Jak zdecydować, gdzie kupić wieloznaczny certyfikat SSL?

63

Niedawno musiałem kupić certyfikat SSL z wieloznacznymi danymi (ponieważ muszę zabezpieczyć wiele subdomen), a kiedy po raz pierwszy szukałem, gdzie kupić, byłem przytłoczony liczbą opcji, oświadczeniami marketingowymi i przedziałem cenowym. Utworzyłem listę, która pomaga mi przejrzeć sztuczki marketingowe, które znaczna większość urzędów certyfikacji umieszcza na swoich stronach. W końcu mój osobisty wniosek jest taki, że prawie jedyne, co się liczy, to cena i przyjemność strony internetowej CA.

Pytanie: Czy oprócz ceny i ładnej strony internetowej jest coś wartego rozważenia przy podejmowaniu decyzji o zakupie certyfikatu SSL wieloznacznego?

user664833
źródło
3
Jednym z kryteriów, które nie powinny wpływać na twoją decyzję, jest bezpieczeństwo urzędu certyfikacji. I ważne jest, aby zrozumieć, dlaczego. Powodem jest to, że każdy urząd certyfikacji, z którym nie prowadzisz działalności, może naruszyć twoje bezpieczeństwo tak łatwo, jak ten, z którym prowadzisz interesy. Istnieją dwa sposoby, w jakie słabe bezpieczeństwo urzędu certyfikacji może zaszkodzić. Jeśli otrzymają numer Twojej karty kredytowej, mogą ją ujawnić (nie różni się to od żadnej innej transakcji online). A jeśli zrobią coś tak złego, że przeglądarki przestaną im ufać, musisz szybko otrzymać nowy certyfikat z innego urzędu certyfikacji.
kasperd

Odpowiedzi:

49

Uważam, że w odniesieniu do decyzji o tym, gdzie kupić certyfikat SSL z wieloznaczną kartą, jedyne czynniki, które mają znaczenie, to koszt certyfikatu SSL w pierwszym roku oraz przyjemność z witryny internetowej sprzedawcy (tj. Wrażenia użytkownika) na zakup i konfigurację certyfikatu .

Mam świadomość następujących rzeczy:

  • Roszczenia dotyczące gwarancji (np. 10 tys. USD, 1,25 mln USD) są sztuczkami marketingowymi - gwarancje te chronią użytkowników danej witryny przed możliwością wystawienia certyfikatu oszustowi (np. Stronie phishingowej), w wyniku czego użytkownik traci pieniądze ( ale zadaj sobie pytanie: czy ktoś wydaje / traci 10 000 USD lub więcej na fałszywej stronie? oh, nie jesteś oszustem? Nie ma sensu.)

  • Aby aktywować certyfikat SSL, konieczne jest wygenerowanie klucza prywatnego 2048-bitCSR ( żądanie podpisania certyfikatu ). Zgodnie ze współczesnymi standardami bezpieczeństwa używanie kodów CSR z kluczem prywatnym mniejszym niż 2048 bitów jest niedozwolone. Dowiedz się więcej tutaj i tutaj .

  • Roszczenia 99+%, 99.3%lub 99.9%przeglądarce zgodności / urządzenia.

  • Roszczenia dotyczące szybkiego wydania i łatwej instalacji .

  • Fajnie jest mieć gwarancję zwrotu pieniędzy (15 i 30 dni są powszechne).

Poniższa lista podstawowych cen certyfikatów SSL (nie sprzedaż) oraz organów wydających i sprzedawców została zaktualizowana 30 maja 2018 r .:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Pamiętaj, że DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity i SSL2BUY są sprzedawcami, a nie urzędami certyfikacji.

Namecheap oferuje wybór Comodo / PostiveSSL i Comodo / EssentialSSL (chociaż nie ma technicznej różnicy między nimi, tylko branding / marketing - zapytałem o to Namecheap i Comodo - podczas gdy EssentialSSL kosztuje kilka dolarów więcej (100 USD vs 94 USD) ). DNSimple odsprzedaje EssentialSSL Comodo, który jest technicznie identyczny z PositiveSSL Comodo.

Zauważ, że SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap i DNSimple zapewniają nie tylko najtańsze certyfikaty SSL z wieloznacznymi znakami, ale także mają najmniejszą sztuczkę marketingową ze wszystkich stron, które sprawdziłem; a DNSimple wydaje się nie zawierać żadnych sztuczek. Oto linki do najtańszych rocznych certyfikatów (ponieważ nie mogę połączyć się z nimi w powyższej tabeli):

Od marca 2018 r. Let's Encrypt obsługuje certyfikaty wieloznaczne . DNSimple obsługuje certyfikaty Let's Encrypt.

user664833
źródło
1
Spójrz na cenę za instancję - np. Mogę mieć 100000000000000 serwerów i zapłacić mojemu CA tylko 1 cenę. Wiele urzędów certyfikacji chce pieniędzy na każdy serwer!
Arek B.
1
Może mi tego brakowało, ale nie widziałem żadnego odniesienia do ceny za instancję na stronach CA, na które patrzyłem. Hostuję na Heroku, gdzie moja aplikacja działa na wielu dynos ( zwirtualizowanych kontenerach Unix ), a dokumentacja punktu końcowego Heroku SSL nie wspomina nic o instancjach lub dynos - więc przypuszczam, że ceny za instancję nie są dostosowane do moich konkretnych potrzeb .. chociaż oczywiście inni mogą uważać twój komentarz za wnikliwy. W każdym razie dzięki!
user664833
2
Ceny na serwer po prostu nie mają sensu. Po uzyskaniu certyfikatu możesz go całkowicie wyeksportować z komputera i zaimportować na dowolnym innym.
Massimo,
@Massimo Licencje na serwer były dość powszechne. Egzekwowane tak, jakbyś egzekwował starszą licencję Windows - umowy i system honorowy.
ceejayoz
@ceejayoz Ok, miałem na myśli, że nie ma technicznych ograniczeń dotyczących instalowania tego samego certyfikatu na wielu serwerach (i rzeczywiście istnieją scenariusze, w których jest to wymagane, np. serwery WWW z równoważeniem obciążenia). Oczywiście umowy mogą oznaczać inaczej.
Massimo,
11

Inną kwestią do rozważenia jest ponowne wydanie certyfikatów .

Naprawdę nie rozumiałem, co to znaczy, dopóki nie pojawił się błąd związany z sercem . Założyłem, że oznacza to, że dadzą ci drugą kopię twojego oryginalnego certyfikatu, i zastanawiałem się, jak niezorganizowany musiał być ten serwis. Okazuje się jednak, że nie oznacza to, że: przynajmniej niektórzy dostawcy z radością stemplują nowy klucz publiczny, o ile ma to miejsce w okresie ważności oryginalnego certyfikatu. Zakładam, że następnie dodają twój oryginalny certyfikat do listy CRL, ale to dobrze.

Powody, dla których chcesz to zrobić, to to, że uszkodziłeś lub zgubiłeś swój oryginalny klucz prywatny, lub w jakiś sposób straciłeś wyłączną kontrolę nad tym kluczem, i oczywiście odkrycie światowego błędu w OpenSSL, który sprawia, że ​​twój prywatny klucz został wyodrębniony przez wrogą partię.

Po serdeczności uważam to za zdecydowanie dobrą rzecz i teraz uważaj na to przy przyszłych zakupach certyfikatów.

Szalony Kapelusznik
źródło
2

Podczas gdy cena jest prawdopodobnie kluczową kwestią, inne kwestie to wiarygodność dostawcy , akceptacja przeglądarki i, w zależności od poziomu kompetencji, wsparcie procesu instalacji (większy problem, niż się wydaje, szczególnie gdy coś idzie nie tak).

Warto zauważyć, że wielu dostawców należy do tych samych najlepszych graczy - na przykład Thawte i Geotrust i uważam, że Verisign jest własnością firmy Symantec - certyfikaty Thawte są jednak o wiele znacznie droższe niż Geotrust za brak przekonujących powód.

Z drugiej strony, certyfikat wydany przez StartSSL (którego nie pukam, myślę, że ich model jest fajny), nie jest tak dobrze obsługiwany w przeglądarce i nie ma takiego samego poziomu wiarygodności jak duzi gracze. Jeśli chcesz umieścić na swojej stronie „bezpiecznych placebos”, czasami warto udać się do większego gracza - chociaż prawdopodobnie ma to znacznie mniejsze znaczenie dla certyfikatów wieloznacznych, niż dla certyfikatów EV.

Jak ktoś inny zauważył, inną różnicą może być „stek śmieci”, który jest powiązany z certyfikatem - znam certyfikaty Thawte EV, które wcześniej otrzymałem polecenie używania tylko na jednym serwerze , podczas gdy Geotrust potwierdza, że ​​później przekonane kierownictwo do zastąpienia ich było nie tylko tańsze, ale nie miało tego ograniczenia - całkowicie arbitralne ograniczenie nałożone przez Thawte.

Davidgo
źródło
4
Wiarygodność dostawcy jest prawie bez znaczenia. Jeśli ma ikonę kłódki, użytkownicy nie dbają o to. Jeśli współpracujesz z firmą z listy Fortune 500 i zespołem ds. Bezpieczeństwa, mogą wymagać określonego dostawcy, ale poza tym ... kogo to obchodzi? Jeśli chodzi o StartSSL, wydaje się, że są szeroko obsługiwane: „wszystkie główne przeglądarki obsługują StartSSL” - en.wikipedia.org/wiki/StartCom
ceejayoz
1
Jeśli dostawca, który pobiera opłaty za odwołanie w świetle bicia serca i jest zhakowany, nie robi różnicy, a godziny przestoju na zregenerowanie certyfikatów nie szkodzą wiarygodności firm, to Startssl ma rację co do wiarygodności (lubię startsl, ale to inny temat). Chociaż ich akceptacja przeglądarki jest bardzo wysoka, jest niższa niż u innych dostawców - patrz forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
Jak myślisz, ilu użytkowników końcowych a) sprawdzi, kto wystawił certyfikat, oraz b) dowie się o opłatach StartSSL za unieważnienia Heartbleed? Cholera, ja nie sprawdzić, kto wydał SSL. To, co zrobili, jest do bani . Podaję tylko liczbę osób, które stracilibyście przy użyciu ich certyfikatów, prawdopodobnie cyfr w postaci pojedynczych cyfr.
ceejayoz
Pamiętaj, że Google Chrome nie będzie już ufać StartSSL. Zobacz security.googleblog.com/2016/10/…
sbrattla,
@sbrattla yup - oczywiście startsl nie jest już firmą, w której napisałem ten komentarz. Wosign nabył go - podstępnie - w listopadzie 2015 r.
David
1

Musisz wybrać certyfikat SSL Wildcard w zależności od potrzeb bezpieczeństwa.

Przed zakupem certyfikatu SSL Wildcard musisz wiedzieć o kilku czynnikach wymienionych poniżej

  1. Reputacja marki i poziom zaufania: Zgodnie z ostatnimi badaniami W3Techs dotyczącymi urzędów certyfikacji SSL, Comodo wyprzedził Symantec i stał się najbardziej zaufanym urzędem certyfikacji z 35,4% udziałem w rynku.

  2. Typy Funkcje lub Wildcard SSL: Urzędy certyfikacji SSL, takie jak Symantec, GeoTrust i Thawte, oferują certyfikat SSL Wildcard z weryfikacją biznesową. Przyciąga więcej odwiedzających i zwiększa również współczynnik zaufania klienta. Podczas gdy inne CA, Comodo i RapidSSL oferują Wildcard SSL tylko z weryfikacją domeny.

Symantec Wildcard SSL oferuje także codzienną ocenę podatności, która skanuje każdą subdomenę przed złośliwymi zagrożeniami.

Symbol wieloznaczny z weryfikacją biznesową wyświetla nazwę organizacji w polu adresu URL.

  1. Cena SSL: Ponieważ Symantec oferuje wiele funkcji wraz z symbolem wieloznacznym, jego cena jest wysoka w porównaniu z Comodo i RapidSSL.

Tak więc, jeśli chcesz zabezpieczyć swoją witrynę i subdomeny za pomocą sprawdzania poprawności biznesowej, musisz wybrać Symantec, GeoTrust lub Thawte, a do sprawdzania poprawności domeny możesz wybrać Comodo lub RapidSSL. A jeśli chcesz zainstalować wielowarstwowe zabezpieczenia z codzienną oceną podatności, możesz skorzystać z rozwiązania Wildcard firmy Symantec.

Jake Adley
źródło
5
Dziękuję za odpowiedź, jednak nie zgadzam się, że udział w rynku oznacza zaufanie. Comodo może mieć największy udział w rynku, ponieważ właściciele witryn internetowych wolą tańsze certyfikaty, a nie dlatego, że ufają Comodo bardziej niż Symantec. Można stwierdzić, że Comodo cieszy się największym zaufaniem, gdy jego udział w rynku 3.3%wyprzedza firmę Symantec; jeśli osoba zauważy, że witryna korzysta z certyfikatu Verizon, czy jej zaufanie będzie odpowiadać udziałowi Verizon w rynku certyfikatów SSL 0.7%? - Nie. Sprawdzanie poprawności biznesowej jest miłym akcentem, jednak wątpię, jaka to różnica dla zwykłej osoby.
user664833
Zgadzam się z powyższym komentarzem. Comodo zostało zhakowanych więcej niż jeden raz, a klucze do ich podpisania okradzione. Transkrypcje od hakerów wciąż krążą po Internecie do dziś (poszukaj ZF0 i Comodo). Byli bardzo niechlujni w obsłudze swoich certyfikatów podpisujących.
Aaron