Являются ли различные типы SSL-сертификатов мошенничеством?

39

Я ищу несколько сертификатов SSL для доменов, чтобы покрыть следующее:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Сертификаты с подстановочными знаками слишком дороги, поэтому я собираюсь купить один сертификат для каждого субдомена (у меня достаточно IP-адресов, чтобы их обойти).

Мой вопрос: что делает сертификат за 10 долларов лучше, чем сертификат за 100 долларов?

Взять, к примеру, ассортимент продукции GeoTrust . Я знаю, что такое EV (он не нужен), и знаю, что такое Secure Seal (наши пользователи уже доверяют нам, поэтому не нуждаются в этом).

Но зачем мне покупать QuickSSL за 69 долларов, если я могу получить RapidSSL за 10 долларов? Разница только в «Признании бренда» (от среднего до среднего) и страховке.

Кто-нибудь может пролить свет на то, что они подразумевают под «узнаванием бренда»? Наш общедоступный веб-сайт уже пользуется доверием со стороны наших пользователей, а два других субдомена предназначены только для Outlook Anywhere (и поэтому не будут отображаться в браузере).

Повторно опубликовал соответствующий вопрос по адресу https://serverfault.com/questions/82039/difference-between-ssl-products.

https security-certificate Марк Хендерсон
источник
1
Если вы купили дорогой SSL-сертификат, вы помогли Шаттлворту выйти в космос. Как это может быть мошенничество?
4
В старые добрые времена интернета предоставление этих услуг могло стоить дорого. Они сказали, что вы платите за услугу, чтобы подтвердить свою личность. По моим наблюдениям, исследование сертификатов, не связанных с электронной торговлей, тривиально и поддельно. Извините, я просто презираю всю индустрию SSL. Я бы хотел, чтобы кто-то создал некоммерческую организацию, которая бы предоставляла такие же услуги.
Цитадельград
1
Здесь есть несколько вопросов, связанных с сертификатами EV: webmasters.stackexchange.com/questions/2214/… webmasters.stackexchange.com/questions/3836/… webmasters.stackexchange.com/questions/3134/ssl-versus-ev-ssl
JasonBirch
Это в основном как самые крутые дети на вечеринке, говорящие «этот чувак законный», когда браузер спрашивает их о вас. Вы платите за тех крутых детей, которые принимают и высоко ценят вас. Если вы хотите, чтобы они сказали «этот чувак ПОЛНОСТЬЮ ЭПИЧЕСКИ» , тогда вы можете потратить больше денег. Пока его SHA-256 или что-то подобное, проверка не имеет значения. Возможно, 0,01% посетителей проверяют полномочия на валидацию. Для них важно только то, что они видят зеленый замок, будь то замок в 10 или 1000 долларов.
дхаупин
@Citadelgrad, они сделали некоммерческую. Это называется CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Ответы:

27

«Мой вопрос: что делает сертификат на 10 долларов лучше, чем сертификат на 100 долларов?»

Как правило, чем дороже сертификат, тем старше сертификационная компания. Поскольку список доверенных подписчиков поставляется вместе с браузером, старые браузеры могут не доверять сертификатам новых компаний.

Например, может быть, сертификат за 10 долларов не доверяет IE5.

Но это все.

Томас Бонини
источник
8
И искаженный беспорядок, который IE5 отображает после отображения любого веб-сайта, отвечающего современным стандартам, также не пользуется доверием пользователя такого кусочка # & * $ :) +1
Tim Post
Кроме того, для определенных типов сертификатов компания-эмитент прилагает больше усилий для проверки сведений о лице / компании, запрашивающей его ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Если браузер показывает, что сертификат является EV, а пользователь замечает его, он может быть увереннее. ИМХО они не заметят.
paulmorriss
Вы упустили момент, если сертификат дороже, чем вы покрыты больше, если ваш сайт взломан, сертификат за 100 $ может заплатить вам до 1 миллиона долларов, тогда как сертификат за 10 $ может вам ничего не заплатить.
SSpoke
@SSpoke, я буду удивлен, если не будет трения, когда вы попытаетесь претендовать на " 1,5 миллиона долларов США ". Эти цифры предназначены только для больших мальчиков, а не для среднего пользователя. Представьте, что они взломали и должны были выплатить 300 тыс. Пользователей, что составляет 450 млрд. Будьте уверены, что ваши пользователи не смогут получить 1 миллион долларов каждый. Также ознакомьтесь с положениями и условиями по адресу positivessl.com/ssl-warranty.php
Pacerier
6

Я спросил у DigiCert то же самое на днях: почему многие сертификаты намного дешевле ваших (~ 25 долларов против 100 долларов в год)? Вот ответ, который они дали мне (по моим словам):

Другие компании только проверяют ваше доменное имя (что лицо, получающее сертификат, владеет доменным именем), тогда как DigiCert (и другие) проверяют компанию, стоящую за доменным именем.

Это означает, что они должны проверить корпоративный реестр в вашей стране, чтобы убедиться, что ваша компания существует и что вы как-то связаны с компанией. Это часто также требует телефонного звонка и некоторых других проверок. Без этой проверки все, что требуется, - это компьютер для проверки записи whois с введенной информацией.

Так что, по моей оценке, если вы собираетесь использовать сертификат на сайте, где клиент платит за что-то или вводит свою личную информацию, то более дорогой сертификат лучше. Если вы просто используете сайт внутри компании (внутри компании), возможно, вам нужен более дешевый сертификат.

Дэррил Хейн
источник
DigiCert имеет экстремальный конфликт при предупреждении интересов (см. Также security.stackexchange.com/questions/13453/… ). Вспомогательный персонал искажает вопрос, сравнивая другие сертификаты DV CA с их сертификатами EV. Но другие CA также предлагают сертификаты EV по гораздо более низкой цене, чем их.
Pacerier
4

«Мой вопрос: что делает сертификат на 10 долларов лучше, чем сертификат на 100 долларов?»

Ответ ничто. Сертификат является сертификатом (поскольку вы не заботитесь о «узнавании бренда»), поэтому без EV-пакетов сертификат является всего лишь товаром. Это хорошо объясняет историю.

Однако я считаю, что узнаваемость бренда может быть важна для некоторых пользователей, но если вы уверены, что являетесь надежным источником, я бы не стал беспокоиться об этом.

plntxt
источник
2

Существует также проблема, при которой некоторые браузеры выбирают множество превосходных SSL-сертификатов и помечают их как потенциально небезопасные. Отчасти это связано с тем, что сказал Дэррил (повышенная осмотрительность со стороны поставщика SSL для подтверждения того, кто вы есть). Дело не в том, что сама безопасность действительно отличается, а просто в том, чтобы обеспечить лучший уровень доверия.

Есть также такие вещи, как возможности управления (я могу без промедления выдавать и повторно выдавать сертификаты для своего сердца, что было очень удобно, когда доменные имена внезапно становятся другими), и другие льготы, которые могут улучшить ваш опыт. Но если версия за 10 долларов делает то, что вам нужно, и вашим клиентам все равно, от кого сертификат, тогда сделайте это.

Со временем вы можете обнаружить, что вы меняете поставщиков просто потому, что меняется ваше присутствие в сети, поэтому важно учесть это сейчас, прежде чем начать.

Милнер
источник
2

По состоянию на середину 2015 года я не нашел каких-либо независимых исследований или даже отдельных доказательств того, что сертификаты EV будут увеличивать коэффициент конверсии или продажи. Я подробно остановился на этом в своем ответе на EV SSL-сертификаты - кого это волнует? ,

То, что, казалось, уменьшило оставление магазинной тележки, было печатью доверия и значками . Такие трастовые печати идут с покупкой EV. Кстати, сегодня 4 июля, и Comodo продаёт сертификаты EV за 100 долларов, а не 500, что и подтолкнуло к этому исследованию. Я до сих пор не совсем убежден, так или иначе.

Дан Дакалеску
источник