Как решить, где купить подстановочный SSL-сертификат?

63

Недавно мне нужно было приобрести SSL-сертификат с подстановочными знаками (потому что мне нужно защитить несколько поддоменов), и когда я впервые искал, где купить его, я был ошеломлен количеством вариантов, заявками на маркетинг и ценовым диапазоном. Я создал список, чтобы помочь мне увидеть пропущенные маркетинговые уловки, которые подавляющее большинство центров сертификации (CA) распространяют по всем своим сайтам. В конце концов, мой личный вывод заключается в том, что в основном важны только цена и приятность веб-сайта CA.

Вопрос: Помимо цены и хорошего веб-сайта, есть ли что-то, что заслуживает моего внимания при принятии решения о том, где купить SSL-сертификат с подстановочными знаками?

user664833
источник
3
Одним из критериев, который не должен определять ваше решение, является безопасность CA. И важно понять почему. Причина в том, что любой ЦС, с которым вы не ведете бизнес, может поставить под угрозу вашу безопасность так же легко, как и тот, с которым вы ведете бизнес. Есть два способа, которыми плохая безопасность CA может нанести вам вред. Если они получат номер вашей кредитной карты, они могут утечь его (это не отличается от любой другой онлайн-транзакции). И если они делают что-то настолько плохое, что браузеры перестают им доверять, вам нужно в короткие сроки получить новый сертификат от другого ЦС.
Касперд

Ответы:

49

Я полагаю, что при принятии решения о том, где приобретать SSL-сертификат с подстановочными знаками, важными являются только стоимость SSL-сертификата в течение первого года и приятность веб-сайта продавца (т. Е. Пользовательского опыта) для покупки и настройки сертификата. ,

Я знаю следующее:

  • Требования о гарантиях (например, 10 000 долл. США, 1,25 млн. Долл. США) являются маркетинговыми уловками - эти гарантии защищают пользователей данного веб-сайта от возможности того, что ЦС выдаст сертификат мошеннику (например, фишинговому сайту), и в результате пользователь потеряет деньги ( но спросите себя: кто-то тратит / теряет $ 10K или больше на вашем мошенническом сайте? о, подождите, вы не мошенник? нет смысла.)

  • Для активации вашего SSL-сертификата необходимо создать закрытый ключ 2048-bitCSR ( запрос на подпись сертификата). Согласно современным стандартам безопасности использование кодов CSR с размером закрытого ключа менее 2048 битов не допускается. Узнайте больше здесь и здесь .

  • Требования 99+%, 99.3%или 99.9%браузер совместимости / устройства.

  • Претензии быстрой выдачи и простота установки .

  • Приятно иметь гарантию возврата денег (обычно 15 и 30 дней).

30 мая 2018 года был обновлен следующий список базовых цен SSL-сертификатов (не продажи), а также органов по выдаче и посредников:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Обратите внимание, что DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity и SSL2BUY являются посредниками, а не центрами сертификации.

Namecheap предлагает на выбор Comodo / PostiveSSL и Comodo / EssentialSSL (хотя между ними нет никакой технической разницы, только брендинг / маркетинг - я спросил об этом и Namecheap, и Comodo - тогда как EssentialSSL стоит на несколько долларов больше (100 долларов США против 94 долларов США) ). DNSimple перепродает EssentialSSL Comodo, который, опять же, технически идентичен PositiveSSL Comodo.

Обратите внимание, что SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap и DNSimple предоставляют не только самые дешевые сертификаты с подстановочными знаками SSL, но и имеют наименьшие маркетинговые уловки из всех просмотренных мной сайтов; и DNSimple, похоже, не имеет никаких хитростей. Вот ссылки на самые дешевые сертификаты на 1 год (поскольку я не могу ссылаться на них в таблице выше):

По состоянию на март 2018 года Let's Encrypt поддерживает групповые сертификаты . DNSimple поддерживает сертификаты Let's Encrypt.

user664833
источник
1
Посмотрите на цену за экземпляр - например, у меня может быть 100000000000000 серверов, и я плачу своему ЦС только 1 цену. Многие CA хотят деньги за каждый сервер!
Арек Б.
1
Возможно я пропустил это, но я не видел никакой ссылки на цену за экземпляр на сайтах CA, на которые я смотрел. Я размещаюсь на Heroku, где мое приложение работает на нескольких dyno ( виртуализированных контейнерах Unix ), и документация по конечным точкам SSL Heroku не упоминает ничего об экземплярах или dynos - поэтому я предполагаю, что цена за экземпляр не соответствует моим конкретным потребностям ... хотя конечно, другие могут найти ваш комментарий проницательным. Спасибо, в любом случае!
user664833
2
Стоимость на сервер просто не имеет никакого смысла. Если у вас есть сертификат, вы можете свободно экспортировать его с компьютера и импортировать его на любой другой.
Массимо
@Massimo Per-серверные лицензии были довольно распространены. Применяется так же, как вы применяете старую лицензию Windows - контракты и систему чести.
ceejayoz
@ceejayoz Хорошо, я имел в виду, что нет никаких технических ограничений на установку одного и того же сертификата на нескольких серверах (и действительно есть сценарии, когда это требуется, например, веб-серверы с балансировкой нагрузки). Конечно, контракты могут сказать иначе.
Массимо
11

Еще один момент, который следует учитывать, - переиздание сертификатов .

Я действительно не понимал, что это значит, пока не появилась сердечная ошибка . Я предполагал, что это означает, что они дадут вам вторую копию вашего оригинала сертификата, и я подумал, насколько дезорганизованным должен быть этот сервис. Но оказывается, что это не значит, что: по крайней мере, некоторые поставщики будут с радостью ставить новый открытый ключ, если это происходит в течение срока действия исходного сертификата. Я предполагаю, что они затем добавят ваш оригинальный сертификат в какой-то CRL, но это хорошо.

Причины, по которым вы захотите это сделать, состоят в том, что вы испортили или потеряли свой оригинальный закрытый ключ или каким-то образом утратили исключительный контроль над этим ключом, и, конечно, обнаружение всемирной ошибки в OpenSSL, которая повышает вероятность того, что ваш закрытый Ключ был извлечен враждебной стороной.

С разбитым сердцем я расцениваю это как определенно хорошую вещь, и теперь присматриваю за ней в будущих покупках сертификатов.

Безумный Шляпник
источник
2

Хотя цена, вероятно, является ключевой проблемой, другие проблемы - это доверие к поставщику , принятие браузера и, в зависимости от уровня вашей компетенции, поддержка процесса установки (более серьезная проблема, чем кажется, особенно если что-то идет не так).

Стоит отметить, что многие провайдеры принадлежат одним и тем же топовым игрокам - например, Thawte и Geotrust, и я полагаю, что все Verisign принадлежат Symantec - однако сертификаты Thawte намного дороже, чем Geotrust, поскольку причина.

С другой стороны, сертификат, выданный StartSSL (который я не стучу, я думаю, что его модель крутая), не так хорошо поддерживается в браузере и не имеет такого же уровня доверия, как крупные игроки. Если вы хотите нанести «плацебо» на свой сайт, иногда стоит обратиться к более крупному игроку - хотя для сертификатов с подстановочными знаками это имеет гораздо меньшее значение, чем для сертификатов EV.

Как заметил кто-то другой, другим отличием может быть «черепок», связанный с сертификатом - я знаю, что сертификаты Thawte EV мне ранее давали указание получать только для использования на одном сервере , а Geotrust - позже. убедить руководство заменить их не только дешевле, но и не имело этого ограничения - совершенно произвольного ограничения, наложенного Thawte.

davidgo
источник
4
Доверие провайдера в значительной степени бессмысленно. Если у него есть значок замка, пользователям все равно. Если вы работаете с компанией из списка Fortune 500 с командой безопасности, им может потребоваться определенный поставщик, но в противном случае ... кого это волнует? Что касается StartSSL, они, кажется, широко поддерживаются: «все основные браузеры включают поддержку StartSSL» - en.wikipedia.org/wiki/StartCom
ceejayoz
1
Если провайдер, который взимает плату за отзыв в связи с сердечным кровотечением и его взломом, не имеет значения, и часы простоя для восстановления сертификатов не наносят ущерба репутации компании, тогда Startssl вы правы в отношении доверия (мне нравится Startsl, но это другая тема). Хотя их браузер очень популярен,
davidgo
3
Как вы думаете, сколько конечных пользователей а) проверят, кто выдал сертификат, и б) знают о начислении StartSSL за отзыв Heartbleed? Черт, я не проверяю, кто выдал SSL. То, что они сделали, отстой . Количество людей, которых вы потеряете, используя их сертификаты, вероятно, числа в одной цифре - это все, что я говорю.
ceejayoz
Обратите внимание, что StartSSL больше не будет доверять Google Chrome. См. Security.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - конечно, launchsl больше не является компанией, в которой я был, когда писал этот комментарий. Wosign приобрел его - украдкой - в ноябре 2015 года.
Давидго
1

Вы должны выбрать SSL-сертификат Wildcard в зависимости от ваших требований безопасности.

Перед покупкой SSL-сертификата Wildcard вы должны знать о нескольких факторах, упомянутых ниже

  1. Репутация бренда и уровень доверия: согласно недавнему опросу W3Techs о центрах сертификации SSL, Comodo обогнал Symantec и стал самым надежным центром сертификации с долей рынка 35,4%.

  2. Типы Функции или Wildcard SSL: Центры сертификации SSL, такие как Symantec, GeoTrust и Thawte, предлагают Wildcard SSL Certificate с проверкой бизнеса. Это привлекает больше посетителей и увеличивает фактор доверия клиента. Принимая во внимание, что другие CA, Comodo и RapidSSL предлагают Wildcard SSL только с проверкой домена.

Symantec Wildcard SSL также предлагает ежедневную оценку уязвимостей, которая сканирует каждый отдельный домен на наличие вредоносных угроз.

Подстановочный знак с проверкой Business отображает название организации в поле URL.

  1. Цена SSL: поскольку Symantec предлагает множество функций наряду с подстановочными знаками, его цена высока по сравнению с Comodo и RapidSSL.

Таким образом, если вы хотите защитить свой веб-сайт и субдомены с помощью бизнес-валидации, вы должны выбрать Symantec, GeoTrust или Thawte, а для валидации домена вы можете использовать Comodo или RapidSSL. А если вы хотите установить многоуровневую защиту с ежедневной оценкой уязвимостей, вы можете воспользоваться Symantec Wildcard Solution.

Джейк Адли
источник
5
Спасибо за ваш ответ, однако я не согласен с тем, что доля рынка подразумевает доверие. Comodo может иметь самую большую долю рынка, потому что владельцы веб-сайтов предпочитают более дешевые сертификаты, а не потому, что они доверяют Comodo больше, чем Symantec. Совершенно неожиданно сделать вывод, что Comodo больше всего доверяют, когда его доля на рынке 3.3%опережает Symantec; также, если человек видит, что сайт использует сертификат Verizon, будет ли его доверие соответствовать доле рынка SSL-сертификатов Verizon 0.7%? - Нет. Проверка бизнеса - приятное прикосновение, однако я сомневаюсь, какое это имеет значение для простого человека.
user664833
Я согласен с приведенным выше комментарием. Comodo был взломан не раз, и их ключи подписи были украдены. По сей день стенограммы от хакеров все еще распространяются по сети (ищите ZF0 и Comodo). Они были очень неаккуратными в обращении со своими сертификатами подписи.
Аарон