Vraag Hoe te beslissen waar een wildcard SSL-certificaat te kopen?


Onlangs moest ik een wildcard SSL-certificaat kopen (omdat ik een aantal subdomeinen moest beveiligen) en toen ik voor het eerst zocht naar waar ik die kon kopen, was ik overweldigd door het aantal keuzes, marketingclaims en het prijsbereik. Ik heb een lijst gemaakt om me te helpen de marketinggimmicks te doorzien de grotere meerderheid van de Certificate Authorities (CA's) gips over hun sites. Uiteindelijk is mijn persoonlijke conclusie dat vrijwel de enige dingen die er toe doen de prijs en de plezierigheid van de website van de CA zijn.

Vraag: Naast prijs en een leuke website, is er iets dat ik waard ben om te beslissen waar ik een wildcard SSL-certificaat kan kopen?


62
2018-05-28 20:32


oorsprong


Eén criterium dat zou moeten niet uw beslissing is de beveiliging van de CA. En het is belangrijk om te begrijpen waarom. De reden is dat CA met wie u geen zaken doet, uw beveiliging net zo gemakkelijk in gevaar kan brengen als waarmee u zaken doet. Er zijn twee manieren waarop een slechte beveiliging van een CA je kan schaden. Als ze uw creditcardnummer krijgen, kunnen ze het lekken (dit verschilt niet van andere online transacties). En als ze iets slechts doen dat browsers niet meer vertrouwen, moet u op korte termijn een nieuw certificaat van een andere CA aanschaffen. - kasperd


antwoorden:


Ik ben van mening dat met betrekking tot het kiezen van een wildcard SSL-certificaat, de enige factoren die er toe doen de eerstejaarskosten van een SSL-certificaat zijn, en de plezierigheid van de website van de verkoper (dwz gebruikerservaring) voor de aankoop en configuratie van het certificaat .

Ik ben op de hoogte van het volgende:

  • Claims over garanties (bijvoorbeeld $ 10K, $ 1,25M) zijn marketingfeiten - deze garanties beschermen de gebruikers van een bepaalde website tegen de mogelijkheid dat de CA een certificaat afgeeft aan een fraudeur (bijv. phishing-site) en de gebruiker verliest daardoor geld (maar vraag uzelf af: is iemand $ 10K of meer uitgeven / verliezen? op uw frauduleuze site? oh wacht, u bent geen fraudeur? geen zin.)

  • Het is noodzakelijk om een 2048-bit CSR (certificaat ondertekeningsverzoek) privésleutel om uw SSL-certificaat te activeren. Volgens moderne beveiligingsstandaarden is het gebruik van CSR-codes met een privésleutel kleiner dan 2048 bits niet toegestaan. Kom meer te weten hier en hier.

  • Claims van 99+%, 99.3%of 99.9% browser / apparaat compatibiliteit.

  • Claims van snelle uitgifte en eenvoudig te installeren.

  • Het is leuk om een ​​geld-terug tevredenheidsgarantie te hebben (15 en 30 dagen zijn gebruikelijk).

De volgende lijst met jokertekens voor het SSL-certificaat en de uitgevende instanties en resellers is bijgewerkt op 30 mei 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
   $42 | SSL2BUY / AlphaSSL *
   $70 | CheapSSLShop / Comodo (PositiveSSL) *
   $73 | CheapSSLSecurity / Comodo (PositiveSSL) *
   $89 | sslpoint / Comodo (PositiveSSL) *
   $94 | Namecheap / Comodo (PositiveSSL) * (Can$122)
  $100 | DNSimple / Comodo (EssentialSSL) *
       |
  $150 | AlphaSSL / GlobalSign
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Merk op dat DNSimple, Namecheap, CheapSSLSecurity, CheapSSLShop, SSL2BUY en sslpoint wederverkopers zijn, geen Certificate Authorities.

Namecheap biedt een keuze uit Comodo / PostiveSSL en Comodo / EssentialSSL (hoewel er geen technisch verschil tussen beide is, alleen branding / marketing - ik vroeg zowel Namecheap als Comodo hierover - terwijl EssentialSSL een paar dollar meer kost (USD $ 100 versus $ 94) ). DNSimple verkoopt de EssentialSSL van Comodo, die, nogmaals, technisch identiek is aan Comodo's PositiveSSL.

Merk op dat SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap en DNSimple niet alleen de goedkoopste wildcard SSL-certificaten bieden, maar ze hebben ook de minste marketing-trucs van alle sites die ik heb beoordeeld; en DNSimple lijkt helemaal geen gimmicky-dingen te hebben. Hier volgen links naar de goedkoopste 1-jarige certificaten (zoals ik ze in de bovenstaande tabel niet kan vinden):

Vanaf maart 2018 Laten we versleutelen ondersteuningen wildcard-certificaten.


49
2018-05-28 20:32



Kijk naar de prijs per instantie - bijv. Ik kan 100000000000000 servers hebben en aan mijn CA slechts 1 prijs betalen. Veel CA's willen geld voor elke server! - Arek B.
Misschien heb ik het gemist, maar ik heb er geen verwijzing naar gezien prijs per exemplaar op de CA-sites waar ik naar keek. Ik host op Heroku, waar mijn app op meerdere dyno's draait (gevirtualiseerde Unix-containers), en Heroku's SSL-eindpuntdocumentatie noemt niets over instanties of dyno's - dus ik veronderstel prijzen per instantie is niet relevant voor mijn specifieke behoeften .. hoewel anderen misschien je commentaar inzichtelijk vinden. Toch bedankt! - user664833
Per-server prijzen klopt gewoon niet. Als u eenmaal een certificaat hebt, bent u geheel vrij om het vanaf een computer te exporteren en op een ander te importeren. - Massimo
@Massimo Per-server-licenties waren vroeger vrij gebruikelijk. Gedwongen, net zoals u een oudere Windows-licentie afdwingt - contracten en het honor-systeem. - ceejayoz
@ceejayoz Ok, ik bedoelde dat er geen zijn technisch beperkingen voor het installeren van hetzelfde certificaat op meerdere servers (en er zijn inderdaad scenario's waar dit een vereiste is, bijv. load-balanced webservers). Uiteraard kunnen contracten anders zeggen. - Massimo


Een ander punt om te overwegen is de heruitgifte van certificaten.

Ik heb niet echt begrepen wat dit betekende tot de harteloze bug kwam langs. Ik ging ervan uit dat dit betekende dat ze je een tweede kopie van je oorspronkelijke certificaat zouden geven, en ik vroeg me af hoe ongeorganiseerd die service moest zijn. Maar het blijkt dat dit niet betekent dat: op zijn minst sommige verkopers zullen graag stempel een nieuwe publieke sleutel zolang het gebeurt tijdens de geldigheidsduur van het originele certificaat. Ik neem aan dat ze vervolgens je originele certificaat aan een of andere CRL toevoegen, maar dat is een goede zaak.

Redenen waarom je dit zou willen doen, zijn dat je je originele private sleutel hebt gecorrumpeerd of verloren of dat je op een andere manier de exclusieve controle over die sleutel bent kwijtgeraakt en natuurlijk de ontdekking van een wereldwijde bug in OpenSSL waardoor het waarschijnlijk is dat je privésleutel sleutel werd gewonnen door een vijandige partij.

Na de dood, beschouw ik dit als een absoluut goed ding, en houd het nu in de gaten voor toekomstige certificaataankopen.


11
2017-08-07 06:41





Hoewel de prijs waarschijnlijk een kernprobleem is, zijn de andere problemen de geloofwaardigheid van de aanbieder, browser acceptatie en, afhankelijk van je competentieniveau, ondersteuning voor het installatieproces (een groter probleem dan het lijkt, vooral als dingen fout gaan).

Het is vermeldenswaard dat een aantal providers eigendom zijn van dezelfde topspelers - bijvoorbeeld Thawte en Geotrust en ik denk dat Verisign allemaal eigendom is van Symantec - Thawte-certificaten zijn echter veel, veel duurder dan Geotrust voor niet te dwingen reden.

Aan de andere kant, een certificaat uitgegeven door StartSSL (wie ik niet aan het kloppen ben, denk ik dat hun model cool is), wordt niet zo goed ondersteund in de browser en heeft niet hetzelfde niveau van geloofwaardigheid als de grote spelers. Als je 'security placebos' wilt gipsen op je site, is het soms de moeite waard om naar een grotere speler te gaan - hoewel dit waarschijnlijk een stuk minder uitmaakt voor jokertekens dan voor EV Certs.

Zoals iemand anders al aangaf, kan een ander verschil de "crock of junk" zijn die met de cert geassocieerd is - ik ken de Thawte EV Certs die ik eerder had gekregen om alleen toestemming te krijgen voor gebruik op een enkele server, terwijl de Geotrust-certs die ik later het management had overgehaald om hen te vervangen, niet alleen goedkoper waren, maar deze beperking niet hadden - een volkomen willekeurige beperking opgelegd door Thawte.


2
2018-05-30 23:52



De geloofwaardigheid van leveranciers is vrijwel zonder betekenis. Als het het hangslotpictogram heeft, maakt het de gebruikers niets uit. Als je met een Fortune 500-bedrijf werkt met een beveiligingsteam, hebben ze misschien een bepaalde leverancier nodig, maar verder ... who cares? Wat betreft StartSSL lijken ze breed ondersteund te worden: "alle belangrijke browsers omvatten ondersteuning voor StartSSL" - en.wikipedia.org/wiki/StartCom - ceejayoz
Als een provider die kosten in rekening brengt voor herroeping in het licht van heartbleed en ze worden gehackt, geen verschil maakt, en uren downtime om certificaten te regenereren geen geloofwaardigheid van bedrijven schaden, dan heeft Startssl gelijk over geloofwaardigheid (ik hou van startssl, maar dat is een ander onderwerp). Hoewel de acceptatie van de browser erg hoog is, is deze lager dan bij andere providers forum.startcom.org/viewtopic.php?f=15&t=1802 - davidgo
Hoeveel eindgebruikers denk je dat a) controleert om te zien wie een certificaat heeft uitgegeven en b) weet over het opladen van StartSSL voor een herroeping van Heartbleed? Hel, ik niet controleren wie een SSL heeft uitgegeven. Wat zij deden zuigt. Het aantal mensen dat je verliest door het gebruik van hun certificaten, waarschijnlijk cijfers in de enkele cijfers is alles wat ik zeg. - ceejayoz
Let op: StartSSL wordt niet langer vertrouwd door Google Chrome. Zien security.googleblog.com/2016/10/... - sbrattla
@sbrattla yup - natuurlijk, startssl is niet langer het bedrijf dat ik was toen ik deze opmerking schreef. Wosign verwierf het - stiekem - in november 2015. - davidgo


U moet een Wildcard SSL-certificaat selecteren op basis van uw beveiligingsbehoeften.

Voordat u Wildcard SSL-certificaat koopt, moet u op de hoogte zijn van enkele hieronder genoemde factoren

  1. Reputatie- en vertrouwensniveau van het merk: Vanaf recent onderzoek naar W3Techs op SSL-certificaatautoriteiten heeft Comodo Symantec ingehaald en is de meest vertrouwde CA geworden met een marktaandeel van 35,4%.

  2. Typen functies of Wildcard SSL: SSL-certificaatautoriteiten zoals Symantec, GeoTrust en Thawte bieden een Wildcard SSL-certificaat met zakelijke validatie. Het trekt meer bezoekers aan en verhoogt ook de vertrouwensfactor van de klant. Terwijl andere CA, Comodo en RapidSSL Wildcard SSL aanbieden met alleen domeinvalidatie.

Symantec's Wildcard SSL komt ook met de dagelijkse kwetsbaarheidsbeoordeling die elk afzonderlijk subdomein scant op kwaadaardige bedreigingen.

Met jokerteken met bedrijfsvalidatie wordt de organisatienaam in het URL-veld weergegeven.

  1. SSL-prijs: Omdat Symantec meerdere functies naast wildcard biedt, is de prijs ervan hoog in vergelijking met Comodo en RapidSSL.

Dus, als u uw website en subdomeinen met bedrijfsvalidatie wilt beveiligen, moet u kiezen voor Symantec, GeoTrust of Thawte en voor domeinvalidatie kunt u kiezen voor Comodo of RapidSSL. En als u meerlagige beveiliging wilt installeren met een dagelijkse beoordeling van de kwetsbaarheid, kunt u Symantec's Wildcard-oplossing gebruiken.


1
2018-05-07 10:00



Bedankt voor uw antwoord, maar ik ben het er niet mee eens dat marktaandeel vertrouwen impliceert. Comodo heeft mogelijk het grootste marktaandeel omdat website-eigenaren de voorkeur geven aan goedkopere certificaten, niet omdat ze Comodo net zo goed vertrouwen als Symantec. Het is nogal een sprong om te concluderen dat Comodo het meest vertrouwd is als zijn marktaandeel niet meer is dan een 3.3% voor Symantec; Als een persoon ziet dat een site een Verizon-certificaat gebruikt, komt zijn vertrouwen dan overeen met het marktaandeel van het SSL-certificaat van Verizon van 0.7%? - Nee. Bedrijfsvalidatie is een leuke manier, maar ik vraag me af wat voor verschil het maakt voor de gewone persoon. - user664833
Ik ben het eens met bovenstaande opmerking. Comodo is meer dan eens gehackt en hun handtekeningsleutels zijn gestolen. De transcripties van de hackers zweven nog steeds rond het web tot op de dag (zoek naar ZF0 en Comodo). Ze waren erg slordig in de afhandeling van hun ondertekeningscertificaten. - Aaron