Почему годичная сертификация HTTPS / SSL намного дешевле, чем digicert, thawte и verisign?

32

Я новичок в HTTPS / SSL, но GoDaddy взимает 12,99 доллара, а Digicert, thawte и Verisign - 100-1000 долларов за сертификаты SSL.

Я должен что-то упустить из-за качества шифрования или что-то в этом роде. Может кто-нибудь объяснить некоторые из основных различий, которые приводят к этим резко отличающимся ценам?

Обновление $ 12.99 - это цена продажи. Обычно SSL-сертификаты на GoDaddy стоят $ 89,99. Вот ссылка на Godaddy, которая делает само сравнение, о котором спрашивает этот вопрос: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Благодарность,

Тим

тим петерсон
источник
1
Я только что проверил сайт GoDaddy, и они перечисляли сертификаты за $ 69,99 CAD.
Шервин Рейс
2
StartSL даже предлагают один бесплатно!
Рана Пратхап

Ответы:

33

Помимо несерьезных предложений, вы можете различать более дешевые доменные сертификаты SSL и более дорогие сертификаты расширенной проверки (EV).

Технически оба сертификата одинаковы (соединение зашифровано), но сертификаты, подтвержденные доменом, дешевле, потому что продавец должен только проверить домен. EV-сертификаты также требуют информацию о владельце домена, и продавец должен проверить, правильна ли эта информация (дополнительные административные усилия).

Обычно вы можете увидеть разницу при посещении сайта с помощью браузера. Например, Firefox выделит домен синим цветом для подтвержденного доменом SSL и зеленым для расширенной проверки SSL.

Два примера:

В большинстве случаев с сертификатом, подтвержденным доменом, все в порядке, у пользователя не будет недостатков, а сертификаты EV действительно (слишком) дороги.

martinstoeckli
источник
1
спасибо, не знал о разнице между доменом и расширенной проверкой, спасибо за это разъяснение!
Тим Петерсон
1
Человек должен проверить физический адрес компании для сертификата с расширенной проверкой.
ZippyV
1
Я думаю, что некоторые CA также предлагают какую-то форму страхования, если что-то пойдет не так (но неясно, что именно покрывается). (Я написал достаточно длинный ответ о различиях между этими типами сертификатов, если это представляет интерес.) Главное в том, что выбор CA и типа сертификата имеет значение только для клиента. При условии, что сертификат является доверенным по умолчанию, это зависит только от того, насколько пользователь готов проверить дополнительную информацию (визуально, через пользовательский интерфейс).
Бруно
8

С сайта GoDaddy:

Наслаждайтесь поддержкой установленных отраслевых стандартов. Никаких технических различий между нашими сертификатами и любым другим крупным сертификационным органом не существует.

Источник: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

Цены иногда смешная вещь. Хотя я понятия не имею, почему GoDaddy оценивает свои продукты так, как они делают, некоторые компании обращаются к большему количеству клиентов по более низкой цене, тогда как другие выбирают более высокую цену и привлекают меньше клиентов.

В качестве простого сравнения, Компания 1 может привлечь больше клиентов, предлагая свою продукцию по более низкой цене. Однако компания 2 может предлагать свои продукты по более высокой цене, что может компенсировать меньшее количество клиентов.

Компания 1: 100 клиентов платят $ 20 / месяц = ​​$ 24 000 / год

Компания 2: 200 клиентов платят 10 долларов в месяц = ​​24 000 долларов в год

Итак, как вы можете видеть из этого ОЧЕНЬ ПРОСТОГО сравнения, обе модели получили одинаковый годовой доход, однако одна компания предложила свой продукт вдвое дороже, чем другая.

Шервин Рейс
источник
3
Не забывайте о «брендовом» факторе - некоторые продукты просто имеют дополнительную цену только потому, что они маркированы широко известным и узнаваемым названием компании.
LazyOne
@LazyOne, То же самое с университетами ...
Pacerier
8

Если честно. нет абсолютно никакой разницы, когда речь идет о SSL-сертификатах. Единственным способствующим фактором являются теги EV / non EV / Wildcard.

EV == Расширенная проверка: это означает, что сайт активно «пингуется» центром сертификации по предоставленному IP-адресу домена, затем сценарий на стороне сервера сравнивает IP-адрес ответа на пинг от ЦС и IP-адрес ВАС которые посещают. Это НЕ гарантирует, что не будет атаки «человек посередине» или отравления DNS по всей сети. Это просто гарантирует, что просматриваемый вами сайт является тем же, который видит CA.

Без EV == никто не активно проверяет IP-адрес домена по зарегистрированному / предоставленному IP-адресу в целях безопасности.

Подстановочные знаки == * .domain.com Сертификаты на основе часто используются, когда у людей есть множество поддоменов или набор поддоменов, которые постоянно меняются, но все еще нуждаются в действительном шифровании SSL.

Правда за SSL-сертификатами.

Вы можете сделать свой собственный. Они не менее безопасны, чем любой другой сертификат. Разница в том, что «самоподписанный» сертификат не «поручается» какой-либо третьей стороной

Проблема с SSL-сертификатами заключается в том, что они слишком дорого стоят. Абсолютно НЕТ гарантии того, что посещаемый вами сайт принадлежит тому, кто указан в сертификате как владелец / местоположение и т. Д. Это противоречит цели модели сторонней доверительной цепочки, разработанной для использования SSL.

ВСЕ Центры сертификации, известные как CA, продающие свои сертификаты, хотят, чтобы пользователь поверил, что их сертификат как-то лучше. На самом деле, они никогда не проверяют информацию, предоставленную для сертификата, если только нет проблемы, которая может стоить им дохода. Эта практика также противоречит цели модели цепочки доверия SSL.

Я знаю только ОДИН ЦС, который действительно проверяет свои сертификаты. Это CACert.org.

Чтобы выдать «полный» сертификат (фирменное наименование, имя, адрес, телефон и т. Д.), Вы должны встретиться с одним из ЛИЦ их страховщика !.

Тем не мение. большинство браузеров не используют CACert.org из-за давления, которое оказывают на них такие мегакорпорации, как Thawte, Comodo и Verisign.

Итак ... чтобы подвести итог всего этого.

Единственные различия между сертификатами - это поведение CA. Сертификатам нельзя доверять для проверки чего-либо, кроме того, что соединение с сайтом использует шифрование.

В конце концов, люди думают, что платить 100-1000 долларов как-то приравнивается к надежности. Это не вариант. Это просто означает, что вы имеете дело с менее изощренными или менее устоявшимися мошенниками.

user34262
источник
1
Включение CACert по крайней мере в Mozilla было отменено самой CACert: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262, да, деньги - это большой фактор на всем этом ( полуразрушенном ) рынке ЦА. Связанные темы: 1) на webmasters.SE , 2) на security.SE , 3) на security.SE
Pacerier
@ user2428118, этот пост от 10 лет назад. Что за обновление?
Pacerier
@ user34262, кстати, о каких «давлениях» CA вы говорите?
Pacerier
Обычно существует три уровня сертификатов: проверенный домен, подтвержденная организация и расширенные проверенные сертификаты. С сертификатами DV делается очень мало проверок (обычно это только автоматическая проверка электронной почты и контроль домена), но последние два типа требуются для соответствия рекомендациям по аудиту и правилам выдачи, опубликованным CA / B Forum . CA, которые не соответствуют требованиям, установленным в руководстве, не доверяют браузерам выдачу сертификатов соответствующего типа.
Ли Райан
3

Что стоит больше, ссылка от меня или от Билла Гейтса? Вы должны помнить, что сертификаты - это больше, чем техническое решение, они за вас ручаются, и компании могут установить любую цену, которую, по их мнению, стоит их репутация.

JamesRyan
источник
2
Ссылка от Билла Гейтса хромает, хотя я рад за академию Хана.
Тим Петерсон
@timpeterson, он имеет в виду ошибку en.wikipedia.org/wiki/Argument_from_authority
Pacerier,
1
@Pacerier нет, я нет. Это не имеет ничего общего с людьми, которые буквально ручаются за идентичность организаций.
JamesRyan
@JamesRyan, как это нет? Что означает « рекомендация от меня или ссылка от Билла Гейтса »? Означает ли здесь «Билл Гейтс» «авторитет»?
Pacerier
3

Я только что обнаружил, что GoDaddy не позволяет "дублировать" сертификат для вашего SSL-символа с подстановочными знаками. (в отличие от GlobalSign, DigiCert, которые разрешают их, и неограниченное их количество)

Это жаль, так как это часто используется, когда вы управляете фермой сервера, и у каждого есть свой закрытый ключ / csr.

Фредерик Бозери
источник
1
Это кажется довольно важной информацией. Казалось бы, это исправит любую разницу в цене, если вам придется покупать несколько сертификатов у GoDaddy и только один у Verisign и т. Д. Можете ли вы предоставить ссылки на ссылки GoDaddy в своем ответе?
Тим Петерсон
2
Нет, GoDaddy также не позволит вам купить несколько сертификатов для одного и того же шаблона. Они позволят вам иметь только один, который вы должны использовать на всех своих серверах.
Майк Скотт
1

Я работал в сторонней компании над веб-проектом для крупной технической корпорации. Мы использовали SSL-сертификат GoDaddy и обнаружили, что этот ЦС был отклонен во внутренних сетях компании.

Корпорация в то время (2 года назад) не принимала GoDaddy автоматически в качестве доверенного лица. Только с большим убеждением наш сертификат был принят.

Если бы мы использовали премиум-бренд, такой как Thawte, не было бы никаких проблем. Я не уверен, почему корпорация имела такую ​​политику, но, возможно, цена сертификата заставила их казаться менее доверенными.

Это единственная разница между сертификатами GoDaddy и другими крупными ЦС, с которыми я сталкивался.

Магия Манго
источник
1
Хм, Godaddy единственный сертификат, который они отвергают?
Pacerier
0

Технически нет никакой разницы. Большинство сертификационных органов предлагают аналогичные продукты, стандартную проверку или расширенную проверку, где проверяются организация / компания и домен владельца, а также групповые символы.

Что отличает цену:

  1. Брендинг
  2. Гарантия
  3. Качество обслуживания
  4. Количество

Для брендинга лучшим примером будет Digicert - они выдают сертификаты таким брендам, как Twitter, Facebook и даже StackExchange. Чтобы привлечь такого рода клиентов, требуется некоторое убеждение и бюджет на брендинг, нет никаких доказательств того, что у них есть лучшие технологии, чем кто-либо еще.

Гарантия это что-то вроде страховки. Обычно это сумма от 0 до миллионов долларов, в основном это говорит о том, насколько высоко застрахован CA при продаже вам сертификата, если произойдет что-то вроде мошеннической транзакции по кредитной карте, и это будет их ошибкой, они покроют расходы до высота гарантии. Стандартные SSL-сертификаты в основном продаются для компании CA, поэтому они могут взимать с владельца больше, потому что технология шифрования и безопасность одинаковы, с гарантией EV-сертификатов может быть что-то полезное, но обычно, когда вы читаете положения и условия, вы будете смеяться и увидеть иронию всего этого.

Качество обслуживания обычно очень субъективно зависит от платящего клиента. В некоторых центрах сертификации есть системы для крупных клиентов, которые могут помочь вам отслеживать приобретенные вами сертификаты. Если вы владеете или управляете более чем сотней сертификатов, вы на самом деле можете заплатить немного больше и лучше управлять программным обеспечением, панелью мониторинга, более широкими возможностями выставления счетов по кредитным картам, инструменты для обслуживания сертификатов, инструменты отчетности, некоторые CA даже предлагают советы по безопасности для внедрения сервера.

Количество заставляет цены снижаться. Как CA, если вы продаете больше, ваши цены ниже, как клиент, когда вы покупаете больше, вы можете запросить более выгодные цены.

Майк
источник