Вопрос: Как решить, где купить сертификат SSL подстановки?


Недавно мне нужно было приобрести подстановочный SSL-сертификат (потому что мне нужно защитить несколько поддоменов), и когда я сначала искал, где его купить, я был поражен количеством вариантов, маркетинговых требований и ценового диапазона. Я создал список, который поможет мне увидеть, как прошли маркетинговые трюки, которые большее большинство (CA) штукатурки на всех своих сайтах. В конце концов, мой личный вывод состоит в том, что в значительной степени единственное, что имеет значение, - это цена и приятность веб-сайта CA.

Вопрос: Помимо цены и приятного веб-сайта, есть ли что-нибудь достойное моего рассмотрения при принятии решения о покупке сертификата SSL подстановки?


62
2018-05-28 20:32


Источник


Один критерий, который должен не Ваше решение - это безопасность ЦС. И важно понять, почему. Причина в том, что любой CA, с которым вы не работаете, может скомпрометировать вашу безопасность так же легко, как и тот, с которым вы работаете. Существует два способа плохого обеспечения безопасности CA может нанести вам вред. Если они получат номер вашей кредитной карты, они могут просочиться (это не отличается от любой другой онлайн-транзакции). И если они делают что-то настолько плохое, что браузеры перестают доверять им, вам нужно получить новый сертификат из другого ЦС в кратчайшие сроки. - kasperd


Ответы:


Я считаю, что в отношении решения о покупке сертификата SSL подстановочного знака единственными факторами, которые имеют значение, являются стоимость сертификата SSL за первый год и приятность веб-сайта продавца (то есть пользовательский опыт) для покупки и настройки сертификата ,

Я знаю следующее:

  • Претензии о гарантиях (например, 10 тыс. Долл. США, 1,25 млн. Долл. США) являются маркетинговыми трюками - эти гарантии защищают пользователей данного веб-сайта от возможности того, что CA выдает сертификат мошеннику (например, сайт фишинга), и пользователь теряет деньги в результате (но спросите себя: кто-то тратит / теряет $ 10 тыс. или более на вашем мошенническом сайте? О, подождите, вы не мошенник? Нет смысла.)

  • Необходимо создать 2048-bit CSR (запрос на подпись сертификата), чтобы активировать ваш SSL-сертификат. Согласно современным стандартам безопасности использование CSR-кодов с закрытым ключом размером менее 2048 бит не допускается. Выучить больше Вот а также Вот,

  • Претензии 99+%, 99.3%, или 99.9% совместимость с браузером / устройством.

  • Претензии быстрый выпуск и простая установка,

  • Приятно иметь гарантию удовлетворения возврата денег (обычно 15 и 30 дней).

Следующий список цен SSL-сертификата подстановочного знака и издателей и реселлеров был обновлен 30 мая 2018 года:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
   $42 | SSL2BUY / AlphaSSL *
   $70 | CheapSSLShop / Comodo (PositiveSSL) *
   $73 | CheapSSLSecurity / Comodo (PositiveSSL) *
   $89 | sslpoint / Comodo (PositiveSSL) *
   $94 | Namecheap / Comodo (PositiveSSL) * (Can$122)
  $100 | DNSimple / Comodo (EssentialSSL) *
       |
  $150 | AlphaSSL / GlobalSign
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Обратите внимание, что DNSimple, Namecheap, CheapSSLSecurity, CheapSSLShop, SSL2BUY и sslpoint являются реселлерами, а не центрами сертификации.

Namecheap предлагает выбор Comodo / PostiveSSL и Comodo / EssentialSSL (хотя между ними нет технической разницы, просто брендинг / маркетинг - я спросил об этом как Namecheap и Comodo, тогда как EssentialSSL стоит еще несколько долларов (100 долларов США за 94 доллара США) ). DNSimple перепродает EssentialSSL от Comodo, что, опять же, технически идентично PosodSSL от Comodo.

Обратите внимание, что SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap и DNSimple предоставляют не только самые дешевые SSL-сертификаты подстановочных знаков, но также имеют наименьшие маркетинговые трюки всех сайтов, которые я просмотрел; и DNSimple, похоже, не имеет ничего общего. Вот ссылки на самые дешевые 1-летние сертификаты (поскольку я не могу ссылаться на них в таблице выше):

По состоянию на март 2018 года Давайте зашифровать опоры подстановочные сертификаты,


48
2018-05-28 20:32



Посмотрите цену за экземпляр - например. Я могу иметь 100000000000000 серверов и платить за мой ЦС только 1 цену. Многие ЦА хотят деньги для каждого сервера! - Arek B.
Возможно, я пропустил это, но я не видел никаких ссылок на цена за экземпляр на сайтах СА, на которые я смотрел. Я размещаю на Heroku, где мое приложение работает на нескольких динамиках (виртуализированные контейнеры Unix), а также Документация по SSL-протоколу Heroku ничего не упоминает о экземплярах или динамиках - так что я полагаю цена на один экземпляр не относится к моим конкретным потребностям .. хотя, конечно, другие могут найти ваш комментарий проницательным. Спасибо, в любом случае! - user664833
Цена на сервер просто не имеет никакого смысла. После того, как у вас есть сертификат, вы можете бесплатно экспортировать его с компьютера и импортировать его на любой другой. - Massimo
Лицензии @Massimo для серверов были довольно распространены. Принудительно, как если бы вы применяли более старую лицензию Windows - контракты и систему чести. - ceejayoz
@ceejayoz Хорошо, я имел в виду, что нет технический ограничения на установку одного и того же сертификата на нескольких серверах (и действительно есть сценарии, где это требование, т. е. балансированные по нагрузке веб-серверы). Конечно, договоры могут говорить иначе. - Massimo


Еще один момент, который следует рассмотреть переиздание сертификатов,

Я действительно не понимал, что это значит до тех пор, пока ошибка в сердце Пришли вместе. Я предположил, что это означало, что они предоставят вам вторую копию вашего оригинального сертификата, и я подумал, как дезорганизованному нужно быть этим сервисом. Но выясняется, что это не означает, что: по крайней мере некоторые вендоры с радостью новый открытый ключ если это происходит в течение срока действия оригинального сертификата. Я предполагаю, что они добавят ваш оригинальный сертификат в какой-то CRL, но это хорошо.

Причины, по которым вы хотели бы сделать это, это то, что вы испортили или потеряли свой первоначальный закрытый ключ или каким-то образом потеряли исключительный контроль над этим ключом и, конечно же, обнаружили глобальную ошибку в OpenSSL, которая делает вероятным, что ваш частный ключ был извлечен враждебной стороной.

В последующем я рассматриваю это как определенную хорошую вещь и теперь слежу за ней в будущих покупках сертификатов.


11
2017-08-07 06:41





Хотя цена, вероятно, является ключевым вопросом, другие проблемы - это доверие к провайдеру, прием браузера и, в зависимости от вашего уровня компетентности, поддержка процесса установки (большая проблема, чем кажется, особенно когда материал идет не так).

Стоит отметить, что ряд провайдеров принадлежат тем же самым топ-игрокам - например, Thawte и Geotrust, и я считаю, что Verisign принадлежат Symantec - сертификаты Thawte, однако, намного дороже, чем Geotrust, без каких-либо убедительных причина.

С другой стороны, сертификат, выпущенный StartSSL (который я не стучаю, я думаю, что их модель крутая), не так хорошо поддерживается в браузере и не имеет такого же уровня доверия, как крупные игроки. Если вы хотите наложить пластырь безопасности на свой сайт, иногда стоит пойти к более крупному игроку, хотя это, вероятно, гораздо меньше для подстановочных сертификатов, чем для сертификатов EV.

Как заметил кто-то другой, другой отличительной чертой может быть «куча мусора», связанная с сертификатом - я знаю, что сертификаты Thawte EV Certified, которые мне ранее давали указание разрешить использовать только на одиночный сервер, в то время как сертификаты Geotrust, которые я позже убедил руководство заменить на них, были не только дешевле, но и не имели этого ограничения - совершенно произвольное ограничение, наложенное Thawte.


2
2018-05-30 23:52



Доверие к провайдеру довольно бессмысленно. Если у пользователя значок значка замка не волнует. Если вы работаете с компанией Fortune 500 с командой безопасности, они могут потребовать определенного поставщика, но в противном случае ... кто это волнует? Что касается StartSSL, они, как представляется, широко поддерживаются: «все основные браузеры включают поддержку StartSSL» - en.wikipedia.org/wiki/StartCom - ceejayoz
Если провайдер, который взимает плату за отмену в свете инфарктов и их взломать, не имеет никакого значения, а часы простоя для восстановления сертификатов не наносят ущерба авторитету компаний, а затем Startssl вы правильно относитесь к достоверности (мне нравится startssl, но это другая тема). В то время как их приемник браузера очень высок, он ниже других поставщиков - см. forum.startcom.org/viewtopic.php?f=15&t=1802 - davidgo
Сколько конечных пользователей вы думаете: а) проверить, кто выдал сертификат, и b) знать о ставке StartSSL для отзыва «Битвы»? Ад, я не проверяйте, кто выдал SSL. Что они сделали отстой, Количество людей, которых вы потеряете, используя свои сертификаты, вероятно, цифры в одиночных цифрах - это все, что я говорю. - ceejayoz
Обратите внимание, что StartSSL больше не будет доверять Google Chrome. Видеть security.googleblog.com/2016/10/... - sbrattla
@sbrattla yup - of-course, startssl больше не является компанией, когда я написал этот комментарий. Wosign приобрел его - украдкой - в ноябре 2015 года. - davidgo


Вы должны выбрать сертификат подстановочного SSL, исходя из ваших потребностей в безопасности.

Перед приобретением SSL-сертификата Wildcard вы должны знать о нескольких факторах, упомянутых ниже

  1. Репутация и доверие бренда: По последним данным опрос W3Techs на серверах SSL-сертификатов Comodo обогнал Symantec и стал самым доверенным ЦС с долей рынка 35,4%.

  2. Типы функций или подстановочный SSL-код: Власти SSL-сертификатов, такие как Symantec, GeoTrust и Thawte, предлагают SSL-сертификат Wildcard с проверкой бизнеса. Привлекает больше посетителей и увеличивает коэффициент доверия клиентов. В то время как другие CA, Comodo и RapidSSL предлагают подстановочный SSL только с проверкой домена.

Symantec Wildcard SSL также предлагает ежедневную оценку уязвимостей, которая сканирует каждый отдельный поддомен от вредоносных угроз.

Подстановочный знак с проверкой бизнеса отображает название организации в поле URL.

  1. SSL Цена: Поскольку Symantec предлагает несколько функций наряду с подстановочными знаками, его цена высока по сравнению с Comodo и RapidSSL.

Итак, если вы хотите защитить свой веб-сайт и поддомены с помощью проверки бизнеса, вам нужно выбрать Symantec, GeoTrust или Thawte, а для проверки домена вы можете пойти с Comodo или RapidSSL. И если вы хотите установить многоуровневую защиту с ежедневной оценкой уязвимости, вы можете пойти с решением Symantec Wildcard.


1
2018-05-07 10:00



Спасибо за ваш ответ, однако я не согласен с тем, что доля рынка подразумевает доверие. У Comodo может быть самая большая доля на рынке, потому что владельцы веб-сайтов предпочитают более дешевые сертификаты, а не потому, что они доверяют Comodo больше, чем Symantec. Это довольно скачок к выводу, что Comodo больше всего доверяют, когда его доля на рынке - всего лишь 3.3% впереди Symantec; также, если человек видит, что сайт использует сертификат Verizon, будет ли их доверие соответствовать доли рынка SSL-сертификатов Verizon 0.7%? - Нет. Валидация бизнеса - это приятное прикосновение, однако я сомневаюсь, какая разница для обычного человека. - user664833
Я согласен с вышеуказанным комментарием. Comodo был взломан более одного раза, и их подписывающие ключи были похищены. Транскрипты от хакеров по-прежнему плавают в Интернете по сей день (ищите ZF0 и Comodo). Они были очень неаккуратными в обработке своих подписей. - Aaron