Dlaczego certyfikacja HTTPS / SSL godaddy jest o wiele tańsza niż digicert, thawte i verisign?

Jestem nowicjuszem w dziedzinie HTTPS / SSL, ale GoDaddy kosztuje 12,99 USD, a Digicert, Thawte i Verisign - 100-1000 USD + za certyfikaty SSL.

Coś mi brakuje w jakości szyfrowania lub coś takiego. Czy ktoś może wyjaśnić niektóre podstawowe różnice, które prowadzą do tak dramatycznie różnych cen?

Aktualizacja 12,99 USD to cena sprzedaży. Zazwyczaj certyfikaty SSL kosztują 89,99 USD w GoDaddy. Oto link na Godaddy, który sprawia, że ​​samo porównanie, o które pyta to pytanie: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

dzięki,

tim

Oprócz niepotrzebnych ofert można odróżnić tańsze certyfikaty SSL z walidacją domeny od droższych certyfikatów SSL z rozszerzoną weryfikacją .

Oba certyfikaty są technicznie takie same (połączenie jest szyfrowane), ale certyfikaty zatwierdzone przez domenę są tańsze, ponieważ sprzedawca musi tylko sprawdzić domenę. Certyfikaty EV wymagają również informacji o właścicielu domeny, a sprzedawca powinien sprawdzić, czy te informacje są poprawne (więcej wysiłku administracyjnego).

Zwykle widać różnicę podczas odwiedzania witryny za pomocą przeglądarki. Na przykład Firefox podświetli domenę na niebiesko w przypadku SSL z weryfikacją domeny i na zielono w przypadku SSL z rozszerzoną weryfikacją.

Dwa przykłady:

• https://accounts.google.com/ (zweryfikowany pod domeną)
• https://www.postfinance.ch/ (rozszerzony-zatwierdzony)

W większości przypadków certyfikat zweryfikowany w domenie jest w porządku, użytkownik nie będzie miał wad, a certyfikaty EV są naprawdę (zbyt) drogie.

Ze strony GoDaddy:

Ciesz się poparciem ustalonych standardów branżowych. Nie ma RÓŻNICY TECHNICZNEJ między naszymi certyfikatami a innymi głównymi urzędami certyfikacji.

Źródło: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

Wycena jest czasem zabawną rzeczą. Chociaż nie mam pojęcia, dlaczego GoDaddy wycenia swoje produkty tak, jak robią, niektóre firmy wybierają więcej klientów po niższej cenie, podczas gdy inne wybierają wyższą cenę i przyciągają mniej klientów.

Jako proste porównanie, Firma 1 może przyciągnąć więcej klientów, oferując swoje produkty po niższej cenie. Firma 2 może jednak oferować swoje produkty po wyższych kosztach, co może zrównoważyć mniejszą liczbę klientów.

Firma 1: 100 klientów płacących 20 USD / miesiąc = 24 000 USD / rok

Firma 2: 200 klientów płacących 10 USD / miesiąc = 24 000 USD / rok

Jak widać w tym BARDZO PROSTYM porównaniu, oba modele osiągnęły ten sam roczny przychód, jednak jedna firma oferowała swój produkt za dwa razy więcej niż druga.

Szczerze mówiąc. nie ma absolutnie żadnej różnicy, jeśli chodzi o certyfikaty SSL. Jedynym czynnikiem mającym wpływ na to są tagi EV / non EV / Wildcard.

EV == Extended Validation: Oznacza to, że witryna jest aktywnie „pingowana” przez ośrodek certyfikacji na podany adres IP domeny, następnie skrypt po stronie serwera porównuje adres IP odpowiedzi ping z urzędu certyfikacji oraz adres IP TY odwiedzają. To NIE gwarantuje, że nie ma ataku typu man-in-the-middle ani zatrucia DNS w całej sieci. To tylko gwarantuje, że przeglądana witryna jest tą samą, którą widzi CA.

Non-EV == nikt ze względów bezpieczeństwa nie sprawdza aktywnie adresu IP domeny względem zarejestrowanego / podanego adresu IP.

Symbole wieloznaczne == * .domena.com Certyfikaty są często używane, gdy ludzie mają wiele subdomen lub zestaw subdomen, które ciągle się zmieniają, ale nadal wymagają prawidłowego szyfrowania SSL.

Prawda kryjąca się za certyfikatami SSL.

Możesz zrobić własne. Są nie mniej bezpieczne niż jakikolwiek inny certyfikat. Różnica polegająca na tym, że jest to „samopodpisany” certyfikat, nie jest „gwarantowana” przez jakąkolwiek stronę trzecią.

Problem z certyfikatami SSL polega na tym, że są bardzo zawyżone cenowo za to, czym są. Absolutnie NIE ma gwarancji, że odwiedzana witryna należy do tego, kto jest wymieniony w certyfikacie jako właściciel / lokalizacja itp. To przeczy celowi, jakim został opracowany model SSL firmy trzeciej.

WSZYSTKIE urzędy certyfikacji zwane urzędami certyfikacji, które sprzedają swoje certyfikaty, chcą, aby użytkownik uwierzył, że ich certyfikat jest w jakiś sposób lepszy. W rzeczywistości nigdy nie sprawdzają informacji dostarczonych dla certyfikatu, chyba że istnieje problem, który może ich kosztować przychody. Ta praktyka przeczy także celowi modelu łańcucha zaufania SSL.

Znam tylko JEDEN urząd certyfikacji, który rzeczywiście sprawdza jego certyfikaty. To jest CACert.org.

Aby wystawić „kompletny” certyfikat (nazwa firmy, nazwa, adres, telefon itp.), Musisz spełnić wymagania jednego z FAS-TO-FACE!

Jednak. większość przeglądarek nie korzysta z CACert.org z powodu nacisków wywieranych na nie przez wielkie korporacje, takie jak Thawte, Comodo i Verisign.

Więc ... podsumowując to wszystko.

Jedyne różnice między certyfikatami to zachowanie urzędu certyfikacji. Tak naprawdę nie można ufać certyfikatom, aby zweryfikować coś innego niż połączenie z witryną korzystające z szyfrowania.

Pod koniec dnia ludzie myślą, że zapłacenie 100–1000 USD w jakiś sposób równa się wiarygodności. Nie o to chodzi. Oznacza to po prostu, że masz do czynienia z mniej wyrafinowanymi lub mniej znanymi oszustami.

Co jest warte więcej, referencja ode mnie lub referencja od Billa Gatesa? Musisz pamiętać, że certyfikaty są czymś więcej niż rozwiązaniem technicznym, są dla ciebie gwarancją, a firmy mogą ustalić cenę, jaką ich reputacja jest warta.

Właśnie odkryłem, że GoDaddy nie zezwala na „duplikowanie” certyfikatu dla twoich symboli wieloznacznych SSL. (w przeciwieństwie do GlobalSign, DigiCert, które na to pozwalają i nieograniczoną liczbę)

Szkoda, ponieważ jest to często używane, gdy zarządzasz farmą serwerów, a każdy z nich ma swój prywatny klucz / csr.

Pracowałem dla firmy trzeciej nad projektem internetowym dla dużej korporacji technologicznej. Użyliśmy certyfikatu GoDaddy SSL i stwierdziliśmy, że ten urząd certyfikacji został odrzucony w wewnętrznych sieciach firmy.

Korporacja w tym czasie (2 lata temu) nie zaakceptowała automatycznie GoDaddy jako zaufanego organu. Nasz certyfikat został zaakceptowany tylko z dużym przekonaniem.

Gdybyśmy użyli marki premium, takiej jak Thawte, nie byłoby problemu. Nie jestem pewien, dlaczego korporacja miała taką politykę, ale być może cena certyfikatu sprawiła, że ​​wydawali się mniej zaufani.

Jest to jedyna rzeczywista różnica między certyfikatami GoDaddy i innymi dużymi urzędami certyfikacji, na które natknąłem się.

Technicznie nie ma różnicy. Większość urzędów certyfikacji oferuje podobne produkty, standardowe sprawdzanie poprawności lub rozszerzone sprawdzanie poprawności w przypadku sprawdzania organizacji / firmy i domeny właściciela oraz symboli wieloznacznych.

Tym, co wyróżnia cenę, jest:

1. Branding
2. Gwarancja
3. Jakość usługi
4. Ilość

Najlepszym przykładem marki jest Digicert - wydawali certyfikaty takim markom jak Twitter, Facebook, a nawet StackExchange. Aby dotrzeć do tego rodzaju klientów, potrzeba trochę perswazji i budżetu na markę, nie ma dowodów na to, że mają lepszą technologię niż ktokolwiek inny.

Gwarancja jest jak ubezpieczenie. Zazwyczaj jest to kwota od 0 do milionów dolarów, w zasadzie mówi ci, jak wysoki jest ubezpieczony CA sprzedając ci certyfikat, jeśli zdarzy się coś takiego jak nieuczciwa transakcja kartą kredytową i to będzie ich pomyłka, pokryją koszty do wysokość gwarancji. Ze standardowymi certyfikatami SSL sprzedaje się głównie dla firmy CA, aby mogli obciążyć właściciela większym kosztem, ponieważ technologia szyfrowania i bezpieczeństwo są takie same, z gwarancją certyfikatów EV może się przydać, ale zwykle podczas czytania warunków, będziesz się śmiać i zobacz ironię tego wszystkiego.

Jakość usług jest zwykle bardzo subiektywna i zależy od klienta płacącego. Niektóre urzędy certyfikacji mają systemy dla swoich dużych klientów, które mogą pomóc Ci śledzić zakupione certyfikaty, jeśli posiadasz lub zarządzasz ponad setką certyfikatów, możesz raczej zapłacić niewiele więcej i mieć lepsze oprogramowanie do zarządzania, pulpit nawigacyjny, szersze opcje rozliczeń kart kredytowych, narzędzia do obsługi certyfikatów, narzędzia do raportowania, niektóre urzędy certyfikacji oferują nawet wskazówki bezpieczeństwa dotyczące implementacji serwera.

Ilość powoduje, że ceny spadają. Podobnie jak CA, jeśli sprzedajesz więcej, ceny są niższe, a jako klient, gdy kupujesz więcej, możesz poprosić o lepsze ceny.