbage, når man installerer et
rodcertifikat hvis integritet man ikke kan checke?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Klaus Alexander Seistrup wrote:
>
> > http://www.cacert.org/ er gratis.
>
> Det virker kun hvis brugerne på forhånd selv har
> installeret certifikatet derfra. Og hvor meget
> sikkerhed er der tilbage, når man installerer et
> rodcertifikat hvis integritet man ikke kan checke?

Hvor sikker er du paa, at alle de underlige rodcertifikater, din browser
i defaultkonfigurationen stoler paa, ogsaa er nogle man reelt kan have
tiltro til?

--
Med venlig hilsen
Christian Laursen,

---

Christian Laursen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> > Klaus Alexander Seistrup wrote:
> >
> > > http://www.cacert.org/ er gratis.
> >
> > Det virker kun hvis brugerne på forhånd selv har
> > installeret certifikatet derfra. Og hvor meget
> > sikkerhed er der tilbage, når man installerer et
> > rodcertifikat hvis integritet man ikke kan checke?
>
> Hvor sikker er du paa, at alle de underlige rodcertifikater, din browser
> i defaultkonfigurationen stoler paa, ogsaa er nogle man reelt kan have
> tiltro til?

Det kan jeg ikke vide, men hvis jeg skal bruge det til
noget vigtigt, så kigger jeg altid efter, hvem, der har
underskrevet certifikatet. Og certifikater i browseren
har under alle omstændigheder den fordel, at ikke hvem
som helst kunne have lavet certifikatet. Tag et kig på
cacert.org. De har et rodcertifikat, og fortæller, at
man kan checke integriteten af certifikatet ved at
sammenligne med en hash værdi, man kan læse på en side
serveret over http. Det bliver ikke bedre af at bruge
https til at læse hash værdien, for sitet er ikke
overraskende certificeret med deres eget rodcertifikat.

Hvem som helst kunne have lavet en side med tilsvarende
garanti for et hvilket som helst rodcertifikat. De har
jo intet underskrevet af andre end dem selv. Browseren
inklusiv certifikater er da i det mindste signeret af
en software leverandør.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Fri, 09 Jan 2004 17:58:57 +0100, Kasper Dupont wrote:

> Hvem som helst kunne have lavet en side med tilsvarende
> garanti for et hvilket som helst rodcertifikat. De har
> jo intet underskrevet af andre end dem selv.

Enig. Men det er jo samme problematik som når fx. Linux kerne-koden
gpg-underskrives: GPG-nøglen, der er brugt hertil, har man sandsynligvis
ikke mulighed for at få verificeret selv, da web-of-trust sandsynligvis
ikke binder én sammen med den, der underskriver koden. - Men hvis der
skulle blive fiflet med den offentlige nøgle på kernel-websitet, vil
massevis af folk opdage, at der er noget på færde.

Det samme kan måske tænkes ang. cacert's rod-certifikat: Hvis nogle
skulle få crack'et sitet og lagt et andet rodcertifikat ind, så vil det
give røde advarselslamper hos de folk, der forlængst har accepteret
rod-certifikatet.

Med andre ord er et (selvunderskrevent) rod-certifikat ikke 100% til grin,
blot det med rimelighed kan antages, at mange folk har accepteret
certifikatet, og at en bred offentlighed derfor bliver opmærksom på,
hvis der er blevet fiflet.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:
>
> Det samme kan måske tænkes ang. cacert's rod-certifikat: Hvis nogle
> skulle få crack'et sitet og lagt et andet rodcertifikat ind, så vil det
> give røde advarselslamper hos de folk, der forlængst har accepteret
> rod-certifikatet.

Ja, men hvis serveren blev overtaget kunne de måske
også få adgang til den hemlige nøgle. Hvis kontrol
over serveren kan opnås udefra er det begrænset hvor
meget man tør stole på certifikatet. Selvfølgelig
kan man have et ekstra niveau af sikkerhed ved at
lægge rodnøglen på en maskine uden netadgang, men
man skal altså stadig sikrer sin maskine ordentligt.
Jeg tænker mest på angreb mod TCP forbindelsen et
sted mellem klient og server.

>
> Med andre ord er et (selvunderskrevent) rod-certifikat ikke 100% til grin,
> blot det med rimelighed kan antages, at mange folk har accepteret
> certifikatet, og at en bred offentlighed derfor bliver opmærksom på,
> hvis der er blevet fiflet.

Ja, det er naturligvis bedre end ingenting. Men i
det øjeblik man installerer certifikatet skal man
pludslig være ekstra opmærksom på, hvem der har
udstedt et givet certifikat. Man bør ikke stole lige
så meget på det her certifikat som et præinstalleret
i browseren. Og endeligt vil jeg da godt spørge om
hvor udbredt kendskabet til cacert.org er. Jeg har
ikke selv hørt om dem før

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */