Jakie są zalety droższego certyfikatu SSL?

30

Porównywałem ceny różnych certyfikatów SSL i znalazłem ogromną różnicę w cenach między różnymi dostawcami.

Jeśli weźmiemy na przykład http://www.namecheap.com/learn/other-services/ssl-certificates.asp , jaka byłaby zaleta korzystania z certyfikatu Geotrust za 48,88 USD rocznie w porównaniu z opcją RapidSSL 9,95 USD rocznie ?

Oli
źródło
1
Zobacz także: webmasters.stackexchange.com/questions/372/…
Mark Henderson
2
możesz uzyskać bezpłatny roczny SSL na domenę ze strony startcom.org, jeśli przeglądarka ufa certyfikatowi root, wyświetli kłódkę, wybierze tanią lub darmową.
ollybee,

Odpowiedzi:

21

Parę rzeczy. W teorii , tym lepsze i droższe dostawców SSL mają potwierdzić, kim jesteś w jakiś sposób i wypowiedzieć się na swojej tożsamości. Wymaga to czasu i wysiłku ręcznego, a zatem kosztuje więcej.

Tradycyjna ręczna weryfikacja (stosowana przez VeriSign, Thawte, Entrust) była uciążliwa, długa i kosztowna dla dostawcy SSL, a zatem i dla nabywcy. Automatyczne sprawdzanie poprawności (używane przez GeoTrust i GoDaddy) jest szybsze i bardziej opłacalne, ale nie zapewnia poziomu pewności oczekiwanego przez konsumentów polegających na SSL - na przykład Certyfikaty QuickSSL GeoTrust potwierdzają jedynie prawo wnioskodawcy do używania nazwy domeny, a nie legalność samej firmy.

Jest też jakiś szalony nowy typ certyfikatu SSL, który „rozszerza walidację” i jest DUŻO droższy.

https://www.verisign.com/ssl/ssl-information-center/ev-ssl-certificate/index.html

Certyfikat EV SSL daje klientom większą pewność, że wchodzą w interakcje z zaufaną witryną internetową i że ich informacje są bezpieczne. Certyfikat EV SSL uruchamia przeglądarki o wysokim poziomie bezpieczeństwa, które wyświetlają nazwę organizacji w zielonym pasku adresu i pokazują nazwę urzędu certyfikacji, który ją wydał.

Tańsi dostawcy SSL w niewielkim stopniu sprawdzają tożsamość, co może, ale nie musi mieć znaczenia dla ciebie (lub twoich użytkowników).

Szczerze mówiąc, gdy używamy protokołu SSL, służy on do szyfrowania, a nie do sieci zaufania.

(Jednym z ważnych powodów, dla których warto zapłacić za droższy certyfikat SSL, jest to, że jest to znak wieloznaczny, więc działa on na wszystkich *.example.comstronach internetowych domeny, jakie możesz mieć. Zwykłe certyfikaty SSL są dobre tylko dla jednego określonego adresu).

Jeff Atwood
źródło
6
Tak, kiedyś zastanawialiśmy się nad uzyskaniem wieloznacznego certyfikatu SSL, ale jeśli nie potrzebujesz SSL w dziesiątkach subdomen, nie warto. Szczerze mówiąc, symbole zastępcze są trochę oszustwem. Nie wymaga to więcej pracy od urzędu certyfikacji i jest podobny do hostów pobierających dodatkowe opłaty za poddomeny. Ponadto dla większości webmasterów największą uwagę przy wyborze urzędu certyfikacji powinno mieć to, czy jest on rozpoznawany przez wszystkie główne przeglądarki. W końcu możesz użyć certyfikatu z podpisem własnym, jeśli chcesz po prostu szyfrować, ale większość ludzi nie chce, aby ich klienci odstraszali przerażające ostrzeżenia „niezaufanego urzędu certyfikacji”.
Lèse majesté
1
@JeffAtwood, Uważaj na cytowanie stron CA dotyczących certyfikatów. Skrajny konflikt interesów jest tu bardzo realne. Ogromna liczba witryn CA ma złe informacje dotyczące certyfikatów . Lepiej polegać na źródłach niezależnych analityków / badaczy / inżynierów bezpieczeństwa. Zobacz także webmasters.stackexchange.com/a/55855/7654
Pacerier
To naprawdę trochę szalone, że CA było w stanie przesunąć intencję z bezpiecznego szyfrowania bez pośredników na poziom „to cholernie fajna i bezpieczna firma”, aby pozwolić im wydrukować więcej pieniędzy niż Ben Bernenke zrobił. O tak, a symbole wieloznaczne są oczywiście droższe, 50 dolarów za każdy z 2 dodatkowych bajtów.
Lothar,
8

Pod względem bezpieczeństwa nie ma różnicy.

To, co naprawdę kupujesz, to weryfikacja firmowa certyfikatu, która przekonuje klientów, że jesteś godny zaufania. Właśnie dlatego Verisign sprzedaje te same usługi za x10 w ilości innych.

Również w droższych certyfikatach istnieje dodatkowy poziom weryfikacji (tam, gdzie musisz wysłać firmowe dokumenty weryfikacyjne, istnieje sprawdzenie właściciela domeny, czy dane uwierzytelniające są zgodne itp.). I zazwyczaj dają ci bardziej elegancki baner, który możesz umieścić na swojej stronie.

Istnieją również Extended Validation Certificates (EV), w których większość przeglądarek zmienia pasek adresu na zielony i wyraźnie identyfikuje twoją stronę / firmę.

Hik
źródło
2

Dodam tylko komentarz na temat standardowych wymagań e-commerce, które często się pojawiają.

Tak długo, jak certyfikat SSL jest aktualny i co najmniej 128-bitowy (i wstępnie korzystający z protokołu TLSv1.1, który będzie wymagany do 2018 r.), Jest on akceptowalny przez australijskie standardy PCI-DSS (e-commerce) i większość standardów e-commerce gdzie indziej, chociaż będziesz potrzebować do sprawdzenia w lokalnym organie normalizacyjnym.

I oczywiście, jeśli pochodzi z zaufanego urzędu certyfikacji (Versign, Comodo, LetsEncrypt, Cloudflare, CAcert, Starcom, Wosign itp.), To przeglądarka automatycznie je akceptuje bez konieczności potwierdzania.

garth
źródło
1

Nie ma już różnicy między GeoTrust i RapidSSL, ponieważ istnieje wspólny cel, aby zabezpieczyć dane witryny za pomocą certyfikatu SSL.

Ale RapidSSL służy do uzyskania certyfikatu witryny podstawowej, a GeoTrust ma na celu zapewnienie klientowi, że jego dane są bezpieczne w ramach certyfikatu ssl.

Kiedy kupujesz go z oficjalnej strony, jest to bardzo drogie, ale jeśli wybierzesz od sprzedawcy, otrzymasz ten sam certyfikat ssl @ bardzo niskie ceny.

Thomas Wank
źródło
Mówisz „Ale RapidSSL jest dla certyfikatu witryny podstawowej”, ale to tylko powtórzenie fałszywego marketingu i sprzeczne z twoją własną odpowiedzią. Nie ma nic technicznego w RapidSSL, co czyni go gorszym. Jedyną różnicą jest rozpoznawalność marki, ale twierdzę, że między tymi dwoma jest ona znikoma.
ColinM