Czy różne typy certyfikatów SSL są trochę oszustwem?

39

Chcę uzyskać kilka certyfikatów SSL dla domen, które obejmują:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Certyfikaty z symbolami wieloznacznymi są zbyt drogie, więc kupię jeden certyfikat dla każdej subdomeny (mam wystarczającą liczbę adresów IP do obejrzenia).

Moje pytanie brzmi: co sprawia, że ​​certyfikat 10 USD jest lepszy niż certyfikat 100 USD?

Weźmy na przykład gamę produktów GeoTrust . Wiem, co to jest EV (nie potrzebuje go) i wiem, czym jest Secure Seal (nasi użytkownicy już nam ufają, więc nie potrzebujemy tego).

Ale dlaczego miałbym wybrać QuickSSL za 69 USD, skoro mogę dostać RapidSSL za 10 USD? Jedyną różnicą jest „rozpoznawanie marki” (od umiarkowanego do średniego) i ubezpieczenie.

Czy ktokolwiek może wyjaśnić, co rozumie przez „rozpoznawanie marki”? Nasza publiczna witryna jest już dobrze zaufana przez naszych użytkowników, a pozostałe dwie subdomeny są przeznaczone tylko dla programu Outlook Anywhere (i dlatego nie będą wyświetlane w przeglądarce).

Ponownie opublikowane odpowiednie pytanie z https://serverfault.com/questions/82039/difference-between-ssl-products

https security-certificate Mark Henderson
źródło
1
Jeśli kupiłeś drogi certyfikat SSL, pomogłeś Shuttleworth w kosmosie. Jak to może być oszustwo?
4
W dawnych dobrych czasach Internet świadczenie tych usług mogło być drogie. Powiedzieli, że płacisz za usługę weryfikacji tożsamości. Z mojego doświadczenia wynika, że ​​dochodzenie w sprawie certyfikatów niezwiązanych z e-commerce jest banalne i fałszywe. Niestety, po prostu gardzę całą branżą SSL. Chciałbym, żeby ktoś stworzył organizację non-profit, która zapewniłaby te same usługi.
citadelgrad
1
Tutaj jest kilka pytań związanych z certyfikatami EV: webmasters.stackexchange.com/questions/2214/… webmasters.stackexchange.com/questions/3836/… webmasters.stackexchange.com/questions/3134/ssl-versus-ev-ssl
JasonBirch
To w zasadzie jak najfajniejsze dzieciaki na imprezie, które mówią „ten koleś jest legalny”, gdy przeglądarka pyta ich o ciebie. Płacisz za te fajne dzieciaki, które przyjmują cię i mówią o tobie. Jeśli chcesz, aby powiedzieli „ten koleś jest CAŁKOWICIE EPICY” , możesz wydać więcej pieniędzy. Dopóki jest to SHA-256 lub coś podobnego, sprawdzanie poprawności nie ma znaczenia. Być może 0,01% odwiedzających sprawdza organ weryfikacyjny. Liczy się tylko to, że widzą zielony zamek, niezależnie od tego, czy jest to zamek 10 USD czy 1000 USD.
dhaupin,
@ Citadelgrad, Zrobili non-profit. Nazywa się CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Odpowiedzi:

27

„Moje pytanie brzmi: co czyni certyfikat 10 USD lepszym niż certyfikat 100 USD?”

Zazwyczaj im droższy certyfikat, tym starsza jest firma certyfikująca. Ponieważ lista zaufanych sygnatariuszy jest dostarczana z przeglądarką, starsze przeglądarki mogą nie ufać certyfikatom nowszych firm.

Na przykład być może certyfikat 10 USD nie jest zaufany przez IE5.

Ale to jest o tym.

Thomas Bonini
źródło
8
I zniekształcony bałagan, który IE5 wyświetla po wyświetleniu strony internetowej zgodnej z nowoczesnymi standardami, jest również niezaufany przez użytkownika takiego fragmentu # & * $ :) +1
Tim Post
Ponadto w przypadku niektórych rodzajów certyfikatów firma wydająca dokłada większych starań, aby zweryfikować dane osoby / firmy, która o nie występuje ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Jeśli przeglądarka pokazuje, że certyfikat to EV, a użytkownik go zauważy, może mieć większe zaufanie. IMHO nie zauważą.
paulmorriss
Pominąłeś punkt, jeśli certyfikat jest droższy, to jesteś objęty większą ochroną, jeśli Twoja witryna zostanie zhakowana, certyfikat 100 $ może zapłacić Ci do 1 miliona dolarów, podczas gdy certyfikat 10 $ może ci nic nie zapłacić.
SSpoke
@SSpoke, będę zaskoczony, jeśli nie będzie tarcia, gdy będziesz starać się o „ 1,5 mln USD ”. Liczby te dotyczą wyłącznie dużych chłopców, a nie przeciętnego użytkownika. Wyobraź sobie, że mieli naruszenie i musieli wypłacić 300 tys. Użytkowników, co łącznie wynosi 450 miliardów. Zapewniamy, że Twoi użytkownicy nie będą mogli uzyskać 1 miliona dolarów każdy. Zobacz także warunki na stronie positivessl.com/ssl-warranty.php
Pacerier,
13

Myślę, że kartel to słowo, którego szukasz

Aiden Bell
źródło
6

Pewnego dnia zapytałem DigiCert : dlaczego wiele certyfikatów jest o wiele tańszych niż twoje (~ 25 $ vs. ~ 100 $ rocznie)? Oto odpowiedź, którą mi dali (słowami):

Inne firmy weryfikują tylko twoją nazwę domeny (że osoba otrzymująca certyfikat jest właścicielem nazwy domeny), podczas gdy DigiCert (i inne) weryfikują firmę stojącą za nazwą domeny.

Oznacza to, że muszą sprawdzić rejestr korporacyjny w twoim kraju, aby sprawdzić, czy Twoja firma istnieje i czy w jakiś sposób jesteś z nią powiązany. Często wymaga to również połączenia telefonicznego i kilku innych kontroli. Bez tego sprawdzenia wystarczy komputer, aby zweryfikować rekord whois z wprowadzonymi informacjami.

Tak więc, moim zdaniem, jeśli zamierzasz używać certyfikatu w witrynie, w której klient płaci za coś lub wprowadza swoje dane osobowe, to droższy certyfikat jest lepszy. Jeśli korzystasz z witryny tylko wewnętrznie (w firmie), prawdopodobnie tańszy certyfikat jest prawdopodobnie wszystkim, czego potrzebujesz.

Darryl Hein
źródło
DigiCert ma ekstremalny konflikt w związku z alarmem o zainteresowaniach (patrz także security.stackexchange.com/questions/13453/… ). Personel pomocniczy zmienia to pytanie, porównując certyfikaty DV innych CA z certyfikatami EV. Ale inne urzędy certyfikacji oferują również certyfikaty EV po znacznie obniżonej cenie.
Pacerier,
4

„Moje pytanie brzmi: co czyni certyfikat 10 USD lepszym niż certyfikat 100 USD?”

Odpowiedź jest niczym. Certyfikat to certyfikat (ponieważ nie obchodzi Cię „Rozpoznawanie marki”), więc bez pakietów EV certyfikat jest tylko towarem. To całkiem ładnie wyjaśnia historię.

Myślę jednak, że rozpoznawalność marki może być ważna dla niektórych użytkowników, ale jeśli masz pewność, że jesteś zaufanym źródłem, nie martwię się o to.

plntxt
źródło
2

Istnieje również problem polegający na tym, że niektóre przeglądarki wybierają wiele idealnie drobnych certyfikatów SSL i oznaczają je jako potencjalnie niebezpieczne. Wynika to częściowo z tego, co powiedział Darryl (zwiększona staranność ze strony dostawcy SSL, aby potwierdzić, kim jesteś). Nie chodzi o to, że samo bezpieczeństwo jest naprawdę inne, ma po prostu zapewnić lepszą warstwę zaufania.

Są też takie rzeczy, jak możliwość zarządzania (mogę bezzwłocznie wydawać i ponownie wydawać certyfikaty zawartości mojego serca, co było bardzo przydatne, gdy nazwy domen nagle stają się różne), a także inne korzyści, które mogą poprawić twoje wrażenia. Ale jeśli wersja 10 USD robi to, czego potrzebujesz, a Twoi klienci nie dbają o to, od kogo pochodzi certyfikat, to idź.

Z biegiem czasu możesz odkryć, że zmieniasz sprzedawców po prostu dlatego, że zmienia się krajobraz Twojej obecności w Internecie, więc biorąc pod uwagę, że teraz przed rozpoczęciem jest ważne.

Milner
źródło
2

Do połowy 2015 r. Nie znalazłem żadnych niezależnych badań ani nawet niepotwierdzonych dowodów, że certyfikaty EV zwiększyłyby współczynnik konwersji lub sprzedaż. Rozszerzyłem to w mojej odpowiedzi na certyfikaty EV SSL - czy kogo to obchodzi? .

To, co wydawało się zmniejszać porzucanie koszyków, to plomby i odznaki zaufania . Takie pieczęcie zaufania pochodzą z zakupem EV. Nawiasem mówiąc, dzisiaj jest 4 lipca, a Comodo sprzedaje certyfikaty EV za 100 USD zamiast 500 USD, co skłoniło te badania. Nadal nie jestem do końca przekonany w ten czy inny sposób.

Dan Dascalescu
źródło