Quali sono i vantaggi di un certificato SSL più costoso?

Ho confrontato i prezzi di diversi certificati SSL e ho riscontrato un'enorme differenza nei prezzi tra i diversi fornitori.

Se prendiamo http://www.namecheap.com/learn/other-services/ssl-certificates.asp come esempio, quale sarebbe il vantaggio di ottenere il certificato Geotrust per $ 48,88 / anno rispetto all'opzione RapidSSL $ 9,95 / anno ?

Poche cose. In teoria , i fornitori SSL migliori e più costosi dovrebbero convalidare chi sei in qualche modo e garantire la tua identità. Ciò richiede tempo e impegno manuale e quindi costa di più.

La convalida tradizionalmente manuale (utilizzata da VeriSign, Thawte, Entrust) è stata ingombrante, lunga e costosa per il provider SSL e quindi per l'acquirente. La convalida automatizzata (come utilizzata da GeoTrust e GoDaddy) è più veloce e più economica, ma non fornisce il livello di sicurezza previsto dai consumatori che si affidano a SSL - Ad esempio i certificati QuickSSL di GeoTrust convalidano solo il diritto del richiedente a utilizzare un nome di dominio e non la legittimità dell'azienda stessa.

C'è anche un nuovo pazzo tipo di certificato SSL che fa "validazione estesa" ed è molto MOLTO più costoso.

https://www.verisign.com/ssl/ssl-information-center/ev-ssl-certificate/index.html

Un certificato SSL EV offre ai clienti una maggiore sicurezza che stanno interagendo con un sito Web attendibile e che le loro informazioni sono sicure. Un certificato SSL EV attiva i browser Web ad alta sicurezza per visualizzare il nome dell'organizzazione in una barra degli indirizzi verde e mostrare il nome dell'autorità di certificazione che lo ha emesso.

I provider SSL più economici fanno poca o nessuna convalida dell'identità che può o meno interessare a te (o ai tuoi utenti).

Onestamente, quando usiamo SSL è per la crittografia, non per una rete di fiducia.

(Un motivo valido per pagare un certificato SSL più costoso è quando si tratta di un certificato jolly, quindi funziona su tutti *.example.comi siti Web di dominio che potresti avere. I certificati SSL normali sono validi solo per un indirizzo specifico.)

In termini di sicurezza non c'è alcuna differenza.

Quello che compri veramente è la verifica aziendale della certificazione che convince i tuoi clienti a essere affidabile. Questo è il motivo per cui Verisign vende gli stessi servizi per x10 di altri.

Anche nei certificati più costosi esiste un ulteriore livello di verifica (dove è necessario inviare documenti di verifica dell'azienda, c'è un controllo per il proprietario del dominio se le credenziali corrispondono ecc.). E di solito ti danno un banner più elaborato da mettere sul tuo sito web.

Esistono anche i certificati di convalida estesa (EV) in cui la maggior parte dei browser rende la barra degli indirizzi verde e identifica chiaramente il tuo sito Web / azienda.

Aggiungerò solo un commento sui requisiti standard di e-commerce che spesso viene fuori.

Fintanto che un certificato SSL è attuale e almeno 128 bit (e preferisce usare TLSv1.1 che sarà richiesto entro il 2018), allora è accettabile per gli standard PCI-DSS australiani (e-commerce) e la maggior parte degli standard e-commerce altrove, anche se sarebbe necessario verificare con il proprio ente normativo locale.

E, naturalmente, se proviene da una CA attendibile (Versign, Comodo, LetsEncrypt, Cloudflare, CAcert, Starcom, Wosign ecc.) Il browser lo accetta automaticamente senza richiedere conferma.

Non ci sono più differenze tra GeoTrust e RapidSSL perché ci sono scopi comuni per proteggere i dati del tuo sito Web con il certificato SSL.

Ma RapidSSL è per il certificato del sito Web entry-level e GeoTrust è per garantire ai clienti che i loro dati sono al sicuro con il certificato SSL.

Quando lo acquisti dal sito ufficiale è molto costoso, ma se scegli dal rivenditore di ottenere lo stesso certificato SSL @ prezzi molto bassi.