Come decidere dove acquistare un certificato SSL jolly?


63

Di recente ho dovuto acquistare un certificato SSL con caratteri jolly (perché ho bisogno di proteggere un numero di sottodomini) e quando ho cercato per la prima volta dove acquistarne uno, sono stato sopraffatto dal numero di scelte, richieste di marketing e fascia di prezzo. Ho creato un elenco per aiutarmi a vedere superato gli espedienti di marketing che la maggior parte delle autorità di certificazione (CA) intonaca in tutti i loro siti. Alla fine la mia conclusione personale è che praticamente le uniche cose che contano sono il prezzo e la piacevolezza del sito web della CA.

Domanda: Oltre al prezzo e ad un bel sito Web, c'è qualcosa di degno della mia considerazione nel decidere dove acquistare un certificato SSL jolly?


3
Un criterio che non dovrebbe guidare la tua decisione è la sicurezza della CA. Ed è importante capire il perché. Il motivo è che qualsiasi CA con cui non si intrattengono rapporti commerciali potrebbe compromettere la sicurezza con la stessa facilità con cui si intrattengono rapporti commerciali. Esistono due modi in cui una scarsa sicurezza di una CA potrebbe danneggiarti. Se ottengono il numero della tua carta di credito, potrebbero perdere (questo non è diverso da qualsiasi altra transazione online). E se fanno qualcosa di così grave che i browser smettono di fidarsi di loro, è necessario ottenere un nuovo certificato da una CA diversa con breve preavviso.
Kasperd,

Risposte:


49

Credo che per quanto riguarda la decisione su dove acquistare un certificato SSL con caratteri jolly, gli unici fattori che contano sono il costo del primo anno di un certificato SSL e la piacevolezza del sito Web del venditore (ovvero l'esperienza dell'utente) per l'acquisto e l'impostazione del certificato .

Sono a conoscenza di quanto segue:

  • I reclami relativi alle garanzie (ad esempio $ 10K, $ 1,25 milioni) sono espedienti di marketing : queste garanzie proteggono gli utenti di un determinato sito Web dalla possibilità che la CA emetta un certificato a un truffatore (ad esempio un sito di phishing) e di conseguenza l'utente perde denaro ( ma chiediti: qualcuno spende / perde $ 10.000 o più sul tuo sito fraudolento? oh aspetta, non sei un truffatore? inutile.)

  • È necessario generare una chiave privata 2048-bitCSR ( richiesta di firma del certificato ) per attivare il certificato SSL. Secondo i moderni standard di sicurezza non è consentito l'uso di codici CSR con dimensioni della chiave privata inferiori a 2048 bit. Ulteriori informazioni qui e qui .

  • Rivendicazioni di 99+%, 99.3%o 99.9%compatibilità browser / dispositivo.

  • Reclami di rapida emissione e facile installazione .

  • È bello avere una garanzia di soddisfazione soddisfatti o rimborsati (15 e 30 giorni sono comuni).

Il seguente elenco di prezzi base certificati SSL con caratteri jolly (non vendite) e autorità di emissione e rivenditori è stato aggiornato il 30 maggio 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Nota che DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity e SSL2BUY sono rivenditori, non autorità di certificazione.

Namecheap offre una scelta di Comodo / PostiveSSL e Comodo / EssentialSSL (anche se non c'è alcuna differenza tecnica tra i due, solo branding / marketing - ho chiesto a Namecheap e Comodo di questo - mentre EssentialSSL costa qualche dollaro in più ($ 100 USD contro $ 94 USD) ). DNSimple rivende EssentialSSL di Comodo, che, di nuovo, è tecnicamente identico a PositiveSSL di Comodo.

Si noti che SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap e DNSimple forniscono non solo i certificati SSL con caratteri jolly più economici, ma hanno anche il minimo trucco di marketing di tutti i siti che ho recensito; e DNSimple sembra non avere cose ingannevoli di sorta. Ecco i link ai certificati 1 anno più economici (dato che non riesco a collegarli nella tabella sopra):

A partire da marzo 2018 Let's Encrypt supporta i certificati con caratteri jolly . DNSimple supporta Let's Encrypt certificati.


1
Guarda il prezzo per istanza, ad esempio posso avere 100000000000000 server e pagare alla mia CA solo 1 prezzo. Molte CA vogliono soldi per ogni server!
Arek B.,

1
Forse l'ho perso, ma non ho visto alcun riferimento al prezzo per istanza sui siti CA che ho guardato. Sto ospitando su Heroku, dove la mia app è in esecuzione su più dinamiche ( contenitori Unix virtualizzati ) e la documentazione dell'endpoint SSL di Heroku non menziona nulla su istanze o dinamiche, quindi suppongo che i prezzi per istanza non siano pertinenti alle mie esigenze particolari. ovviamente altri potrebbero trovare il tuo commento penetrante. Grazie comunque!
user664833,

2
I prezzi per server non hanno alcun senso. Una volta che hai un certificato, sei assolutamente libero di esportarlo da un computer e importarlo su qualsiasi altro.
Massimo

@Massimo Le licenze per server erano abbastanza comuni. Applicato come faresti per far valere una vecchia licenza di Windows: i contratti e il sistema d'onore.
Ceejayoz,

@ceejayoz Ok, intendevo dire che non ci sono restrizioni tecniche per l'installazione dello stesso certificato su più server (e in effetti ci sono scenari in cui questo è un requisito, per server web bilanciati dal carico). Certo, i contratti possono dire diversamente.
Massimo

11

Un altro punto da considerare è la riemissione dei certificati .

Non ho davvero capito cosa significasse fino a quando non è arrivato l'insetto di cuore . Immaginavo che ciò significasse che ti avrebbero dato una seconda copia del tuo certificato originale e mi chiedevo quanto uno dovesse essere disorganizzato per aver bisogno di quel servizio. Ma sembra che ciò non significhi questo: almeno alcuni venditori timbrano felicemente una nuova chiave pubblica fintanto che accade durante la durata della validità del certificato originale. Presumo che quindi aggiungano il tuo certificato originale ad alcuni CRL, ma è una buona cosa.

Le ragioni per cui vorresti farlo sono che hai corrotto o perso la tua chiave privata originale, o in qualche modo hai perso il controllo esclusivo di quella chiave, e ovviamente la scoperta di un bug mondiale in OpenSSL che rende probabile che la tua privata la chiave è stata estratta da una parte ostile.

Dopo il cuore, lo considero una cosa decisamente positiva e ora lo tengo d'occhio nei futuri acquisti di certificati.


2

Sebbene il prezzo sia probabilmente un problema chiave, gli altri problemi sono la credibilità del provider , l' accettazione del browser e, a seconda del livello di competenza, il supporto per il processo di installazione (un problema più grande di quanto sembri, specialmente quando qualcosa va storto).

Vale la pena notare che un certo numero di fornitori sono di proprietà degli stessi giocatori di fascia alta - ad esempio Thawte e Geotrust e credo che Verisign siano tutti di proprietà di Symantec - I certificati Thawte sono, tuttavia, molto, molto più costosi di Geotrust per non convincere Motivo.

Dall'altro lato, un certificato rilasciato da StartSSL (che non sto bussando, penso che il loro modello sia interessante), non è ben supportato nel browser e non ha lo stesso livello di credibilità dei grandi giocatori. Se vuoi intonacare "placebo di sicurezza" sul tuo sito, a volte vale la pena andare a un giocatore più grande - anche se questo probabilmente conta molto meno per i certificati con caratteri jolly, quindi per i certificati EV.

Come ha sottolineato qualcun altro, un'altra differenza potrebbe essere il "coccio di spazzatura" che è associato al certificato: so che il Thawte EV Certs mi era stato precedentemente chiesto di ottenere l'uso solo su un singolo server , mentre il Geotrust lo cercherò in seguito la direzione persuasa a sostituirli non era solo più economica ma non aveva questa limitazione - una limitazione del tutto arbitraria imposta da Thawte.


4
La credibilità del provider è praticamente insignificante. Se ha l'icona del lucchetto, agli utenti non importa. Se stai lavorando con una società Fortune 500 con un team di sicurezza, potrebbe richiedere un particolare fornitore, ma per il resto ... a chi importa? Per quanto riguarda StartSSL, sembrano ampiamente supportati: "tutti i principali browser includono il supporto per StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz,

1
Se un fornitore che fa pagare per la revoca alla luce del cuore e gli hacker non fanno differenza, e le ore di inattività per rigenerare i certificati non danneggiano la credibilità di una società, allora Startssl ha ragione sulla credibilità (mi piace startsl, ma questo è un argomento diverso). Mentre l'accettazione del browser è molto alta, è inferiore rispetto ad altri provider - vedi forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo

3
Quanti utenti finali pensate a) controllare per vedere chi ha emesso un certificato eb) conoscere l'addebito di StartSSL per revoche Heartbleed? L'inferno, io non controlli che ha emesso uno SSL. Quello che hanno fatto fa schifo . Il numero di persone che potresti perdere usando i loro certificati probabilmente i numeri nelle singole cifre è tutto ciò che sto dicendo.
Ceejayoz,

Nota che StartSSL non sarà più considerato attendibile da Google Chrome. Vedi security.googleblog.com/2016/10/…
sbrattla,

@sbrattla yup - ovviamente, iniziasl non è più la compagnia che era quando ho scritto questo commento. Wosign l'ha acquisito - di nascosto - nel novembre 2015.
davidgo,

1

È necessario selezionare il certificato SSL Wildcard in base alle proprie esigenze di sicurezza.

Prima di acquistare il certificato SSL Wildcard è necessario conoscere alcuni dei fattori indicati di seguito

  1. Reputazione del marchio e livello di fiducia: secondo il recente sondaggio di W3Tech sulle autorità di certificazione SSL, Comodo ha superato Symantec e diventa la CA più affidabile con una quota di mercato del 35,4%.

  2. Tipi Funzionalità o Wildcard SSL: le autorità di certificazione SSL come Symantec, GeoTrust e Thawte offrono il certificato Wildcard SSL con convalida aziendale. Ciò attira più visitatori e aumenta anche il fattore di fiducia del cliente. Mentre altre CA, Comodo e RapidSSL offrono Wildcard SSL solo con la convalida del dominio.

Wildcard SSL di Symantec fornisce anche una valutazione quotidiana delle vulnerabilità che esegue la scansione di ogni singolo sottodominio dalle minacce dannose.

Il carattere jolly con convalida aziendale visualizza il nome dell'organizzazione nel campo URL.

  1. Prezzo SSL: poiché Symantec offre molteplici funzionalità insieme a caratteri jolly, il suo prezzo è elevato rispetto a Comodo e RapidSSL.

Quindi, se desideri proteggere il tuo sito Web e i tuoi sottodomini con la convalida aziendale, devi scegliere Symantec, GeoTrust o Thawte e per la convalida del dominio puoi utilizzare Comodo o RapidSSL. E se desideri installare la sicurezza a più livelli con la valutazione quotidiana delle vulnerabilità, puoi scegliere la soluzione Wildcard di Symantec.


5
Grazie per la risposta, tuttavia non sono d'accordo sul fatto che la quota di mercato implichi fiducia. Comodo può avere la maggiore quota di mercato perché i proprietari di siti Web preferiscono certificati più economici, non perché si fidano di Comodo non più di Symantec. È un bel salto per concludere che Comodo è maggiormente fidato quando la sua quota di mercato è un semplice 3.3%vantaggio di Symantec; inoltre, se una persona vede che un sito utilizza un certificato Verizon, la sua fiducia corrisponderà alla quota di mercato del certificato SSL di Verizon di 0.7%? - No. La convalida aziendale è un bel tocco, tuttavia mi chiedo quale differenza faccia alla persona comune.
user664833

Sono d'accordo con il commento sopra. Comodo è stato violato più di una volta e le loro chiavi di firma sono state rubate. Le trascrizioni degli hacker stanno ancora fluttuando sul web fino ad oggi (cerca ZF0 e Comodo). Erano molto sciatti nella gestione dei loro certificati di firma.
Aaron,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.