Come decidere dove acquistare un certificato SSL jolly?

Di recente ho dovuto acquistare un certificato SSL con caratteri jolly (perché ho bisogno di proteggere un numero di sottodomini) e quando ho cercato per la prima volta dove acquistarne uno, sono stato sopraffatto dal numero di scelte, richieste di marketing e fascia di prezzo. Ho creato un elenco per aiutarmi a vedere superato gli espedienti di marketing che la maggior parte delle autorità di certificazione (CA) intonaca in tutti i loro siti. Alla fine la mia conclusione personale è che praticamente le uniche cose che contano sono il prezzo e la piacevolezza del sito web della CA.

Domanda: Oltre al prezzo e ad un bel sito Web, c'è qualcosa di degno della mia considerazione nel decidere dove acquistare un certificato SSL jolly?

Credo che per quanto riguarda la decisione su dove acquistare un certificato SSL con caratteri jolly, gli unici fattori che contano sono il costo del primo anno di un certificato SSL e la piacevolezza del sito Web del venditore (ovvero l'esperienza dell'utente) per l'acquisto e l'impostazione del certificato .

Sono a conoscenza di quanto segue:

• I reclami relativi alle garanzie (ad esempio $ 10K, $ 1,25 milioni) sono espedienti di marketing : queste garanzie proteggono gli utenti di un determinato sito Web dalla possibilità che la CA emetta un certificato a un truffatore (ad esempio un sito di phishing) e di conseguenza l'utente perde denaro ( ma chiediti: qualcuno spende / perde $ 10.000 o più sul tuo sito fraudolento? oh aspetta, non sei un truffatore? inutile.)

• È necessario generare una chiave privata 2048-bitCSR ( richiesta di firma del certificato ) per attivare il certificato SSL. Secondo i moderni standard di sicurezza non è consentito l'uso di codici CSR con dimensioni della chiave privata inferiori a 2048 bit. Ulteriori informazioni qui e qui .

• Rivendicazioni di 99+%, 99.3%o 99.9%compatibilità browser / dispositivo.

• Reclami di rapida emissione e facile installazione .

• È bello avere una garanzia di soddisfazione soddisfatti o rimborsati (15 e 30 giorni sono comuni).

Il seguente elenco di prezzi base certificati SSL con caratteri jolly (non vendite) e autorità di emissione e rivenditori è stato aggiornato il 30 maggio 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Nota che DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity e SSL2BUY sono rivenditori, non autorità di certificazione.

Namecheap offre una scelta di Comodo / PostiveSSL e Comodo / EssentialSSL (anche se non c'è alcuna differenza tecnica tra i due, solo branding / marketing - ho chiesto a Namecheap e Comodo di questo - mentre EssentialSSL costa qualche dollaro in più ($ 100 USD contro $ 94 USD) ). DNSimple rivende EssentialSSL di Comodo, che, di nuovo, è tecnicamente identico a PositiveSSL di Comodo.

Si noti che SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap e DNSimple forniscono non solo i certificati SSL con caratteri jolly più economici, ma hanno anche il minimo trucco di marketing di tutti i siti che ho recensito; e DNSimple sembra non avere cose ingannevoli di sorta. Ecco i link ai certificati 1 anno più economici (dato che non riesco a collegarli nella tabella sopra):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

A partire da marzo 2018 Let's Encrypt supporta i certificati con caratteri jolly . DNSimple supporta Let's Encrypt certificati.

Un altro punto da considerare è la riemissione dei certificati .

Non ho davvero capito cosa significasse fino a quando non è arrivato l'insetto di cuore . Immaginavo che ciò significasse che ti avrebbero dato una seconda copia del tuo certificato originale e mi chiedevo quanto uno dovesse essere disorganizzato per aver bisogno di quel servizio. Ma sembra che ciò non significhi questo: almeno alcuni venditori timbrano felicemente una nuova chiave pubblica fintanto che accade durante la durata della validità del certificato originale. Presumo che quindi aggiungano il tuo certificato originale ad alcuni CRL, ma è una buona cosa.

Le ragioni per cui vorresti farlo sono che hai corrotto o perso la tua chiave privata originale, o in qualche modo hai perso il controllo esclusivo di quella chiave, e ovviamente la scoperta di un bug mondiale in OpenSSL che rende probabile che la tua privata la chiave è stata estratta da una parte ostile.

Dopo il cuore, lo considero una cosa decisamente positiva e ora lo tengo d'occhio nei futuri acquisti di certificati.

Sebbene il prezzo sia probabilmente un problema chiave, gli altri problemi sono la credibilità del provider , l' accettazione del browser e, a seconda del livello di competenza, il supporto per il processo di installazione (un problema più grande di quanto sembri, specialmente quando qualcosa va storto).

Vale la pena notare che un certo numero di fornitori sono di proprietà degli stessi giocatori di fascia alta - ad esempio Thawte e Geotrust e credo che Verisign siano tutti di proprietà di Symantec - I certificati Thawte sono, tuttavia, molto, molto più costosi di Geotrust per non convincere Motivo.

Dall'altro lato, un certificato rilasciato da StartSSL (che non sto bussando, penso che il loro modello sia interessante), non è ben supportato nel browser e non ha lo stesso livello di credibilità dei grandi giocatori. Se vuoi intonacare "placebo di sicurezza" sul tuo sito, a volte vale la pena andare a un giocatore più grande - anche se questo probabilmente conta molto meno per i certificati con caratteri jolly, quindi per i certificati EV.

Come ha sottolineato qualcun altro, un'altra differenza potrebbe essere il "coccio di spazzatura" che è associato al certificato: so che il Thawte EV Certs mi era stato precedentemente chiesto di ottenere l'uso solo su un singolo server , mentre il Geotrust lo cercherò in seguito la direzione persuasa a sostituirli non era solo più economica ma non aveva questa limitazione - una limitazione del tutto arbitraria imposta da Thawte.

È necessario selezionare il certificato SSL Wildcard in base alle proprie esigenze di sicurezza.

Prima di acquistare il certificato SSL Wildcard è necessario conoscere alcuni dei fattori indicati di seguito

1. Reputazione del marchio e livello di fiducia: secondo il recente sondaggio di W3Tech sulle autorità di certificazione SSL, Comodo ha superato Symantec e diventa la CA più affidabile con una quota di mercato del 35,4%.

2. Tipi Funzionalità o Wildcard SSL: le autorità di certificazione SSL come Symantec, GeoTrust e Thawte offrono il certificato Wildcard SSL con convalida aziendale. Ciò attira più visitatori e aumenta anche il fattore di fiducia del cliente. Mentre altre CA, Comodo e RapidSSL offrono Wildcard SSL solo con la convalida del dominio.

Wildcard SSL di Symantec fornisce anche una valutazione quotidiana delle vulnerabilità che esegue la scansione di ogni singolo sottodominio dalle minacce dannose.

Il carattere jolly con convalida aziendale visualizza il nome dell'organizzazione nel campo URL.

3. Prezzo SSL: poiché Symantec offre molteplici funzionalità insieme a caratteri jolly, il suo prezzo è elevato rispetto a Comodo e RapidSSL.

Quindi, se desideri proteggere il tuo sito Web e i tuoi sottodomini con la convalida aziendale, devi scegliere Symantec, GeoTrust o Thawte e per la convalida del dominio puoi utilizzare Comodo o RapidSSL. E se desideri installare la sicurezza a più livelli con la valutazione quotidiana delle vulnerabilità, puoi scegliere la soluzione Wildcard di Symantec.