scegliendo il giusto certificato SSL

18

Stiamo cercando di acquistare alcuni certificati SSL per proteggere le pagine di accesso dei siti di e-commerce. Non è necessario garantire l'effettivo processo di pagamento poiché è protetto da una terza parte con il proprio certificato verisign. rapidSSL sembra una buona (ed economica) opzione ma un venditore mi ha detto che sono adatti solo per "siti di test" e mi ha raccomandato di usarne uno che è 4 volte il costo. Qualcuno può dare qualche consiglio su cosa dovremmo cercare e cosa dovremmo considerare?

Grazie.

ssl  ssl-certificate 
robjmills
fonte

Risposte:

17

I certificati sono, indipendentemente da ciò che dicono i venditori, oggettivamente praticamente tutti uguali per quanto riguarda la crittografia. Tutti abilitano la crittografia "abbastanza buona", che dipende in gran parte dalla configurazione dei server Web e in qualche modo dalle capacità del browser. Il divieto degli Stati Uniti di esportare crittografia avanzata è stato revocato alcuni anni fa, quindi oggi quasi tutti i browser supporteranno una crittografia Twofish o AES a 128 bit, se il server lo propone. (Sorprendentemente molti server usano ancora DES a 56 bit, RC4 o altri schemi più deboli, a causa dell'ignoranza del sysadmin o per ridurre il carico della CPU sul server.)

Anche il problema delle lunghe relazioni di fiducia dei certificati concatenate è praticamente scomparso. La maggior parte dei browser oggi dispone di un set abbastanza completo di CA affidabili preinstallate. Apri l'interfaccia utente del tuo browser per visualizzare la tua (Firefox 3: Strumenti> Opzioni> Avanzate> Crittografia> Visualizza certificati).

Di tanto in tanto puoi trovare promozioni in cui i rivenditori offrono certificati Comodo, Digicert o simili per circa 20 USD circa.

Il livello di "fiducia" che il tuo sito ispira nei clienti può essere una considerazione . Probabilmente, un sigillo del sito Verisign e la barra verde di convalida estesa nei browser conformi è meglio di una semplice crittografia a 128 bit con un certificato di GoDaddy. È difficile da dire, dipenderà molto dalla demografia dell'utente, dall'età, dall'alfabetizzazione informatica ecc.

Una cosa: può essere utile mantenere accurate le informazioni DNS Whois, poiché è una parte importante del modo in cui le CA ti verificano prima di emettere un certificato. Immagino che ottenere il tuo certificato da qualcuno con cui stai già facendo affari, come il tuo host web / registrar DNS, sia più facile che essere verificato da Comodo, Thawte ecc.

Quindi la mia proposta è di valutare i tuoi utenti e se un marchio più "affidabile" sul sigillo del sito creerà più vendite. E quindi esegui una delle seguenti operazioni:

  • Ottieni il certificato a 128 bit più economico che puoi da un rivenditore / registrar DNS / chiunque abbia già un account. Forse indagare brevemente su chi firma il certificato Cert e su quale sia la CA principale, ma non farlo sudare a meno che non sia una catena di CA piuttosto oscura.
  • Ottieni un certificato SSL Verisign o simile (ben noto e dannatamente costoso) con un buon valore per il marchio e mostra il suo sigillo del sito in modo prominente. Prendi in considerazione la possibilità di richiedere un certificato di convalida estesa.

I certificati di " Extended Validation " aggiungono un po 'di valore IMHO, perché i browser assicurano visivamente agli utenti che tutto è OK con la barra degli indirizzi verde, il nome dell'azienda prominente ecc. Sfortunatamente, questi certificati sono anche costosi e più fastidiosi per i quali essere convalidati.

Jesper M
fonte
grazie mille, questa è praticamente la decisione che ho preso. Penso che probabilmente avremo un certificato thawte entry-level in quanto hanno un buon compromesso tra buon prezzo e marchio ricongiunto.
robjmills,
Anche se il tuo checkout è ospitato da terze parti, metti la barra verde EV sul tuo sito non appena il cliente mostra un serio interesse ad aprire il portafoglio (aggiungi al carrello, registrati, ecc.) E vedrai il ROI, anche sul certificati EV più costosi, se i tuoi siti ricevono una quantità ragionevole di traffico. Il fattore "Su Internet, nessuno sa che sei (non) un cane" è enorme.
Terence Johnson,
@TerenceJohnson Gestisco un gateway di pagamento e-commerce abbastanza grande con circa 3k pagamenti / giorno. Il mese scorso abbiamo deciso di abbandonare i certificati EV a favore di quelli semplici. A partire da ora, non un singolo pagatore si è lamentato di questo e il traffico non si è ridotto.
kubanczyk,
5

Posso sicuramente capire la tua confusione perché è un po 'un'area confusa. Come altri hanno già detto qui, generalmente un certificato è un certificato e fornisce lo stesso livello di protezione e ha lo stesso aspetto per gli utenti finali. Tuttavia ci sono differenze, soprattutto per quanto riguarda i livelli di verifica.

Livelli di verifica

Esistono tre livelli base di verifica: solo dominio, dominio e azienda, dominio aziendale e identità del rappresentante. Il dominio è in realtà solo un'autenticazione piuttosto debole quando ci pensi, non prova che sei chi dici di essere o che hai il diritto di usare il marchio. Tuttavia, per la maggior parte degli utenti finali non conosceranno la differenza e vedranno l'icona bloccata. Dominio e business sono ciò che viene generalmente fornito e normalmente richiedono qualcosa di banale come una carta di credito aziendale per verificare che tu sia il business in questione.

La verifica estesa è il nuovo standard che richiede ulteriori passaggi da parte della CA per verificare che tu sia effettivamente chi dici di essere e sei l'entità legale autorizzata a negoziare con quel nome. Vedi la voce di wikipedia per maggiori dettagli. In Firefox un certificato EV verrà visualizzato come una casella verde leggermente a sinistra dell'URL stesso con il nome dell'azienda.

indennità

Ogni fornitore SSL fornirà un'assicurazione di indennità diversa nel caso in cui qualcun altro utilizzi fraudolentemente il proprio certificato o il proprio dominio proveniente dalla stessa CA. Penso che sia molto raro che le persone abbiano davvero bisogno di percorrere questa strada

Copertura tra i browser

In genere, tutti i principali provider SSL saranno immediatamente supportati su tutti i principali sistemi operativi. Alcuni potrebbero richiedere di servire un gruppo di catene intermedie, che può essere una seccatura.

Revoca

Non tutte le CA supportano la possibilità di revocare i certificati - sorprendentemente per me quando ho visto l'ultima volta solo una manciata aveva elencato l'URL di revoca dei certificati. Se sei seriamente interessato alla tua sicurezza, scegline uno che abbia un URL di revoca.

Sommario

Le tue esigenze sembrano semplici e basilari, ti consiglierei di acquistare qualcosa di economico. RapidSSL, InstantSSL, GoDaddy o uno qualsiasi degli altri grandi giocatori vanno bene.

hellomynameisjoel
fonte
2

Ho ricevuto un certificato rapidssl che ho acquistato tramite www.rapidsslonline.com. Non ho mai avuto problemi. Ho anche ottenuto un certificato godaddy.com, non ho mai avuto problemi con quello. La maggior parte dei browser riconoscerà entrambi.

Verisign ecc. È solo uno spreco di denaro a meno che non vi sia una necessità specifica di mostrare il logo o qualcosa del genere.

KristoferA
fonte
1
rapidSSL è un singolo certificato radice che dovrebbe essere sufficiente ed ero sul punto di acquistarlo fino a quando il venditore non ha fatto il commento sui siti di prova. Immagino che la domanda sia se un marchio meno riconosciuto avrà problemi negativi
robjmills,
è stato anche raccomandato SSL123 da thawte - è anche un certificato entry level ma ha un marchio molto migliore imo thawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
acconsentendo a scongelarsi, SSL123 è adatto solo per server interni o indirizzi IP
robjmills
1
I certificati RapidSSL più economici si possono trovare da namecheap.com - $ 10 / anno quando si acquistano due o tre anni.
TRS-80,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.