Де я можу придбати дійсний сертифікат SSL? [зачинено]


252

Мені потрібно мати дійсний сертифікат SSL, під дійсним я маю на увазі, що не підписався. Я не хочу, щоб мої клієнти мали справу з "винятком".

Скільки це коштує? Я трохи загубився, тому що перевірив Verisign, і це коштує близько ~ 1000 $, тоді як я можу знайти інших від 30 $.

Будь-які ідеї? До речі, зараз я перебуваю у Франції, якщо це має значення.


81
Це дивовижне питання. Хоча не точно програмування, воно дуже близьке до програмування.
user4951

1
@JimThio, Тоді проголосуй за повторне відкриття.
Pacerier

3
@JimThio Це не що інше, як програмування, це справді дивно сказати. Це стосується деяких програмістів, але це не має значення для Stack Overflow. Це питання, безумовно, має бути на одному з інших сайтів Stack Exchange, наприклад, для веб-майстрів або помилок сервера.
Thor84no

15
Смішно, що цю посаду закрили! Це одна з головних больових точок програмістів.
Хаджат

2
Чи міг модератор перенести це на веб-майстри.stackexchange.com?
Адам

Відповіді:


136

Значення сертифіката здебільшого випливає з довіри користувачів Інтернету до емітента сертифіката. З цією метою Verisign важко перемогти. Сертифікат повідомляє клієнту, що ви є тим, ким ви говорите, що є, а емітент підтвердив, що це правда.

Ви можете отримати безкоштовний сертифікат SSL, підписаний, наприклад, StartSSL . Це покращення щодо самопідписаних сертифікатів, оскільки кінцеві користувачі перестануть отримувати попереджувальні спливаючі вікна, що інформують їх про підозрілий сертифікат щодо вашого завершення. Однак панель браузера не стане зеленою під час спілкування з вашим сайтом через https, тому це рішення не є ідеальним.

Найдешевший сертифікат SSL, який стане смужкою зеленим, обійдеться вам у кілька сотень доларів, і вам потрібно буде пройти процес доведення особи своєї компанії емітенту сертифікату, подавши відповідні документи.


2
Я щойно отримав два сертифікати від StartSSL. Один показує блокнот у Safari (інший, як не дивно), і вони обоє стають зеленою смужкою в Chrome. Чи змінився рівень їх довіри після цієї посади?
wjl

2
Я завантажив starttl cert, і він працював з хромом, однак у Firefox я отримував повідомлення "Цей сайт не довіряється". Я зрозумів, що вам потрібен проміжний сертифікат. Встановлюючи starttl cert, переконайтеся, що виконайте наступні кроки: startssl.com/?app=20 (для мене я вибрав nginx), переконайтеся, що ви дотримуєтесь частини про проміжну програму cert. Також ви можете двічі перевірити проблеми з cert тут: sslshopper.com/ssl-checker.html , що мені дуже допомогло.
Чейз Робертс

5
Сертифікати StartSSL набагато кращі, ніж сертифіковані сертифікати, оскільки вони не змушують браузера повідомляти про помилки безпеки.
jcoffland

3
@dasblinkenlight з точки зору зручності використання дуже важливо, щоб у веб-переглядачі не з’являлися страшні попередження. Що стосується цінності безпеки, то сертифікати CA StartCom знаходяться у веб-переглядачі користувача, що захищає від атак людини в середині. Самопідписані серти повністю відкриті для таких атак. У інфраструктурі SSL є багато вразливих місць, але сертифікати з ЦА, що постачаються разом із браузером, є набагато безпечнішими.
jcoffland

6
@dasblinkenlight, Встановлення довіри не є основною метою підтримки SSL. Основна мета - отримати ваш трафік правдиво зашифрованим власником доменного імені , таким чином, що MITM, провайдери послуг і те, що не може нюхати ваш трафік. Це не має нічого спільного з компаніями. Зрозуміло, для фірм, що займаються дьогтем та мінометом, які не живуть в Інтернеті, "встановлення довіри" - це ще одна річ, яку SSL робить.
Pacerier

125

Давайте шифруємо - це безкоштовний, автоматизований та відкритий сертифікатний орган, створений групою досліджень безпеки в Інтернеті (ISRG). Його спонсорують відомі організації, такі як Mozilla, Cisco або Google Chrome. Всі сучасні браузери сумісні та довіряють Let's Encrypt.

Всі сертифікати безкоштовні ( навіть сертифікати простий знак )! З міркувань безпеки термін дії сертифікатів закінчується досить швидко (через 90 днів). З цієї причини рекомендується встановити клієнт ACME, який буде обробляти автоматичне оновлення сертифікатів.

Для встановлення сертифіката Let Encrypt існує багато клієнтів:

Давайте Encrypt використовує протокол ACME для підтвердження того, що ви керуєте заданим доменним іменем та для видачі вам сертифіката. Щоб отримати сертифікат Let’s Encrypt, вам потрібно вибрати частину клієнтського програмного забезпечення ACME. - https://letsencrypt.org/docs/client-options/


5
Я б хотів, щоб у них була підтримка IIS та Windows! :(
Хаджат

Чи можете ви використовувати шифруючий сертифікат, давайте хостинг на іншому сервері? Вони сказали мені, що всі їхні безкоштовні сертифікати надходять із CSR від їх хост-провайдера, тому вони марні на інших серверах.
FrenkyB

@FrenkyB Пошук letsencrypt і ручного режиму.
Олаф Дієше

1
@Hajjat ​​Дивіться letsencrypt.org/docs/client-options , також є посилання на клієнтів Windows.
Олаф Дієш

Майте на увазі, що не всі клієнти (як правило, старіші версії платформ, наприклад, Windows XP, більш ранні версії Java) можуть довіряти Lets Encrypt, тому спочатку перевірте, чи встановлюєте ви в застарілому налаштуванні. Дивіться letsencrypt.org/docs/certificate-compatibility
Дан Гравелл

87

Ви справді задаєте тут кілька питань:

1) Чому ціна SSL сертифікатів так сильно відрізняється

2) Де я можу отримати хороші, дешеві сертифікати SSL?

Перше питання хороше. Наприклад, важливий тип сертифікату SSL, який ви купуєте. Багато сертифікатів SSL підтверджено лише для домену - тобто компанія, яка видає сертифікат, підтверджує лише те, що ви є власником домену. Вони не підтверджують вашу особу, тому люди, які відвідують ваш сайт, можуть знати, що домен має сертифікат SSL, але це не означає, що, наприклад, особа, яка переслідує веб-сайт, не є шахраєм чи фішером. Ось чому рішення Verisign коштує набагато дорожче - ви отримуєте сертифікат, який не тільки захищає ваш сайт, але і підтверджує особу власника сайту (ну, це претензія).

Більше про цю тему ви можете прочитати тут

Що стосується вашого другого питання, я особисто можу порекомендувати RapidSSL . Я раніше купував у них кілька сертифікатів, і вони, ну, швидкі. Однак завжди слід спочатку зробити своє дослідження. Компанія, що базується у Франції, може бути кращою для вас, оскільки ви можете отримати підтримку в місцеві години тощо.


11
чи швидке перетворить ваш адресний рядок зеленим?
chovy

2
Ви посилаєтесь на "розширений сертифікат перевірки". Дивіться тут en.wikipedia.org/wiki/Extended_Validation_Certificate
Josh Stuart

1
PS, я не думаю, що у Rapidssl є EV certs, але я можу помилятися
Josh Stuart

1
Зараз у Chrome я отримую попереджувальну сторінку про ненадійний сертифікат від RapidSSL.
NealJMD

1
@dash, Ей, коли ти щось рекомендуєш, завжди включай вартість цього.
Pacerier
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.