Як вирішити, де придбати сертифікат SSL для wildcard?

Нещодавно мені потрібно було придбати SSL-сертифікат wildcard (тому що мені потрібно забезпечити ряд субдоменів), і коли я вперше шукав, де його придбати, я був переповнений кількістю варіантів, маркетинговими претензіями та ціновим діапазоном. Я створив список, щоб допомогти мені побачити, що пройшли маркетингові трюки, які більша більшість органів сертифікації (CA) скріплюють на всіх сайтах. Врешті-решт мій особистий висновок полягає в тому, що важливими є лише речі, які мають значення - ціна та приємність веб-сайту CA.

Запитання: Окрім ціни та приємного веб-сайту, чи є щось варте мого врахування у вирішенні питання про те, де придбати сертифікат SSL для wildcard?

Я вважаю, що стосовно вирішення місця придбання сертифікату SSL, єдиними важливими факторами є вартість SSL сертифікату за перший рік та приємність веб-сайту продавця (тобто досвіду користувача) для придбання та налаштування сертифіката .

Мені відомо про наступне:

• Претензії про гарантії (наприклад, 10 000 доларів США, 1,25 мільйона доларів США) - це маркетингові вигадки - ці гарантії захищають користувачів певного веб-сайту від можливості, що КА видає сертифікату шахраю (наприклад, фішинг-сайт) і користувач втрачає гроші в результаті ( але запитайте себе: чи хтось витрачає / втрачає $ 10 тис. і більше на вашому шахрайському сайті? о зачекайте, ви не шахрай? немає сенсу.)

• Необхідно створити приватний ключ 2048-bitCSR ( запит підпису сертифіката ), щоб активувати ваш сертифікат SSL. Відповідно до сучасних стандартів безпеки, використання CSR-кодів із розміром приватного ключа менше 2048 біт не дозволяється. Дізнайтеся більше тут і тут .

• Вимоги 99+%, 99.3%або 99.9%браузер сумісності / пристрої.

• Претензії на швидку видачу та просту установку .

• Приємно мати гарантію повернення грошей (загальні 15 та 30 днів).

Наступний перелік базових цін сертифікатів SSL (не продаж) та органів, що видають сертифікати та торгових посередників, було оновлено 30 травня 2018 року:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Зауважте, що DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity та SSL2BUY - це торгові посередники, а не органи сертифікації.

Namecheap пропонує вибір Comodo / PostiveSSL та Comodo / EssentialSSL (хоча технічної різниці між ними немає, просто брендинг / маркетинг - я попросив про це і Namecheap, і Comodo - тоді як EssentialSSL коштує на кілька доларів більше (100 доларів США проти 94 доларів) ). DNSimple перепродає Comodo's EssentialSSL, який, знову ж таки, технічно ідентичний позитиву SSL Comodo.

Зауважте, що SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap і DNSimple надають не тільки найдешевші символи для символів SSL, але й вони мають найменше маркетингові трюки з усіх перевірених нами сайтів; а у DNSimple, здається, немає ніяких химерних речей. Ось посилання на найдешевші однорічні сертифікати (оскільки я не можу посилатися на них у таблиці вище):

• SSL2BUY
• CheapSSLShop
• ДешевіSSLбезпека
• sslpoint
• Ім'ячек
• DNSimple

Станом на березень 2018 року Let Encrypt підтримує сертифікати підстановки . DNSimple підтримує сертифікати для шифрування.

Ще один момент, який слід врахувати, - це перевидання сертифікатів .

Я не дуже розумів, що це означає, поки не з’явилася несерйозна помилка . Я припускав, що це означає, що вони дадуть вам другу копію оригіналу посвідчення, і я задумався, наскільки неорганізованим повинен бути такий сервіс. Але виявляється, що це не означає, що: принаймні деякі постачальники із задоволенням штампуватимуть новий відкритий ключ до тих пір, як це станеться протягом тривалості дії оригінального сертифіката. Я припускаю, що вони потім додають ваш оригінальний сертифікат до якогось CRL, але це добре.

Причини, з якими ви хочете це зробити, - це те, що ви пошкодили або втратили свій оригінальний приватний ключ, або якимись засобами втратили ексклюзивний контроль над цим ключем, і, звичайно, виявлення всесвітньої помилки в OpenSSL, що робить імовірним, що ваш приватний ключ був вилучений ворожою стороною.

Я вважаю це непоганим серцем, і тепер слідкуйте за цим у майбутніх придбаннях сертифікатів.

Хоча ціна, мабуть, є ключовим питанням, інші питання - це надійність постачальника , прийняття браузера та, залежно від рівня вашої компетенції, підтримка процесу встановлення (більша проблема, ніж це з'являється, особливо коли речі йдуть не так).

Варто зазначити, що ряд постачальників належить тим самим гравцям вищого класу - наприклад, Thawte і Geotrust, і я вважаю, що Verisign усі належать Symantec - Thawte certs є, однак, набагато дорожче, ніж Geotrust, не викликаючи переконливих результатів причина.

З іншого боку, сертифікат, виданий StartSSL (кого я не стукаю, я вважаю, що їхня модель крута), не так добре підтримується в браузері і не має такого ж рівня авторитету, як великі гравці. Якщо ви хочете замазати "плацебо" безпеки на вашому сайті, іноді варто перейти до більшого гравця - хоча це, мабуть, має значення набагато менше для символів підстановки, але це для EV Certs.

Як зауважив хтось інша, ще одна відмінність може полягати в «черепах мотлоху», що асоціюється з cert - я знаю, Thawte EV Certs мені раніше було доручено отримувати дозволено використовувати лише на одному сервері , тоді як Geotrust certs я пізніше переконали керівництво замінити їх не тільки дешевше, але й не мали цього обмеження - цілком довільне обмеження, накладене Thawte.

Ви повинні вибрати Wildcard SSL сертифікат виходячи з ваших потреб безпеки.

Перед придбанням Wildcard SSL сертифікату ви повинні знати про декілька факторів, згаданих нижче

1. Репутація бренду та рівень довіри: Відповідно до нещодавнього опитування W3Techs у органах сертифікації SSL, Comodo обігнав Symantec і став найбільш довіреним КА з 35,4% частки ринку.

2. Типи Особливості або Wildcard SSL: Органи сертифікації SSL, такі як Symantec, GeoTrust та Thawte, пропонують Wildcard SSL сертифікат з підтвердженням бізнесу. Приваблює більше відвідувачів та збільшує довіру до клієнта. В той час як інші CA, Comodo та RapidSSL пропонують Wildcard SSL лише з підтвердженням домену.

Wildcard SSL Symantec також пропонує щоденну оцінку вразливості, яка сканує кожен піддомен на наявність шкідливих загроз.

У підстановці з підтвердженням бізнесу в полі URL відображається назва організації.

3. Ціна SSL: Оскільки Symantec пропонує декілька функцій разом із символами wildcard, його ціна висока порівняно з Comodo та RapidSSL.

Отже, якщо ви хочете захистити свій веб-сайт та піддомени валідацією бізнесу, вам слід вибрати Symantec, GeoTrust або Thawte, а для перевірки домену ви можете скористатися Comodo або RapidSSL. А якщо ви хочете встановити багатошарову безпеку з щоденною оцінкою вразливості, можете скористатися Wildcard Solution Symantec.