вибір правильного сертифіката SSL

Ми хочемо придбати кілька сертифікатів SSL, щоб захистити сторінки входу на сайти електронної комерції. Захищати фактичний процес оплати не потрібно, оскільки це захищено третьою стороною своїм власним посвідченням verisign. quickSSL виглядає як хороший (і дешевий) варіант, але продавець сказав мені, що вони підходять лише для "тестових сайтів" і рекомендував використовувати той, який в 4 рази перевищує вартість. Чи може хтось дати будь-які рекомендації щодо того, що нам слід шукати і що нам слід врахувати?

Спасибі.

Сертифікати є, незалежно від того, що кажуть люди, що продають, об'єктивно майже все одно, що стосується шифрування. Усі вони дозволяють «досить добре» шифрувати, що дійсно в основному залежить від конфігурації веб-серверів та дещо від можливостей браузера. Заборона США на експорт сильного шифрування була знята кілька років тому, тому сьогодні майже всі браузери підтримуватимуть 128-бітове шифрування Twofish або AES, якщо сервер пропонує це. (Дивно, але багато серверів все ще використовують 56-бітні DES, RC4 або інші слабкіші схеми через незнання sysadmin або зменшення навантаження процесора на сервер.)

Проблема довгих ромашкових зв'язків довірчих сертифікатів також не існує. Більшість браузерів сьогодні має досить повний набір попередньо встановлених надійних ЦС. Відкрийте користувальницький інтерфейс браузера cert, щоб побачити свій (Firefox 3: Інструменти> Опції> Додатково> Шифрування> Переглянути сертифікати).

Час від часу ви можете знайти акції, де торговельні посередники пропонують Comodo, Digicert або подібні сертифікати за ~ 20 USD або близько того.

Рівень «довіри», який ваш сайт викликає у клієнтів, може враховувати . Можливо, печать сайту Verisign та зелена панель розширеної перевірки в сумісних браузерах краще, ніж просте 128-бітове шифрування із сертифікатом від GoDaddy. Важко сказати, це буде багато залежати від демографіки вашого користувача, віку, комп’ютерної грамотності тощо.

Одне: може бути корисним збереження інформації вашої DNS Whois точною, оскільки це важлива частина того, як ЦП перевіряють вас перед тим, як видавати сертифікат. Я б міг уявити, що отримати свій сертифікат від того, з ким ви вже ведете бізнес, наприклад, від вашого веб-хостингу / реєстратора DNS, простіше, ніж перевірити Comodo, Thawte тощо.

Тож моя пропозиція полягає в оцінці ваших користувачів, а чи більш «надійне» брендування на печатці сайту призведе до збільшення продажів. А потім виконайте одне з наступних дій:

• Отримати найдешевший 128-бітний сертифікат, який ви можете отримати від продавця / реєстратора DNS / того, у кого вже є обліковий запис. Можливо, коротко вивчіть, хто підписує Cert, і що таке кореневий CA, але не потійте його, якщо це не дуже незрозумілий ланцюжок CA.
• Отримайте Verisign або подібний добре відомий (і криваво дорогий) сертифікат SSL з хорошою цінністю бренду, і покажіть їх печаткою на сайті. Подумайте про розширену перевірку валідації.

Сертифікати " Розширена валідація " додають певної цінності IMHO, оскільки браузери візуально запевняють користувачів, що все в порядку із зеленою адресною смужкою, видною назвою компанії тощо. На жаль, ці сертифікати також дорогі та дратують отримати перевірку.

Я точно можу зрозуміти вашу плутанину, тому що це трохи заплутана область. Як вже тут говорили інші, як правило, сертифікат - це сертифікат, який забезпечує той самий рівень захисту і виглядає таким самим для кінцевих користувачів. Однак існують відмінності, переважно щодо рівнів верифікації.

Рівні перевірки

Існує три основні рівні перевірки: лише домен, домен і бізнес, і доменний бізнес та особистість представника. Тільки домен насправді є досить слабкою аутентифікацією, коли ви думаєте про це, це не підтверджує, що ви є тим, ким ви говорите, що ви є чи що маєте право використовувати бренд. Однак для більшості кінцевих користувачів вони не знають різниці, і вони побачать піктограму заблокованих. Домен та бізнес - це те, що зазвичай надається, і вони зазвичай вимагають чогось тривіального, як корпоративна кредитна картка, щоб підтвердити, що ви є бізнесом.

Розширена перевірка - це новий стандарт, який вимагає додаткових кроків з боку CA, щоб переконатися, що ви насправді є тим, ким ви є, і є юридичною особою, дозволеній торгувати під цим найменуванням. Докладніше див. У Вікіпедії . У Firefox сертифікат EV відображатиметься як зелене поле трохи зліва від самої URL-адреси із назвою компанії.

Контрибуція

Кожен постачальник SSL надає різні страхові виплати у випадку, якщо ви хтось іншим шахрайськом або використає ваш сертифікат або ваш домен, що надходить із того ж CA. Думаю, дуже рідко, коли люди насправді потребують цього шляху

Покриття у веб-переглядачах

Зазвичай всі основні постачальники SSL будуть одразу підтримуватись у всіх основних ОС без використання. Деякі можуть вимагати, щоб ви обслуговували проміжний ланцюжок, який може бути клопотом.

Скасування

Не всі ЦА підтримують можливість відкликати сертифікати - що дивно для мене, коли я востаннє переглянув це, лише у кількох вказаних URL-адрес відкликання сертифікатів. Якщо ви серйозно ставитеся до безпеки, виберіть ту, яка має URL-адресу відкликання.

Підсумок

Ваші потреби звучать просто і просто, я б рекомендував вам придбати щось дешеве. RapidSSL, InstantSSL, GoDaddy або будь-який з інших великих гравців все добре.

У мене з'явився швидкий сертифікат, який я купив через www.rapidsslonline.com. Ніколи з цим не було проблем. Також отримав сертифікат godaddy.com, з цим ніколи не було проблем. Більшість браузерів розпізнає обидва.

Verisign тощо - це лише витрата грошей, якщо немає конкретної потреби в логотипі Verisign або чогось іншого.