Dlaczego certyfikacja HTTPS / SSL godaddy jest o wiele tańsza niż digicert, thawte i verisign?

32

Jestem nowicjuszem w dziedzinie HTTPS / SSL, ale GoDaddy kosztuje 12,99 USD, a Digicert, Thawte i Verisign - 100-1000 USD + za certyfikaty SSL.

Coś mi brakuje w jakości szyfrowania lub coś takiego. Czy ktoś może wyjaśnić niektóre podstawowe różnice, które prowadzą do tak dramatycznie różnych cen?

Aktualizacja 12,99 USD to cena sprzedaży. Zazwyczaj certyfikaty SSL kosztują 89,99 USD w GoDaddy. Oto link na Godaddy, który sprawia, że ​​samo porównanie, o które pyta to pytanie: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

dzięki,

tim

Tim Peterson
źródło
1
Właśnie sprawdziłem stronę GoDaddy i wystawiali certyfikaty za 69,99 USD.
Sherwin Flight,
2
openssl oferuje nawet jeden za darmo!
Rana Prathap

Odpowiedzi:

33

Oprócz niepotrzebnych ofert można odróżnić tańsze certyfikaty SSL z walidacją domeny od droższych certyfikatów SSL z rozszerzoną weryfikacją .

Oba certyfikaty są technicznie takie same (połączenie jest szyfrowane), ale certyfikaty zatwierdzone przez domenę są tańsze, ponieważ sprzedawca musi tylko sprawdzić domenę. Certyfikaty EV wymagają również informacji o właścicielu domeny, a sprzedawca powinien sprawdzić, czy te informacje są poprawne (więcej wysiłku administracyjnego).

Zwykle widać różnicę podczas odwiedzania witryny za pomocą przeglądarki. Na przykład Firefox podświetli domenę na niebiesko w przypadku SSL z weryfikacją domeny i na zielono w przypadku SSL z rozszerzoną weryfikacją.

Dwa przykłady:

W większości przypadków certyfikat zweryfikowany w domenie jest w porządku, użytkownik nie będzie miał wad, a certyfikaty EV są naprawdę (zbyt) drogie.

martinstoeckli
źródło
1
dzięki, nie wiedziałem o różnicy między domeną a rozszerzoną weryfikacją, dzięki za to wyjaśnienie!
tim peterson
1
Osoba musi sprawdzić adres fizyczny firmy w celu uzyskania certyfikatu z rozszerzoną weryfikacją.
ZippyV 18.04. O
1
Myślę, że niektóre CA oferują również jakąś formę ubezpieczenia, na wypadek, gdyby coś poszło nie tak (ale nie jest jasne, co dokładnie obejmuje). (Napisałem tak stosunkowo długą odpowiedź na temat różnic między tymi typami certyfikatów, jeśli jest to interesujące). Najważniejsze jest to, że wybór CA i rodzaj certyfikatu ma znaczenie tylko w odniesieniu do klienta. Pod warunkiem, że certyfikat jest domyślnie zaufany, zależy to tylko od tego, jak daleko użytkownik jest skłonny sprawdzić dalsze szczegóły (wizualnie, poprzez interfejs użytkownika).
Bruno,
8

Ze strony GoDaddy:

Ciesz się poparciem ustalonych standardów branżowych. Nie ma RÓŻNICY TECHNICZNEJ między naszymi certyfikatami a innymi głównymi urzędami certyfikacji.

Źródło: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

Wycena jest czasem zabawną rzeczą. Chociaż nie mam pojęcia, dlaczego GoDaddy wycenia swoje produkty tak, jak robią, niektóre firmy wybierają więcej klientów po niższej cenie, podczas gdy inne wybierają wyższą cenę i przyciągają mniej klientów.

Jako proste porównanie, Firma 1 może przyciągnąć więcej klientów, oferując swoje produkty po niższej cenie. Firma 2 może jednak oferować swoje produkty po wyższych kosztach, co może zrównoważyć mniejszą liczbę klientów.

Firma 1: 100 klientów płacących 20 USD / miesiąc = 24 000 USD / rok

Firma 2: 200 klientów płacących 10 USD / miesiąc = 24 000 USD / rok

Jak widać w tym BARDZO PROSTYM porównaniu, oba modele osiągnęły ten sam roczny przychód, jednak jedna firma oferowała swój produkt za dwa razy więcej niż druga.

Lot Sherwin
źródło
3
Nie zapomnij o czynniku „Marka” - niektóre produkty mają po prostu dodatkowe ceny tylko dlatego, że są oznaczone powszechnie znaną i rozpoznawalną nazwą firmy.
LazyOne
@LazyOne, tak samo jest z uniwersytetami ...
Pacerier,
8

Szczerze mówiąc. nie ma absolutnie żadnej różnicy, jeśli chodzi o certyfikaty SSL. Jedynym czynnikiem mającym wpływ na to są tagi EV / non EV / Wildcard.

EV == Extended Validation: Oznacza to, że witryna jest aktywnie „pingowana” przez ośrodek certyfikacji na podany adres IP domeny, następnie skrypt po stronie serwera porównuje adres IP odpowiedzi ping z urzędu certyfikacji oraz adres IP TY odwiedzają. To NIE gwarantuje, że nie ma ataku typu man-in-the-middle ani zatrucia DNS w całej sieci. To tylko gwarantuje, że przeglądana witryna jest tą samą, którą widzi CA.

Non-EV == nikt ze względów bezpieczeństwa nie sprawdza aktywnie adresu IP domeny względem zarejestrowanego / podanego adresu IP.

Symbole wieloznaczne == * .domena.com Certyfikaty są często używane, gdy ludzie mają wiele subdomen lub zestaw subdomen, które ciągle się zmieniają, ale nadal wymagają prawidłowego szyfrowania SSL.

Prawda kryjąca się za certyfikatami SSL.

Możesz zrobić własne. Są nie mniej bezpieczne niż jakikolwiek inny certyfikat. Różnica polegająca na tym, że jest to „samopodpisany” certyfikat, nie jest „gwarantowana” przez jakąkolwiek stronę trzecią.

Problem z certyfikatami SSL polega na tym, że są bardzo zawyżone cenowo za to, czym są. Absolutnie NIE ma gwarancji, że odwiedzana witryna należy do tego, kto jest wymieniony w certyfikacie jako właściciel / lokalizacja itp. To przeczy celowi, jakim został opracowany model SSL firmy trzeciej.

WSZYSTKIE urzędy certyfikacji zwane urzędami certyfikacji, które sprzedają swoje certyfikaty, chcą, aby użytkownik uwierzył, że ich certyfikat jest w jakiś sposób lepszy. W rzeczywistości nigdy nie sprawdzają informacji dostarczonych dla certyfikatu, chyba że istnieje problem, który może ich kosztować przychody. Ta praktyka przeczy także celowi modelu łańcucha zaufania SSL.

Znam tylko JEDEN urząd certyfikacji, który rzeczywiście sprawdza jego certyfikaty. To jest CACert.org.

Aby wystawić „kompletny” certyfikat (nazwa firmy, nazwa, adres, telefon itp.), Musisz spełnić wymagania jednego z FAS-TO-FACE!

Jednak. większość przeglądarek nie korzysta z CACert.org z powodu nacisków wywieranych na nie przez wielkie korporacje, takie jak Thawte, Comodo i Verisign.

Więc ... podsumowując to wszystko.

Jedyne różnice między certyfikatami to zachowanie urzędu certyfikacji. Tak naprawdę nie można ufać certyfikatom, aby zweryfikować coś innego niż połączenie z witryną korzystające z szyfrowania.

Pod koniec dnia ludzie myślą, że zapłacenie 100–1000 USD w jakiś sposób równa się wiarygodności. Nie o to chodzi. Oznacza to po prostu, że masz do czynienia z mniej wyrafinowanymi lub mniej znanymi oszustami.

użytkownik34262
źródło
1
Włączenie CACert do przynajmniej Mozilli zostało anulowane przez sam CACert: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262, Tak, pieniądze są ważnym czynnikiem na całym ( częściowo zepsutym ) rynku CA. Powiązane wątki: 1) na webmasters.SE , 2) na security.SE , 3) na security.SE
Pacerier 12.04.16
@ user2428118, Ten post pochodzi sprzed 10 lat. Jaka jest aktualizacja?
Pacerier,
@ user34262, Btw. Jakie są niektóre z tych „presji” CA, o których mówisz?
Pacerier,
Istnieją zasadniczo trzy poziomy certyfikatów: Walidacja domeny, Walidacja organizacji i Rozszerzone certyfikaty. Jest bardzo mało sprawdzanie odbywa się na podstawie świadectwa DV (generalnie tylko automatyczny e-mail i kontrola domeny wyboru), ale te dwa ostatnie rodzaje są wymagane do wykonania audytów i wydawanie praktyk wytycznych opublikowanych przez CA / B Forum . Urzędy certyfikacji, które nie spełniają wymagań określonych w wytycznych, nie ufają przeglądarkom w wydawaniu certyfikatów odpowiedniego typu.
Lie Ryan,
3

Co jest warte więcej, referencja ode mnie lub referencja od Billa Gatesa? Musisz pamiętać, że certyfikaty są czymś więcej niż rozwiązaniem technicznym, są dla ciebie gwarancją, a firmy mogą ustalić cenę, jaką ich reputacja jest warta.

JamesRyan
źródło
2
referencje z Bill Bates są kiepskie, choć cieszę się z Khan Academy.
tim peterson
@timpeterson, odnosi się do
błędu
1
@Pacerier nie, nie jestem. Nie ma to nic wspólnego z ludźmi dosłownie gwarantującymi tożsamość organizacji.
JamesRyan
@JamesRyan, jak to nie jest? Co oznacza „ referencja ode mnie lub referencja z bramek Billa ”? Czy „Bill Gates” oznacza tutaj „autorytet”?
Pacerier
3

Właśnie odkryłem, że GoDaddy nie zezwala na „duplikowanie” certyfikatu dla twoich symboli wieloznacznych SSL. (w przeciwieństwie do GlobalSign, DigiCert, które na to pozwalają i nieograniczoną liczbę)

Szkoda, ponieważ jest to często używane, gdy zarządzasz farmą serwerów, a każdy z nich ma swój prywatny klucz / csr.

Frédéric Beuserie
źródło
1
To wydaje się dość krytyczna informacja. Wydaje się, że poprawia każdą różnicę w cenie, jeśli musisz kupić wiele certyfikatów od GoDaddy i tylko jeden od Verisign itp. Czy możesz podać odniesienia do linku GoDaddy w swojej odpowiedzi?
tim peterson
2
Nie, GoDaddy też nie pozwoli ci kupić wielu certyfikatów dla tej samej symboli wieloznacznej. Pozwolą ci tylko mieć taki, którego musisz użyć na wszystkich swoich serwerach.
Mike Scott
1

Pracowałem dla firmy trzeciej nad projektem internetowym dla dużej korporacji technologicznej. Użyliśmy certyfikatu GoDaddy SSL i stwierdziliśmy, że ten urząd certyfikacji został odrzucony w wewnętrznych sieciach firmy.

Korporacja w tym czasie (2 lata temu) nie zaakceptowała automatycznie GoDaddy jako zaufanego organu. Nasz certyfikat został zaakceptowany tylko z dużym przekonaniem.

Gdybyśmy użyli marki premium, takiej jak Thawte, nie byłoby problemu. Nie jestem pewien, dlaczego korporacja miała taką politykę, ale być może cena certyfikatu sprawiła, że ​​wydawali się mniej zaufani.

Jest to jedyna rzeczywista różnica między certyfikatami GoDaddy i innymi dużymi urzędami certyfikacji, na które natknąłem się.

Magia mango
źródło
1
Hmm, czy Godaddy jest jedynym certyfikatem, który odrzucają?
Pacerier,
0

Technicznie nie ma różnicy. Większość urzędów certyfikacji oferuje podobne produkty, standardowe sprawdzanie poprawności lub rozszerzone sprawdzanie poprawności w przypadku sprawdzania organizacji / firmy i domeny właściciela oraz symboli wieloznacznych.

Tym, co wyróżnia cenę, jest:

  1. Branding
  2. Gwarancja
  3. Jakość usługi
  4. Ilość

Najlepszym przykładem marki jest Digicert - wydawali certyfikaty takim markom jak Twitter, Facebook, a nawet StackExchange. Aby dotrzeć do tego rodzaju klientów, potrzeba trochę perswazji i budżetu na markę, nie ma dowodów na to, że mają lepszą technologię niż ktokolwiek inny.

Gwarancja jest jak ubezpieczenie. Zazwyczaj jest to kwota od 0 do milionów dolarów, w zasadzie mówi ci, jak wysoki jest ubezpieczony CA sprzedając ci certyfikat, jeśli zdarzy się coś takiego jak nieuczciwa transakcja kartą kredytową i to będzie ich pomyłka, pokryją koszty do wysokość gwarancji. Ze standardowymi certyfikatami SSL sprzedaje się głównie dla firmy CA, aby mogli obciążyć właściciela większym kosztem, ponieważ technologia szyfrowania i bezpieczeństwo są takie same, z gwarancją certyfikatów EV może się przydać, ale zwykle podczas czytania warunków, będziesz się śmiać i zobacz ironię tego wszystkiego.

Jakość usług jest zwykle bardzo subiektywna i zależy od klienta płacącego. Niektóre urzędy certyfikacji mają systemy dla swoich dużych klientów, które mogą pomóc Ci śledzić zakupione certyfikaty, jeśli posiadasz lub zarządzasz ponad setką certyfikatów, możesz raczej zapłacić niewiele więcej i mieć lepsze oprogramowanie do zarządzania, pulpit nawigacyjny, szersze opcje rozliczeń kart kredytowych, narzędzia do obsługi certyfikatów, narzędzia do raportowania, niektóre urzędy certyfikacji oferują nawet wskazówki bezpieczeństwa dotyczące implementacji serwera.

Ilość powoduje, że ceny spadają. Podobnie jak CA, jeśli sprzedajesz więcej, ceny są niższe, a jako klient, gdy kupujesz więcej, możesz poprosić o lepsze ceny.

Mikrofon
źródło