I diversi tipi di certificati SSL sono un po 'una truffa?

39

Sto cercando di ottenere alcuni certificati SSL per i domini per coprire quanto segue:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

I certificati jolly sono troppo costosi, quindi ho intenzione di acquistare un singolo certificato per ogni sottodominio (ho abbastanza indirizzi IP per andare in giro).

La mia domanda è: cosa rende un certificato da $ 10 migliore di un certificato da $ 100?

Prendi, ad esempio, la gamma di prodotti GeoTrust . So cos'è un EV (non ne ho bisogno) e so cos'è un sigillo sicuro (i nostri utenti si fidano già di noi, quindi non ne ho bisogno).

Ma perché dovrei scegliere un QuickSSL per $ 69 quando posso ottenere un RapidSSL per $ 10? L'unica differenza è "Riconoscimento del marchio" (da medio a medio) e assicurazione.

Qualcuno può far luce su ciò che intendono per "Riconoscimento del marchio"? Il nostro sito Web pubblico è già ben attendibile dai nostri utenti e gli altri due sottodomini sono solo per Outlook via Internet (e quindi non verranno visualizzati in un browser).

Rinviata la domanda pertinente da https://serverfault.com/questions/82039/difference-between-ssl-products

https  security-certificate 
Mark Henderson
fonte
1
Se hai acquistato un costoso certificato SSL hai aiutato Shuttleworth ad andare nello spazio. Come può essere una truffa?
4
Ai vecchi tempi di Internet, potrebbe essere stato costoso fornire questi servizi. Hanno detto che stai pagando per il servizio per verificare la tua identità. L'indagine per i certificati non e-commerce nella mia esperienza è banale e spuria. Mi dispiace, disprezzo solo l'intero settore SSL. Vorrei che qualcuno creasse un no profit che avrebbe fornito gli stessi servizi.
Citadelgrad,
1
JasonBirch,
È fondamentalmente come i ragazzi più simpatici della festa che dicono "questo tizio è legittimo" quando un browser chiede loro di te. Paghi perché quei ragazzi carini accettino e parlino molto bene di te. Se vuoi che dicano "questo tipo è TOTALMENTE EPICO" , allora puoi spendere più soldi. Finché è SHA-256 o qualcosa di simile, la convalida non ha importanza. Ci sono forse 0,01% di visitatori che controllano l'autorità di convalida. Tutto ciò che conta per loro è che vedano un lucchetto verde che sia un lucchetto da $ 10 o $ 1000.
Dhaupin,
@citadelgrad, hanno fatto un non profit. Si chiama CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Risposte:

27

"La mia domanda è: cosa rende un certificato da $ 10 migliore di un certificato da $ 100?"

In genere, più costoso è il certificato, più vecchia è la società di certificazione. Poiché l'elenco dei firmatari attendibili viene fornito con il browser, i certificati di aziende più recenti potrebbero non essere considerati attendibili dai browser precedenti.

Ad esempio, forse un certificato da $ 10 non è attendibile da IE5.

Ma questo è tutto.

Thomas Bonini
fonte
8
E il pasticcio confuso che IE5 mostra dopo aver visualizzato qualsiasi sito Web conforme agli standard moderni non è attendibile dall'utente di un tale pezzo di # & * $ :) +1
Tim Post
Inoltre, per alcuni tipi di certificato, la società emittente si impegna maggiormente nella verifica dei dettagli della persona / azienda che lo richiede ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Se il browser mostra che un certificato è EV e l'utente se ne accorge potrebbe avere più fiducia. IMHO non se ne accorgeranno.
paulmorriss,
Hai perso il punto, se un certificato è più costoso, allora sei coperto di più, se il tuo sito Web viene violato, un certificato da 100 $ potrebbe pagarti fino a 1 milione di dollari, mentre come certificato da 10 $ potrebbe non pagarti nulla.
SSpoke
@SSpoke, sarò sorpreso se non ci saranno attriti quando proverai a rivendicare il " $ 1,5 milioni di dollari ". Questi numeri sono solo per i grandi ragazzi, non per l'utente medio. Immagina di avere avuto una violazione e di aver pagato 300.000 utenti, per un totale di 450 miliardi. Siate certi che i vostri utenti non saranno in grado di ottenere 1 milione di dollari ciascuno. Vedi anche termini e condizioni su positivessl.com/ssl-warranty.php
Pacerier
6

L' altro giorno ho chiesto la stessa cosa a DigiCert : perché molti certificati sono molto più economici dei tuoi (~ $ 25 contro ~ $ 100 all'anno)? Ecco la risposta che mi hanno dato (nelle mie parole):

Le altre società verificano solo il tuo nome di dominio (che la persona che ottiene il certificato possiede il nome di dominio) mentre DigiCert (e altri) verificano la società dietro il nome di dominio.

Ciò significa che devono controllare il registro aziendale nel tuo paese per verificare che la tua azienda esista e che tu sia collegato alla società in qualche modo. Questo spesso richiede anche una telefonata e alcuni altri controlli. Senza questo controllo, tutto ciò che serve è un computer per verificare il record whois con le informazioni inserite.

Quindi, nella mia valutazione, se stai per utilizzare il certificato su un sito in cui il cliente paga qualcosa o inserisce le sue informazioni personali, allora un certificato più costoso è meglio. Se stai semplicemente utilizzando il sito internamente (all'interno dell'azienda), probabilmente è sufficiente un certificato più economico.

Darryl Hein
fonte
DigiCert ha un conflitto estremo nell'allerta di interessi (vedi anche security.stackexchange.com/questions/13453/… ). Il personale di supporto sta distorcendo la questione confrontando le altre certificazioni DV della CA con quelle EV. Ma altre CA offrono anche certificati EV a un prezzo molto ridotto dal loro.
Pacerier,
4

"La mia domanda è: cosa rende un certificato da $ 10 migliore di un certificato da $ 100?"

La risposta è nulla Un certificato è un certificato (poiché non ti interessa "Riconoscimento del marchio"), quindi senza pacchetti EV un certificato è solo una merce. Questo spiega abbastanza bene la storia.

Penso, tuttavia, che il riconoscimento del marchio possa essere importante per alcuni utenti, ma se sei sicuro di essere una fonte attendibile, non me ne preoccuperei.

plntxt
fonte
2

C'è anche il problema in cui alcuni browser selezionano molti certificati SSL perfettamente perfetti e li contrassegnano come potenzialmente non sicuri. Ciò è dovuto in parte a ciò che ha detto Darryl (maggiore diligenza da parte del fornitore SSL per confermare chi sei). Non è che la sicurezza stessa sia davvero diversa, è solo destinata a fornire un migliore livello di fiducia.

Ci sono anche cose come la capacità di gestione (posso rilasciare e ri-rilasciare i certificati al contenuto del mio cuore senza indugio, il che è stato molto utile quando i nomi di dominio diventano improvvisamente diversi) e altri vantaggi che possono migliorare la tua esperienza. Ma se la versione da $ 10 fa ciò di cui hai bisogno e ai tuoi clienti non importa da chi proviene il certificato, allora provaci.

Col passare del tempo potresti scoprire che stai cambiando i fornitori semplicemente perché il panorama della tua presenza sul web sta cambiando, quindi considerando che ora prima di iniziare è importante.

Milner
fonte
2

A metà 2015, non ho trovato studi indipendenti, o prove aneddotiche, che i certificati EV aumenterebbero il tasso di conversione o le vendite. L'ho ampliato nella mia risposta ai certificati SSL EV: a qualcuno importa? .

Ciò che sembrò ridurre l'abbandono del carrello furono sigilli e badge di fiducia . Tali sigilli di fiducia arrivano con l'acquisto di un veicolo elettrico. Per inciso, oggi è il 4 luglio e Comodo ha una vendita di certificati EV per $ 100 anziché $ 500, il che ha spinto questa ricerca. Non sono ancora del tutto convinto in un modo o nell'altro.

Dan Dascalescu
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.