Wiele serwisów poda dziś zapewne informacje o rewolucyjnych rozwiązaniach wprowadzanych przez nazwa.pl, chwaląc firmę za jej podejście do klientów. My chcielibyśmy pokazać inną stronę medalu.
W listopadzie 2017 r. jeden z naszych Czytelników wykupił w serwisie nazwa.pl certyfikat RapidSSL typu Wildcard, czyli taki, który pozwala zabezpieczyć dowolną liczbę subdomen w obrębie danej domeny. Wszystko było w porządku, dopóki nie okazało się, że certyfikat kwalifikuje się do wymiany. Powód? Pisaliśmy o tym kilka miesięcy temu.
13 września br. zostanie wydana wersja beta Google Chrome 70, która zacznie wyświetlać ostrzeżenie o planowanym usunięciu zaufania do starej infrastruktury firmy Symantec. W kolejnym miesiącu – 23 października – ukaże się stabilna wersja tej przeglądarki, która przestanie ufać certyfikatom wydanym przez wspomnianą infrastrukturę. Podobne zmiany planuje także Mozilla, należy się ich spodziewać w przeglądarce Firefox 63, która pojawi się w zbliżonych terminach. Problem dotyczy wszystkich certyfikatów wystawionych przez Symanteca, który do niedawna prowadził działalność także pod markami Thawte, GeoTrust i RapidSSL.
Symantec udostępnił proste narzędzie, które pozwala sprawdzić, czy certyfikat, którego używamy, podlega wymianie. Oto wynik uzyskany przez naszego Czytelnika:
Z widocznego powyżej komunikatu wynika, że na stronie RapidSSL można wymienić certyfikaty zakupione bezpośrednio. W przypadku certyfikatów nabytych za pośrednictwem resellerów zwracać się należy właśnie do nich. Zgodnie z zapewnieniem DigiCertu, który przejął od Symanteca cały biznes związany z certyfikatami, wymiana ma być bezpłatna i rzeczywiście – kilka firm konkurujących na polskim rynku z nazwa.pl wdrożyło darmowy program wymiany [1, 2, 3, 4].
Certyfikaty RapidSSL zniknęły z oferty nazwa.pl
Czytelnik, jak można było oczekiwać, skontaktował się z Działem Obsługi Klienta nazwa.pl, który nie od razu zrozumiał, o co chodzi, a gdy zrozumiał, to poinformował: „w związku z tym, że obecnie już nie posiadamy w ofercie certyfikatów RapidSSL, nie jesteśmy w stanie podjąć działań w odniesieniu do Państwa certyfikatu. Zalecamy tutaj zakup certyfikatu NazwaSSL w cenie 11,88 zł netto na rok”. Zdecydowanie nie tego spodziewał się Czytelnik.
„W mojej ocenie dokonałem nabycia wadliwego produktu już w dniu zakupu, który stanie się bezużyteczny po 13 września 2018. Dlatego uważam, że informacja i propozycja zakupu kolejnego certyfikatu jest nieco nie na miejscu. Tym bardziej, że inni dostawcy wymieniają je od ręki (…) Uważam, że mam pełne prawo do wymiany wadliwego produktu na warunkach identycznych, tj. otrzymanie pozbawionego wad certyfikatu Wildcard RapidSSL lub o takich samych parametrach i renomie” – argumentował Czytelnik w odpowiedzi na maila od nazwa.pl, nie zmieniło to jednak stanowiska firmy.
W kolejnej wiadomości (zrzut ekranu powyżej) pracownica Działu Obsługi Klienta potwierdziła, że „na ten moment nie ma technicznej możliwości aktualizacji certyfikatu”, w zamian zaproponowała nabycie nowego w promocyjnej cenie. Na uwagę zasługuje także stwierdzenie: „Sam certyfikat jest poprawny, kwestia zmian wprowadzonych przez Google Chrome nie jest zależna od nazwa.pl”. Czy to oznacza, że Czytelnik niepotrzebnie się martwi?
To może nie wymieniać certyfikatu…
Podobno lepiej raz zobaczyć, niż sto razy usłyszeć. Zobaczmy więc, co się stanie, jeśli certyfikat nie zostanie wymieniony.
„Połączenie nie jest prywatne” – zakomunikuje Chrome 70 przy próbie wejścia na stronę korzystającą z certyfikatu RapidSSL wydanego między 1 czerwca 2016 a 30 listopada 2017 (jak i z innych certyfikatów Symanteca wystawionych w tym czasie).
„Połączenie nie jest bezpieczne” – poinformuje Firefox 63, jeśli machniemy ręką na przeglądarkę Google’a i użyjemy konkurencyjnej.
Który administrator i/lub właściciel strony byłby zadowolony z takiego stanu rzeczy? Chyba żaden. Jeśli ktoś się łudzi, że może sobie pozwolić na zignorowanie użytkowników obu przeglądarek, niech zajrzy do serwisu gemiusRanking. Wtedy się dowie, że np. w ubiegłym tygodniu (9-15.07.2018) z Chrome korzystało 27,84% użytkowników, a z Firefoksa – 16,94%, czyli w sumie 44,78% odwiedzających monitorowane przez Gemiusa strony. Wniosek nasuwa się sam – lepiej certyfikat wymienić.
O certyfikatach RapidSSL firma nie chce się wypowiadać
Pod koniec czerwca skontaktowaliśmy się w omawianej sprawie z przedstawicielem nazwa.pl, Łukaszem Matusikiem, zadając mu trzy proste pytania:
- Kiedy firma przestała być resselerem certyfikatów RapidSSL i czym to zostało spowodowane?
- Jak wielu klientów zwracało się do nazwa.pl z pytaniem o wymianę certyfikatów RapidSSL?
- Dlaczego (w odróżnieniu od konkurencyjnych firm) nazwa.pl nie zdecydowała się wdrożyć programu darmowej wymiany certyfikatów RapidSSL na równoważne?
Na żadne z tych pytań nie uzyskaliśmy odpowiedzi. Poproszono nas o cierpliwość, argumentując, że „nazwa.pl jest w przeddzień wdrożenia, które będzie miało znaczący wpływ na sytuację opisaną w przesłanym zapytaniu”. Rozmawiając z konsultantem za pośrednictwem LiveChatu na stronie firmy, ustaliliśmy, że certyfikaty RapidSSL zostały usunięte z oferty około 2-3 miesięcy temu. O powodach takiej decyzji konsultant nie mógł nas poinformować.
W oczekiwaniu na wspomniane wdrożenie poprosiliśmy o komentarz Urząd Ochrony Konkurencji i Konsumentów. Okazało się, że UOKiK nie jest zorientowany w sytuacji na rynku certyfikatów SSL. Agnieszka Majchrzak z biura prasowego Urzędu udzieliła nam lakonicznej odpowiedzi: „Wszystko zależy od umowy, którą użytkownik podpisał z serwisem. Nie znamy jej szczegółów, dlatego nie możemy dać jednoznacznego stanowiska. Jeżeli umowę zawarł konsument (nie prowadzi działalności gospodarczej), to może skorzystać z pomocy rzecznika konsumentów”.
Rzekoma rewolucja, która nie rozwiązuje problemu
Dziś rano do dziennikarzy trafiła informacja, że nazwa.pl „rewolucjonizuje polski Internet”. Charakteru zmian, można się było domyślić już wczoraj, odwiedzając stronę firmy (zrobiliśmy dla Was zrzut ekranu – promocyjna grafika wywołała sporo kontrowersji i została już zastąpiona przez inną).
Z nadesłanego komunikatu można się dowiedzieć, że
rozpoczął się proces nadawania certyfikatów SSL dla ponad 500 tys. domen klientów firmy. Jakby tego było mało, nazwa.pl masowo wprowadziła także protokół HTTP/2 wykorzystujący bezpieczne połączenia z użyciem komercyjnych certyfikatów SSL, diametralnie przyspieszając działanie serwisów WWW swoich klientów. Oba wdrożenia realizowane są w ramach dotychczasowej opłaty za domenę i hosting. Od tej pory klienci firmy wraz z domeną otrzymają certyfikat SSL całkowicie za darmo.
Firma twierdzi, że „rynkowa wartość wdrożenia to ponad 50 mln złotych. Tyle na wolnym rynku kosztowałyby wszystkie udostępnione przez firmę certyfikaty SSL”. Czyżby? Podstawowy certyfikat – równoważny do tego, który oferuje nazwa.pl – można uzyskać za darmo dzięki projektowi Let’s Encrypt, który sponsorują m.in. Google i Mozilla.
Dalej czytamy, że „z punktu widzenia właścicieli stron internetowych (…) wprowadzenie protokołu HTTP/2 w połączeniu z certyfikatem SSL można porównać do przesiadki z parowozu do kolei dużych prędkości”. No, nie do końca. HTTP/2 jest następcą leciwego już HTTP/1.1 (ustandaryzowanego w 1997). Bazuje na protokole SPDY, z którym eksperymentował Google, chcąc przyspieszyć działanie aplikacji webowych w Chrome. Prace nad HTTP/2 ukończono w 2015 i zgodnie z danymi W3Techs w lipcu br. wspierało go 27,9% z 10 mln najczęściej odwiedzanych stron.
Technicznie HTTP/2 niewiele się różni od HTTP/1.1, przede wszystkim umożliwia wykonywanie wielu zapytań do serwera naraz (multipleksing), dodaje obsługę mechanizmu push dla serwera i pozwala na kompresję nagłówków. Co istotne, nie zadziała bez certyfikatu SSL – nie ma możliwości wdrożenia HTTP/2 z pominięciem szyfrowania komunikacji (tzn. teoretycznie można, ale przeglądarki tego nie obsłużą, jak uściślają w komentarzach czytelnicy). Innymi słowy, nazwa.pl nie mogła wprowadzić tego protokołu na masową skalę, nie udostępniając klientom stosownych certyfikatów.
Warto też zauważyć, że jedna z największych obaw właścicieli stron, przymierzających się do zastosowania SSL/TLS, dotyczy wolniejszego wczytywania się zasobów. Użycie HTTP/2 kompensuje opóźnienia w komunikacji. Jednak prorokowane przez nazwa.pl „nawet 10-krotne przyspieszenie ładowania stron” spokojnie można włożyć między bajki.
Epilog z rozczarowanymi klientami w tle
Czy wprowadzone wdrożenie rozwiązuje problem naszego Czytelnika? Niestety nie, ponieważ darmowe certyfikaty SSL mają otrzymać tylko ci klienci, którzy posiadają domenę w nazwa.pl. Nasz Czytelnik do nich nie należy i nie mamy wątpliwości, że takich osób jest o wiele więcej. Nic dziwnego, że w nadesłanym komunikacie prasowym przedstawiciel nazwa.pl ani słowem nie wspomina o certyfikatach Symanteca, które we wrześniu przestaną być uznawane przez popularne przeglądarki. Część klientów musi je wymienić we własnym zakresie, świeżo wprowadzone zmiany w niczym im nie pomogą. Nie zdziwimy się, jeśli następnym razem zdecydują się na usługi konkurencyjnych firm, które problem zauważyły i właściwie na niego zareagowały.
Aktualizacja 2018-07-19 13:37
Dwie sprawy. Jeden z naszych Czytelników zwrócił uwagę na ciekawy zapis w nowym Regulaminie świadczenia usługi rejestracji domeny i usług powiązanych z dnia 17.07.2018. Otóż pkt 8 postanowień ogólnych tego regulaminu głosi:
W stosunku do domeny, której delegacja wskazuje na serwery DNS nazwa.pl, system DNS może być zabezpieczany rozszerzeniem w postaci DNSSEC, mającym na celu zwiększenie bezpieczeństwa informacji oraz rekordem CAA, zabezpieczającym domenę przed wystawieniem certyfikatów SSL z innych urzędów niż określone w tym rekordzie.
Warto o tym wiedzieć, decydując się na zakup domeny w nazwa.pl. Okazało się ponadto, że osoby, które nabyły certyfikaty RapidSSL za pośrednictwem tej firmy, mają szansę na pozytywne rozwiązanie sprawy. Na forum RootNode przedstawiciel nazwa.pl zamieścił bowiem następujące oświadczenie:
Nazwa.pl podpisuje właśnie 500 tys. domen certyfikatem SSL. Sytuacja opisana w artykule dotyczy indywidualnego przypadku. Firma, po zakończeniu wdrożenia podpisywania domen, będzie kontaktowała się bezpośrednio z klientami, których nie objęła promocja, a posiadają certyfikat RapidSSL Wildcard.
Komentarze
Na nazwa.pl to nawet szkoda wchodzić w przeglądarce, a co dopiero korzystać z ich usług…
A czego innego można się spodziewać po krakowskich centusiach?
Na pewno mądrzejszy i bardziej rzeczowych wypowiedzi niz twoja.
Korzystam z nazwy.pl i potwierdzam że częstow wystawiaja klienta, pierwszy rok ok, chociaż tu także starają się wcisnąć nowemu klintowi co kolwiek, czego nigdy nie będzie używał, a kolejne lata to już równia pochyła ceny rosną kilkukrotnie, za wszystko wymyślają sobie dopłaty, koniec końcem uciekam od nich z koncami poszczególnych usług. Nikomu nie polecam – zdecydowanie nie są konkurencyjni, a z jakością też słabo, był okres że przez tydzień ewidennie z ich winy nic nie dizałało, kliencie wieszali na mnie psy przez nich.
Przez wiele lat w nagrode za zaparkowana domene mialem w nazwa.pl darmowa poczte i z dnia na dzien zlikwidowali te opcje i naliczyli mi ok 600 pln za dalsze jej dzialanie. Dla mnie to oszusci i to wredni.
Przedłużenie certyfikatu jest chyba płatne. Także odbiją sobie.
Dokładnie, bardzo możliwe.
Pamiętam wiele lat temu jak się wkopałem w ich promocję na domenę .pl , „za 10zł domena na cały rok”, tylko jak głupek nie doczytałem w regulaminie że będę musiał zapłacić za następny rok 120zł. Jeżeli bym nie przedłużył, to i tak bym musiał zapłacić 120zł jako kare.
Przypuszczam że w tym przypadku z tymi certyfikatami jest coś podobnego.
Certyfikat zawsze wygasa i generuje się go od nowa, nie ma takie operacji przedłużenia jak w przypadku domen więc po roku można zmienić na dowolny inny. Nie odbiją sobie tym samym niczego.
@Miśka – w teorii tak, w praktyce można ograniczyć w panelu zarządzania usługą możliwość załadowania innego certyfikatu niż „oficjalny”
Zauważmy, że użyte w marketingowym tekście „diametralnie” oznacza „o 180 stopni, krańcowo odmiennie”. No to ja pytam: co to znaczy przyspieszyć krańcowo odmiennie?
Przyspieszyć krańcowo odmiennie to opis słowa „przywolnienie” czyli przyspieszenie przez spowolnienie.
„o 180 stopni” – w sowieckiej Rosji, to serwer wysyła żądania do przeglądarek ;)
Chcieli się reklamować leninowską rewolucją to mają.
„przyspieszyć krańcowo odmiennie” oznacza spowolnić. Mam nadzieję, że pomogłem :)
Dobra dobra. Certyfikaty dadzą dla głównych domen. A co z subdomenami? Nie będą dostępne pod nimi strony skoro wprowadzą http2, a certyfikatu samo sobie nie kupię? I co jak mam na jakiejś domenie głównej ssl od letsencypt. Czy zostawią go w spokoju, czy zastąpią swoim?
W skrócie, nazwa.pl mówi klientom by szli do konkurencji :).
Nie powiedziałbym, że HTTP/2 niewiele różni się od HTTP 1.1, choćby z tego powodu, że HTTP/2 jest protokołem binarnym, a 1.1 – tekstowym. To już samo w sobie jest znaczącą różnicą.
No i powiadomienia push można postawić spokojnie i na HTTP 1.1, bo nie jest to w żaden sposób ficzer protokołu. Raczej chodziło o mechanizm server push, pozwalający posyłać kilka zasobów naraz (czyli mechanizm preloadu, ale po stronie serwera).
I na koniec ciekawostka: HTTP/2 da się zaimplementować bez TLS, bo specyfikacja tego nie zabrania. Jedyny problem jest taki, że przeglądarki na to nie zezwalają. Więc teoretycznie się da, w praktyce – nie bardzo.
Racja z tym mechanizmem push – poprawiłam, żeby nie wprowadzać w błąd czytelników. Dzięki za uwagi :-)
W tekscie jest bład – HTTP/2 nie wymaga szyfrowania to wszystkie przeglądarki wymwgają certu do obsługi http/2 :)
https://http2.github.io/faq/#does-http2-require-encryption
Skrót myślowy, ale już dopisuję, żeby było wszystko jasne. Dzięki za czujność :-)
A co z kluczami prywatnymi tych certyfikatów? Będą u siebie je przechowywać? Bo to chyba średnio zgodne z ideą generowania/wydawania certyfikatów.
No to jest ciekawy motyw i mam nadzieję, że to będzie szerzej nagłośnione. Mam tam domenę, czekam czy mi wygenerują ten certyfikat i w jakiej formie przekażą klucz do niego. Fajnie, że dają darmowe certy na swoim hostingu, popieram, klucz prywatny nie wychodzi poza ich serwery, ale generowanie z automatu dla domen utrzymywanych poza Nazwą obniża standardy bezpieczeństwa i uczy mniej świadomych klientów, że to jest ok.
No jest cert i klucz prywatny do pobrania z ich panelu i to nawet nie jest jednorazowy link.
000webhost oferuję wyświetlanie strony w zgodzie z https, w skutek czego dostajemy za darmo certyfikat od COMODO CA Limited
Nazwa.pl i home pl to wylegarnia serwerow do scamu,spamu itp tak wiec teraz przestepcy beda mieli jeszcze latwiej bo nie beda musieli placic za cert tylko nazwa odrazu da im cert a ludzie dostana mylna info ze strona jest 'bezpieczna’ ….
Nazwa.pl – Mistrzowie negatywnego marketingu :)
A kiedy nazwa.pl powstrzyma falę spamu i scamu wychodzącego z ich hostów?
Nigdy. Bo to wymaga wydania pieniędzy.
Ostatnio jak zgłosiłem im spam z ich serwerów, dostałem maila z pytaniem, dlaczego uważam ze to spam? Ręcę mi opadły.
https://www.spamcop.net/ ;)
A, i bardzo ciekawie dostarczają np. bazę danych MySQL – domyślnie pozwalają, aby każdy łączył się do bazy danych, a nie wybrane IP. Bardzo ciekawe podejście :)
@Piotr. Rozwiń to jeśli możesz…
;)
Chodzi o to, że do baz danych jest dostęp z zewnątrz tzn. mając usera i hasło jesteś w stanie się do bazy zalogować. Czy to wada czy zaleta to zależy od punktu siedzenia :)
Do tej pory spotkałem się tylko z takimi możliwościami ;)
Nikt nie zaoferował wycięcia IP ;)
Ja jednak korzystając z innych usługodawców (rootnode.net, mydevil.net i chyba w progreso.pl) domyślnie miałem ustawione dozwolone łączenie się z bazą tylko z hostów usługodawcy, no jednak w moim mniemaniu powinno być standardem, ale jednocześnie dla swojego IP mogłem dodać możliwość łączenia się z bazą danych.
I co 11zł ten klient żałuje? Przeciez nazwa nie jest winna ze klient kupił taki cert
Klient kupił towar, który jest wadliwy tj nie działa/ nie działa zgodnie z przeznaczeniem. Kupił go przez nazwa.pl, wiec hosting jako sprzedawca odpowiada za jego naprawę/ wymianę na alternatywny towar czy usługę.
Wildcard za 11zł?
Trzeba szerokim łukiem omijać tego operatora, w każdej warstwie.
Ruch pocztowy z ich serwerów automatycznie kieruję do kwarantanny na moich filtrach. Są zapleczem technicznym dla większości ataków prowadzonych w obrębie Polski.
Pozdrawiam
Werner339
Praktyki w/w firmy…
nazwa.pl jakiś czas temu poradziła sobie z negatywnymi opiniami na swój temat na forum webhostingtalk. Po prostu wykupiła forum, skasowała negatywne opinie, nieco podkręciła własne statystyki…
https://hostingnews.pl/nazwa-pl-kupila-webhostingtalk/
DNSy ostatnio im wylaczyli. Kilka godzin strony nie dzialaly. Potem dostalem zenujacego maila jak to bohatersko zwalczyli hakerow i jak sie powinienem cieszyc ze jestem w dobrych rekach… Nie ciesze sie, ale nie chce mi sie wszystkiego przenosic. Nikomu nie polecam.
Po 12 latach współpracy, tak 12 lat, wystawili mnie tak koncertowo do wiatru, że skutki będę usuwał jeszcze przez kilka miesięcy. Za takie potraktowanie to jest ostatni rok z tymi naciągaczami. Szkoda, że nie mogę ich podać do sądu za straty.
„A adweb i tak jest (był) gorszy…” :)
Trzeba miec cos z glowa aby korzystac z takich uslug jak nazwa, home, az. Szanujacy sie administrator omija te serwisy szerokim lukiem.
Osobiscie naleze do ludzi co nie da sie uglaskac ochlapem. Nawet jezeli sprawa kolegi zostanie wyjasniona to ja na jego miejscu bym juz nigdy nie skrzystal z uslug nazwa.pl i fajnie, ze takie sprawy sa opisane. Co wazne super, ze ludzie w temacie komentuja pod spodem bo to jest bardzo duza wartosc dodana do materialu. Nazwa.pl zachowala sie jak typowy Janusz albo Mirek sprzedawca samochodow a wydaje mi sie, ze w tej branzy rynek jest mocno zamkniety i informacje roznasza sie szybko. Pajac z helpdesku mogl wiecej zawszkodzic fimie niz mu sie wydaje i oczywiscie jego przelozeni.
nazwa.pl niestety się cofa. Notoryczny brak https po zalogowaniu w ich poczcie sprawił że zmieniliśmy serwer pocztowy na inny. Tłumaczenia ich wsparcia były conajmniej śmieszne i niedorzeczne. ( To nic takiego, normalna sprawa, połączenie jest dalej szyfrowane nawet jak zniknęła zielona kłódka, a komunikatami przeglądarki proszę się nie przejmować ) A na deser ich mail. zfakturą proforma na przedłużenie domeny …..com na kwotę…..246,00 PLN brutto za rok. Taki skok o 100%. Dlatego po prawie 10 latach daliśmy sobie z nimi spokój. Pazerność to ciężka choroba….
https://www.wykop.pl/link/4582137/nazwa-pl-kolejny-wspanialy-pomysl/
Zamówiłem certyfikat SSL (na witrynę www), opisany jako uruchomienie natychmiastowe.
A gdzie tam, po opłaceniu zaczęły się schody.
Wpisy CAA w DNS, choć nie są obowiązkowe to nazwa.pl musi je mieć.
Obsługa klienta to kpina.
Reklamacje tylko listem poleconym.
Odpowiedź na reklamacje zupełnie nie odnosi się do żądania zwrotu kasy, tylko odpowiadają że zespół pomoże rozwiązać problemy.
Teraz po 3 tygodniach (oczywiście SSL mam już z innej firmy) odpowiadają na reklamację, że ich zespół mi pomoże.
Co mi teraz po ich pomocy jak mam SSL od kogo innego, to po pierwsze, a po drugie to w momencie generowania SSL u nich helpdesk kategorycznie żądał CAA, co w tamtym czasie uniemożliwiło generowanie SSL-a. Teraz nagle można.
Beznadzieja, omijajcie tę firmę z daleka.
Wszystko super i fajnie dają za darmo certyfikat SSL ale generują go dopiero 7 dni po zakończeniu obecnego certyfikatu!!!!
Skutki: Strona przez 7 dni jest niezabezpieczona i w opinii użytkowników internetu wyłącznie przeglądających strony – strona nie działa
zanim ktoś podpisze umowę z ” nazwą „niech długo i dobrze zastanowi się żeby nie żałował decyzji i pieniędzy
ja mam calkowicie odmienne zdanie, ale to chyba zalezy od tego co kto oczekuje. nie bede przekonywac, ja sam sprawdzilem i uswiadomilem sobie, ze moze cena i jest wyzsza, ale jakosc zdecydowanie tez
Kto daje i zabiera ten się …. Tez miałem u nich darmowy certyfikat SSL a teraz musze u nich płacić 150 pln za rok
Hosting pierwszy rok w promocji 1zł.
Drugi rok ponad 300zł plus 120 domena
Trzeci rok ponad 600zł plus 120 domena
Problemy techniczne nie rozwiązane.
Nikomu nie polecam.