Jak zdecydować, gdzie kupić wieloznaczny certyfikat SSL?

Niedawno musiałem kupić certyfikat SSL z wieloznacznymi danymi (ponieważ muszę zabezpieczyć wiele subdomen), a kiedy po raz pierwszy szukałem, gdzie kupić, byłem przytłoczony liczbą opcji, oświadczeniami marketingowymi i przedziałem cenowym. Utworzyłem listę, która pomaga mi przejrzeć sztuczki marketingowe, które znaczna większość urzędów certyfikacji umieszcza na swoich stronach. W końcu mój osobisty wniosek jest taki, że prawie jedyne, co się liczy, to cena i przyjemność strony internetowej CA.

Pytanie: Czy oprócz ceny i ładnej strony internetowej jest coś wartego rozważenia przy podejmowaniu decyzji o zakupie certyfikatu SSL wieloznacznego?

Uważam, że w odniesieniu do decyzji o tym, gdzie kupić certyfikat SSL z wieloznaczną kartą, jedyne czynniki, które mają znaczenie, to koszt certyfikatu SSL w pierwszym roku oraz przyjemność z witryny internetowej sprzedawcy (tj. Wrażenia użytkownika) na zakup i konfigurację certyfikatu .

Mam świadomość następujących rzeczy:

• Roszczenia dotyczące gwarancji (np. 10 tys. USD, 1,25 mln USD) są sztuczkami marketingowymi - gwarancje te chronią użytkowników danej witryny przed możliwością wystawienia certyfikatu oszustowi (np. Stronie phishingowej), w wyniku czego użytkownik traci pieniądze ( ale zadaj sobie pytanie: czy ktoś wydaje / traci 10 000 USD lub więcej na fałszywej stronie? oh, nie jesteś oszustem? Nie ma sensu.)

• Aby aktywować certyfikat SSL, konieczne jest wygenerowanie klucza prywatnego 2048-bitCSR ( żądanie podpisania certyfikatu ). Zgodnie ze współczesnymi standardami bezpieczeństwa używanie kodów CSR z kluczem prywatnym mniejszym niż 2048 bitów jest niedozwolone. Dowiedz się więcej tutaj i tutaj .

• Roszczenia 99+%, 99.3%lub 99.9%przeglądarce zgodności / urządzenia.

• Roszczenia dotyczące szybkiego wydania i łatwej instalacji .

• Fajnie jest mieć gwarancję zwrotu pieniędzy (15 i 30 dni są powszechne).

Poniższa lista podstawowych cen certyfikatów SSL (nie sprzedaż) oraz organów wydających i sprzedawców została zaktualizowana 30 maja 2018 r .:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Pamiętaj, że DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity i SSL2BUY są sprzedawcami, a nie urzędami certyfikacji.

Namecheap oferuje wybór Comodo / PostiveSSL i Comodo / EssentialSSL (chociaż nie ma technicznej różnicy między nimi, tylko branding / marketing - zapytałem o to Namecheap i Comodo - podczas gdy EssentialSSL kosztuje kilka dolarów więcej (100 USD vs 94 USD) ). DNSimple odsprzedaje EssentialSSL Comodo, który jest technicznie identyczny z PositiveSSL Comodo.

Zauważ, że SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap i DNSimple zapewniają nie tylko najtańsze certyfikaty SSL z wieloznacznymi znakami, ale także mają najmniejszą sztuczkę marketingową ze wszystkich stron, które sprawdziłem; a DNSimple wydaje się nie zawierać żadnych sztuczek. Oto linki do najtańszych rocznych certyfikatów (ponieważ nie mogę połączyć się z nimi w powyższej tabeli):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

Od marca 2018 r. Let's Encrypt obsługuje certyfikaty wieloznaczne . DNSimple obsługuje certyfikaty Let's Encrypt.

Inną kwestią do rozważenia jest ponowne wydanie certyfikatów .

Naprawdę nie rozumiałem, co to znaczy, dopóki nie pojawił się błąd związany z sercem . Założyłem, że oznacza to, że dadzą ci drugą kopię twojego oryginalnego certyfikatu, i zastanawiałem się, jak niezorganizowany musiał być ten serwis. Okazuje się jednak, że nie oznacza to, że: przynajmniej niektórzy dostawcy z radością stemplują nowy klucz publiczny, o ile ma to miejsce w okresie ważności oryginalnego certyfikatu. Zakładam, że następnie dodają twój oryginalny certyfikat do listy CRL, ale to dobrze.

Powody, dla których chcesz to zrobić, to to, że uszkodziłeś lub zgubiłeś swój oryginalny klucz prywatny, lub w jakiś sposób straciłeś wyłączną kontrolę nad tym kluczem, i oczywiście odkrycie światowego błędu w OpenSSL, który sprawia, że ​​twój prywatny klucz został wyodrębniony przez wrogą partię.

Po serdeczności uważam to za zdecydowanie dobrą rzecz i teraz uważaj na to przy przyszłych zakupach certyfikatów.

Podczas gdy cena jest prawdopodobnie kluczową kwestią, inne kwestie to wiarygodność dostawcy , akceptacja przeglądarki i, w zależności od poziomu kompetencji, wsparcie procesu instalacji (większy problem, niż się wydaje, szczególnie gdy coś idzie nie tak).

Warto zauważyć, że wielu dostawców należy do tych samych najlepszych graczy - na przykład Thawte i Geotrust i uważam, że Verisign jest własnością firmy Symantec - certyfikaty Thawte są jednak o wiele znacznie droższe niż Geotrust za brak przekonujących powód.

Z drugiej strony, certyfikat wydany przez StartSSL (którego nie pukam, myślę, że ich model jest fajny), nie jest tak dobrze obsługiwany w przeglądarce i nie ma takiego samego poziomu wiarygodności jak duzi gracze. Jeśli chcesz umieścić na swojej stronie „bezpiecznych placebos”, czasami warto udać się do większego gracza - chociaż prawdopodobnie ma to znacznie mniejsze znaczenie dla certyfikatów wieloznacznych, niż dla certyfikatów EV.

Jak ktoś inny zauważył, inną różnicą może być „stek śmieci”, który jest powiązany z certyfikatem - znam certyfikaty Thawte EV, które wcześniej otrzymałem polecenie używania tylko na jednym serwerze , podczas gdy Geotrust potwierdza, że ​​później przekonane kierownictwo do zastąpienia ich było nie tylko tańsze, ale nie miało tego ograniczenia - całkowicie arbitralne ograniczenie nałożone przez Thawte.

Musisz wybrać certyfikat SSL Wildcard w zależności od potrzeb bezpieczeństwa.

Przed zakupem certyfikatu SSL Wildcard musisz wiedzieć o kilku czynnikach wymienionych poniżej

1. Reputacja marki i poziom zaufania: Zgodnie z ostatnimi badaniami W3Techs dotyczącymi urzędów certyfikacji SSL, Comodo wyprzedził Symantec i stał się najbardziej zaufanym urzędem certyfikacji z 35,4% udziałem w rynku.

2. Typy Funkcje lub Wildcard SSL: Urzędy certyfikacji SSL, takie jak Symantec, GeoTrust i Thawte, oferują certyfikat SSL Wildcard z weryfikacją biznesową. Przyciąga więcej odwiedzających i zwiększa również współczynnik zaufania klienta. Podczas gdy inne CA, Comodo i RapidSSL oferują Wildcard SSL tylko z weryfikacją domeny.

Symantec Wildcard SSL oferuje także codzienną ocenę podatności, która skanuje każdą subdomenę przed złośliwymi zagrożeniami.

Symbol wieloznaczny z weryfikacją biznesową wyświetla nazwę organizacji w polu adresu URL.

3. Cena SSL: Ponieważ Symantec oferuje wiele funkcji wraz z symbolem wieloznacznym, jego cena jest wysoka w porównaniu z Comodo i RapidSSL.

Tak więc, jeśli chcesz zabezpieczyć swoją witrynę i subdomeny za pomocą sprawdzania poprawności biznesowej, musisz wybrać Symantec, GeoTrust lub Thawte, a do sprawdzania poprawności domeny możesz wybrać Comodo lub RapidSSL. A jeśli chcesz zainstalować wielowarstwowe zabezpieczenia z codzienną oceną podatności, możesz skorzystać z rozwiązania Wildcard firmy Symantec.