wybór odpowiedniego certyfikatu SSL

18

Chcemy kupić niektóre certyfikaty SSL, aby zabezpieczyć strony logowania do witryn e-commerce. Nie jest wymagane zabezpieczenie faktycznego procesu płatności, ponieważ jest on chroniony przez stronę trzecią za pomocą własnego certyfikatu Verisign. rapidSSL wygląda na dobrą (i tanią) opcję, ale sprzedawca powiedział mi, że są one odpowiednie tylko dla „stron testowych” i zalecił użycie takiej, która jest czterokrotnie wyższa. Czy ktoś może przedstawić jakieś zalecenia dotyczące tego, czego powinniśmy szukać i co powinniśmy rozważyć?

Dzięki.

ssl  ssl-certificate 
robjmills
źródło

Odpowiedzi:

17

Niezależnie od tego, co mówią sprzedawcy, certyfikaty są obiektywnie prawie takie same w odniesieniu do szyfrowania. Wszystkie umożliwiają szyfrowanie „wystarczająco dobre”, co tak naprawdę zależy głównie od konfiguracji serwerów sieciowych i nieco od możliwości przeglądarki. Amerykański zakaz eksportowania silnego szyfrowania został zniesiony kilka lat temu, więc dziś prawie wszystkie przeglądarki będą obsługiwały 128-bitowe szyfrowanie Twofish lub AES, jeśli serwer to zaproponuje. (Zaskakująco wiele serwerów nadal korzysta z 56-bitowego DES, RC4 lub innych słabszych schematów, z powodu niewiedzy o sysadmin lub niższego obciążenia procesora na serwerze).

Zniknął również problem długotrwałych relacji zaufania certyfikatów połączonych łańcuchowo. Obecnie większość przeglądarek ma dość kompletny zestaw wstępnie zainstalowanych zaufanych urzędów certyfikacji. Otwórz interfejs przeglądarki przeglądarki, aby zobaczyć swoją (Firefox 3: Narzędzia> Opcje> Zaawansowane> Szyfrowanie> Wyświetl certyfikaty).

Od czasu do czasu można znaleźć promocje, w których sprzedawcy oferują certyfikaty Comodo, Digicert lub podobne za około 20 USD.

Rozważany może być poziom „zaufania”, jaki Twoja witryna inspiruje klientów . Prawdopodobnie pieczęć witryny Verisign i zielony pasek Extended Validation w zgodnych przeglądarkach jest lepszy niż proste 128-bitowe szyfrowanie za pomocą certyfikatu GoDaddy. Trudno powiedzieć, będzie to w dużej mierze zależeć od demografii użytkownika, wieku, umiejętności korzystania z komputera i tak dalej.

Jedno: może być korzystne zachowanie dokładności informacji Whois DNS, ponieważ jest to duża część tego, jak urzędy certyfikacji weryfikują cię przed wydaniem certyfikatu. Wyobrażam sobie, że uzyskanie certyfikatu od osoby, z którą już prowadzisz interesy, takiej jak host / rejestrator DNS, jest łatwiejsze niż weryfikacja przez Comodo, Thawte itp.

Tak więc moja propozycja dotyczy oceny użytkowników i tego, czy bardziej „godna zaufania” marka na pieczęci witryny spowoduje zwiększenie sprzedaży. A następnie wykonaj jedną z następujących czynności:

  • Zdobądź najtańszy 128-bitowy certyfikat, który możesz otrzymać od sprzedawcy / rejestratora DNS / osoby, z którą masz już konto. Może krótko zbadaj, kto podpisuje Cert i czym jest główny urząd certyfikacji, ale nie przejmuj się, chyba że jest to dość niejasny łańcuch CA.
  • Zdobądź Verisign lub podobny, dobrze znany (i cholernie drogi) certyfikat SSL o dobrej wartości marki i wyraźnie wyróżnij swoją pieczęć witryny. Rozważ skorzystanie z certyfikatu Extended Validation.

Certyfikaty „ Extended Validation ” dodają pewnej wartości IMHO, ponieważ przeglądarki wizualnie zapewniają użytkownikom, że wszystko jest w porządku z zielonym paskiem adresu, widoczną nazwą firmy itp. Niestety, certyfikaty te są również drogie i irytujące.

Jesper M.
źródło
wielkie dzięki, to właściwie decyzja, którą podjąłem. Myślę, że prawdopodobnie pójdziemy na podstawowy certyfikat Thawte, ponieważ mają dobry kompromis między dobrą ceną a odnowionym brandingiem.
robjmills,
Nawet jeśli Twoje zamówienie jest hostowane przez podmiot zewnętrzny, umieść zielony pasek EV na swojej stronie, gdy tylko klient wykaże poważne zainteresowanie otwarciem swojego portfela (dodaj do koszyka, zarejestruj się itp.), A zobaczysz ROI, nawet na najdroższe certyfikaty EV, jeśli Twoje witryny generują znaczny ruch. Czynnik „W Internecie nikt nie wie, że jesteś (nie) psem” jest ogromny.
Terence Johnson,
@TerenceJohnson Prowadzę dość dużą bramę płatności e-commerce z około 3 tys. Płatności dziennie. W ubiegłym miesiącu podjęliśmy decyzję o odrzuceniu certyfikatów EV na rzecz zwykłych. W tej chwili ani jeden płatnik nie narzekał na to, a ruch się nie zmniejszył.
kubańczyk
5

Mogę zdecydowanie zrozumieć twoje zamieszanie, ponieważ jest to trochę zagmatwany obszar. Jak powiedzieli tu inni, ogólnie certyfikat jest certyfikatem, który zapewnia taki sam poziom ochrony i wygląda tak samo dla użytkowników końcowych. Istnieją jednak różnice, głównie dotyczące poziomów weryfikacji.

Poziomy weryfikacji

Istnieją trzy podstawowe poziomy weryfikacji: tylko domena, domena i firma oraz biznes domena i tożsamość przedstawiciela. Domena tylko w rzeczywistości jest dość słabym uwierzytelnieniem, gdy się nad tym zastanowić, nie dowodzi, że jesteś tym, za kogo się podajesz, ani że masz prawo używać marki. Jednak dla większości użytkowników końcowych nie znają różnicy i zobaczą ikonę zablokowania. Domena i firma są zwykle dostarczane i zwykle wymagają czegoś trywialnego, takiego jak korporacyjna karta kredytowa, aby potwierdzić, że jesteś firmą.

Rozszerzona weryfikacja to nowy standard, który wymaga dodatkowych kroków od urzędu certyfikacji w celu potwierdzenia, że ​​faktycznie jesteś tym, za kogo się podajesz i że jesteś osobą prawną, która może handlować pod tą nazwą. Zobacz wpis wikipedii, aby uzyskać więcej informacji. W przeglądarce Firefox certyfikat EV będzie wyświetlany jako zielone pole nieco po lewej stronie samego adresu URL z nazwą firmy.

Odszkodowanie

Każdy dostawca SSL da inne ubezpieczenie od odpowiedzialności cywilnej, jeśli ktoś inny w nieuczciwy sposób użyje certyfikatu lub domeny pochodzącej z tego samego urzędu certyfikacji. Myślę, że bardzo rzadko ludzie muszą iść tą ścieżką

Pokrycie w różnych przeglądarkach

Zazwyczaj wszyscy główni dostawcy SSL będą od razu obsługiwani we wszystkich głównych systemach operacyjnych. Niektóre mogą wymagać podania pośredniego pakietu łańcucha, co może być kłopotliwe.

Unieważnienie

Nie wszystkie urzędy certyfikacji wspierają zdolność do odwoływania certyfikatów - co mnie zaskakuje, kiedy ostatnio na to patrzyłem, tylko garstka miała listę adresów unieważnionych certyfikatów. Jeśli poważnie podchodzisz do swojego bezpieczeństwa, wybierz taki, który ma adres URL odwołania.

streszczenie

Twoje potrzeby brzmią prosto i prosto, polecam ci kupić coś taniego. RapidSSL, InstantSSL, GoDaddy lub którykolwiek z innych dużych graczy są w porządku.

hellomynameisjoel
źródło
2

Mam certyfikat rapidssl, który kupiłem przez www.rapidsslonline.com. Nigdy nie miałam z tym problemu. Otrzymałem także certyfikat godaddy.com, nigdy też nie miałem z tym problemu. Większość przeglądarek rozpozna oba.

Verisign itp. To tylko strata pieniędzy, chyba że istnieje szczególna potrzeba pokazania logo lub czegoś innego.

KristoferA
źródło
1
rapidSSL to pojedynczy certyfikat główny, który powinien wystarczyć i byłem w momencie jego kupowania, dopóki sprzedawca nie skomentował witryn testowych. Myślę, że pytanie brzmi: czy mniej rozpoznawalna marka będzie miała negatywne problemy
robjmills,
zostały również polecone przez thawte SSL123 - jest to również certyfikat poziomu podstawowego, ale ma znacznie lepszą markę imo thawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
korzystając z samego Thawte, SSL123 jest odpowiedni tylko dla wewnętrznych serwerów lub adresów IP
robjmills,
1
Najtańsze certyfikaty RapidSSL można uzyskać od namecheap.com - 10 USD rocznie przy zakupie dwóch lub trzech lat.
TRS-80,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.