Як вирішити, де придбати сертифікат SSL для wildcard?


63

Нещодавно мені потрібно було придбати SSL-сертифікат wildcard (тому що мені потрібно забезпечити ряд субдоменів), і коли я вперше шукав, де його придбати, я був переповнений кількістю варіантів, маркетинговими претензіями та ціновим діапазоном. Я створив список, щоб допомогти мені побачити, що пройшли маркетингові трюки, які більша більшість органів сертифікації (CA) скріплюють на всіх сайтах. Врешті-решт мій особистий висновок полягає в тому, що важливими є лише речі, які мають значення - ціна та приємність веб-сайту CA.

Запитання: Окрім ціни та приємного веб-сайту, чи є щось варте мого врахування у вирішенні питання про те, де придбати сертифікат SSL для wildcard?


3
Одним із критеріїв, який не повинен впливати на ваше рішення, є безпека КС. І важливо зрозуміти, чому. Причина полягає в тому, що будь-який КА, з яким ви не ведете бізнес, може поставити під загрозу вашу безпеку так само легко, як і той, з яким ви робите бізнес. Є два способи погана безпека ЦП може завдати вам шкоди. Якщо вони отримають номер вашої кредитної картки, вони можуть її витікнути (це не відрізняється від будь-якої іншої онлайн-транзакції). І якщо вони роблять щось таке погане, що браузери перестають їм довіряти, вам потрібно отримати новий сертифікат від іншого ЦА за короткий термін.
kasperd

Відповіді:


49

Я вважаю, що стосовно вирішення місця придбання сертифікату SSL, єдиними важливими факторами є вартість SSL сертифікату за перший рік та приємність веб-сайту продавця (тобто досвіду користувача) для придбання та налаштування сертифіката .

Мені відомо про наступне:

  • Претензії про гарантії (наприклад, 10 000 доларів США, 1,25 мільйона доларів США) - це маркетингові вигадки - ці гарантії захищають користувачів певного веб-сайту від можливості, що КА видає сертифікату шахраю (наприклад, фішинг-сайт) і користувач втрачає гроші в результаті ( але запитайте себе: чи хтось витрачає / втрачає $ 10 тис. і більше на вашому шахрайському сайті? о зачекайте, ви не шахрай? немає сенсу.)

  • Необхідно створити приватний ключ 2048-bitCSR ( запит підпису сертифіката ), щоб активувати ваш сертифікат SSL. Відповідно до сучасних стандартів безпеки, використання CSR-кодів із розміром приватного ключа менше 2048 біт не дозволяється. Дізнайтеся більше тут і тут .

  • Вимоги 99+%, 99.3%або 99.9%браузер сумісності / пристрої.

  • Претензії на швидку видачу та просту установку .

  • Приємно мати гарантію повернення грошей (загальні 15 та 30 днів).

Наступний перелік базових цін сертифікатів SSL (не продаж) та органів, що видають сертифікати та торгових посередників, було оновлено 30 травня 2018 року:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Зауважте, що DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity та SSL2BUY - це торгові посередники, а не органи сертифікації.

Namecheap пропонує вибір Comodo / PostiveSSL та Comodo / EssentialSSL (хоча технічної різниці між ними немає, просто брендинг / маркетинг - я попросив про це і Namecheap, і Comodo - тоді як EssentialSSL коштує на кілька доларів більше (100 доларів США проти 94 доларів) ). DNSimple перепродає Comodo's EssentialSSL, який, знову ж таки, технічно ідентичний позитиву SSL Comodo.

Зауважте, що SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap і DNSimple надають не тільки найдешевші символи для символів SSL, але й вони мають найменше маркетингові трюки з усіх перевірених нами сайтів; а у DNSimple, здається, немає ніяких химерних речей. Ось посилання на найдешевші однорічні сертифікати (оскільки я не можу посилатися на них у таблиці вище):

Станом на березень 2018 року Let Encrypt підтримує сертифікати підстановки . DNSimple підтримує сертифікати для шифрування.


1
Подивіться на ціну за приклад - наприклад, я можу мати 100000000000000 серверів і платити моєму ЦА лише 1 ціну. Багато компаній хочуть грошей на кожному сервері!
Арек Б.

1
Можливо, я пропустив це, але я не бачив жодної посилання на ціну за примірник на сайтах CA, які я переглянув. Я розміщую сайт Heroku, де мій додаток працює на декількох диносах ( віртуалізовані контейнери Unix ), а документація про кінцеві точки Heroku SSL нічого не згадує про екземпляри чи диноси, тому я припускаю, що ціна на примірник не відповідає моїм конкретним потребам .. хоча звичайно, інші можуть вважати ваш коментар проникливим. Все одно, дякую!
user664833

2
Ціноутворення на сервері просто не має сенсу. Отримавши сертифікат, ви можете абсолютно безкоштовно його експортувати з комп'ютера та імпортувати на будь-який інший.
Массімо

@Massimo Персерверні ліцензії були досить поширеними. Застосовується так само, як ви застосовуєте стару ліцензію Windows - контракти та систему честі.
ceejayoz

@ceejayoz Добре, я мав на увазі, що немає технічних обмежень щодо встановлення одного і того ж сертифіката на декілька серверів (і справді існують сценарії, коли це вимога, веб-сервери, збалансовані за завантаженням). Звичайно, договори можуть сказати інакше.
Массімо

11

Ще один момент, який слід врахувати, - це перевидання сертифікатів .

Я не дуже розумів, що це означає, поки не з’явилася несерйозна помилка . Я припускав, що це означає, що вони дадуть вам другу копію оригіналу посвідчення, і я задумався, наскільки неорганізованим повинен бути такий сервіс. Але виявляється, що це не означає, що: принаймні деякі постачальники із задоволенням штампуватимуть новий відкритий ключ до тих пір, як це станеться протягом тривалості дії оригінального сертифіката. Я припускаю, що вони потім додають ваш оригінальний сертифікат до якогось CRL, але це добре.

Причини, з якими ви хочете це зробити, - це те, що ви пошкодили або втратили свій оригінальний приватний ключ, або якимись засобами втратили ексклюзивний контроль над цим ключем, і, звичайно, виявлення всесвітньої помилки в OpenSSL, що робить імовірним, що ваш приватний ключ був вилучений ворожою стороною.

Я вважаю це непоганим серцем, і тепер слідкуйте за цим у майбутніх придбаннях сертифікатів.


2

Хоча ціна, мабуть, є ключовим питанням, інші питання - це надійність постачальника , прийняття браузера та, залежно від рівня вашої компетенції, підтримка процесу встановлення (більша проблема, ніж це з'являється, особливо коли речі йдуть не так).

Варто зазначити, що ряд постачальників належить тим самим гравцям вищого класу - наприклад, Thawte і Geotrust, і я вважаю, що Verisign усі належать Symantec - Thawte certs є, однак, набагато дорожче, ніж Geotrust, не викликаючи переконливих результатів причина.

З іншого боку, сертифікат, виданий StartSSL (кого я не стукаю, я вважаю, що їхня модель крута), не так добре підтримується в браузері і не має такого ж рівня авторитету, як великі гравці. Якщо ви хочете замазати "плацебо" безпеки на вашому сайті, іноді варто перейти до більшого гравця - хоча це, мабуть, має значення набагато менше для символів підстановки, але це для EV Certs.

Як зауважив хтось інша, ще одна відмінність може полягати в «черепах мотлоху», що асоціюється з cert - я знаю, Thawte EV Certs мені раніше було доручено отримувати дозволено використовувати лише на одному сервері , тоді як Geotrust certs я пізніше переконали керівництво замінити їх не тільки дешевше, але й не мали цього обмеження - цілком довільне обмеження, накладене Thawte.


4
Довіра постачальників послуг майже безглузда. Якщо у нього є піктограма замка, користувачам все одно. Якщо ви працюєте в компанії Fortune 500 з командою з безпеки, вони можуть вимагати конкретного постачальника, але в іншому випадку ... кого це хвилює? Що стосується StartSSL, вони, мабуть, широко підтримуються: "всі основні браузери включають підтримку StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz

1
Якщо постачальник, який стягує кошти за відкликання у світлі бездушних, і їх хакери не мають значення, а години простою для відновлення цертів не пошкоджують авторитет компанії, тоді Startssl ви правдиві щодо надійності (мені подобається startssl, але ось інша тема). Хоча прийнятність їх браузера дуже висока, вона нижча, ніж інші провайдери - див. Forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo

3
Як ви думаєте, скільки кінцевих користувачів a) перевіряйте, хто видав сертифікат, і b) знаєте про зарядку StartSSL за відкликання Heartbleed? Чорт, я не перевіряю, хто видав SSL. Що вони робили смокче . Кількість людей, яких ви втратите, використовуючи їх сертифікати, ймовірно, це цифри в одних цифрах - це все, що я говорю.
ceejayoz

Зауважте, що Google Chrome більше не буде довіряти StartSSL. Дивіться security.googleblog.com/2016/10/…
sbrattla

@sbrattla yup - звичайно, startssl - це вже не та компанія, якою вона була, коли я писав цей коментар. Wosign придбав його - недбало - у листопаді 2015 р.
Давидго

1

Ви повинні вибрати Wildcard SSL сертифікат виходячи з ваших потреб безпеки.

Перед придбанням Wildcard SSL сертифікату ви повинні знати про декілька факторів, згаданих нижче

  1. Репутація бренду та рівень довіри: Відповідно до нещодавнього опитування W3Techs у органах сертифікації SSL, Comodo обігнав Symantec і став найбільш довіреним КА з 35,4% частки ринку.

  2. Типи Особливості або Wildcard SSL: Органи сертифікації SSL, такі як Symantec, GeoTrust та Thawte, пропонують Wildcard SSL сертифікат з підтвердженням бізнесу. Приваблює більше відвідувачів та збільшує довіру до клієнта. В той час як інші CA, Comodo та RapidSSL пропонують Wildcard SSL лише з підтвердженням домену.

Wildcard SSL Symantec також пропонує щоденну оцінку вразливості, яка сканує кожен піддомен на наявність шкідливих загроз.

У підстановці з підтвердженням бізнесу в полі URL відображається назва організації.

  1. Ціна SSL: Оскільки Symantec пропонує декілька функцій разом із символами wildcard, його ціна висока порівняно з Comodo та RapidSSL.

Отже, якщо ви хочете захистити свій веб-сайт та піддомени валідацією бізнесу, вам слід вибрати Symantec, GeoTrust або Thawte, а для перевірки домену ви можете скористатися Comodo або RapidSSL. А якщо ви хочете встановити багатошарову безпеку з щоденною оцінкою вразливості, можете скористатися Wildcard Solution Symantec.


5
Дякую за вашу відповідь, проте я не згоден, що частка ринку передбачає довіру. Comodo може мати найбільшу частку ринку, оскільки власники веб-сайтів віддають перевагу дешевшим сертифікатам, а не тому, що вони довіряють Comodo більше ніж Symantec. Можна зробити висновок, що Comodo найбільше довіряють, коли його частка на ринку 3.3%випереджає Symantec; Крім того, якщо людина побачить, що сайт використовує сертифікат Verizon, чи відповідає їх довіра частці ринку SSL сертифікатів Verizon 0.7%? - Ні. Валідація бізнесу - це приємний штрих, проте я сумніваюся, яка різниця це має для звичайної людини.
user664833

Я згоден з вищезазначеним коментарем. Комодо вже не раз зламали, і їхні ключі для підписання розкрадалися. Стенограми хакерів і донині пливуть по Інтернету (шукайте ZF0 та Comodo). Вони були дуже неохайні в обробці своїх підписів.
Аарон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.