Làm thế nào để quyết định nơi mua chứng chỉ SSL ký tự đại diện?

63

Gần đây tôi cần mua chứng chỉ SSL ký tự đại diện (vì tôi cần bảo mật một số tên miền phụ) và khi tôi lần đầu tiên tìm kiếm nơi để mua, tôi đã bị choáng ngợp với số lượng lựa chọn, tuyên bố tiếp thị và phạm vi giá. Tôi đã tạo một danh sách để giúp tôi thấy thông qua các mánh lới quảng cáo tiếp thị mà phần lớn các Cơ quan Chứng nhận (CA) trát khắp các trang web của họ. Cuối cùng, kết luận cá nhân của tôi là khá nhiều thứ duy nhất quan trọng là giá cả và sự dễ chịu của trang web của CA.

Câu hỏi: Bên cạnh giá cả và một trang web đẹp, có điều gì đáng để tôi cân nhắc khi quyết định mua chứng chỉ SSL ký tự đại diện không?

ssl  certificate-authority  security  ssl-certificate 
người dùng664833
nguồn
3
Một tiêu chí không nên thúc đẩy quyết định của bạn là bảo mật CA. Và điều quan trọng là phải hiểu tại sao. Lý do là bất kỳ CA nào bạn không kinh doanh đều có thể xâm phạm an ninh của bạn dễ dàng như một CA mà bạn đang kinh doanh. Có hai cách bảo mật kém của CA có thể gây hại cho bạn. Nếu họ nhận được số thẻ tín dụng của bạn, họ có thể rò rỉ nó (điều này không khác với bất kỳ giao dịch trực tuyến nào khác). Và nếu họ làm điều gì đó tệ đến mức các trình duyệt ngừng tin tưởng họ, bạn cần nhận được chứng chỉ mới từ một CA khác trong một thông báo ngắn.
kasperd

Câu trả lời:

49

Tôi tin rằng đối với việc quyết định mua chứng chỉ SSL ký tự đại diện ở đâu, các yếu tố duy nhất quan trọng là chi phí chứng nhận SSL năm đầu tiên và sự dễ chịu của trang web của người bán (ví dụ như trải nghiệm người dùng) cho việc mua và thiết lập chứng chỉ .

Tôi biết những điều sau đây:

  • Khiếu nại về bảo hành (ví dụ: $ 10K, $ 1,25M) là những mánh lới quảng cáo tiếp thị - những bảo đảm này bảo vệ người dùng của một trang web nhất định trước khả năng CA cấp giấy chứng nhận cho kẻ lừa đảo (ví dụ: trang lừa đảo) và kết quả là người dùng mất tiền ( nhưng, hãy tự hỏi: có ai đó chi tiêu / mất $ 10K trở lên cho trang web lừa đảo của bạn không? oh chờ đã, bạn không phải là một kẻ lừa đảo? không có điểm nào.)

  • Cần phải tạo khóa riêng 2048-bitCSR ( yêu cầu ký chứng chỉ ) để kích hoạt chứng chỉ SSL của bạn. Theo các tiêu chuẩn bảo mật hiện đại sử dụng mã CSR với kích thước khóa riêng dưới 2048 bit không được phép. Tìm hiểu thêm ở đâyở đây .

  • Tuyên bố của 99+%, 99.3%hoặc 99.9%khả năng tương thích trình duyệt / thiết bị.

  • Yêu cầu phát hành nhanh và cài đặt dễ dàng .

  • Thật là tốt để có một đảm bảo sự hài lòng hoàn lại tiền (15 và 30 ngày là phổ biến).

Danh sách sau đây về giá cơ sở chứng chỉ SSL ký tự đại diện (không bán) và cơ quan phát hành và đại lý đã được cập nhật vào ngày 30 tháng 5 năm 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Lưu ý rằng DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurance và SSL2BUY, là các đại lý, không phải là Cơ quan cấp chứng chỉ.

Namecheap cung cấp lựa chọn Comodo / PostiveSSL và Comodo / EssentialSSL (mặc dù không có sự khác biệt về kỹ thuật giữa hai loại, chỉ là xây dựng thương hiệu / tiếp thị - tôi đã hỏi cả Namecheap và Comodo về điều này - trong khi EssentialSSL tốn thêm vài đô la (100 đô la so với 94 đô la) ). DNSimple bán lại EssentialSSL của Comodo, một lần nữa, về mặt kỹ thuật giống hệt với positiveSSL của Comodo.

Lưu ý rằng SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap và DNSimple không chỉ cung cấp các chứng chỉ SSL ký tự đại lý rẻ nhất mà còn có các mánh lới quảng cáo tiếp thị ít nhất trong tất cả các trang web tôi đã xem xét; và DNSimple dường như không có thứ gì phô trương. Dưới đây là các liên kết đến các chứng chỉ 1 năm rẻ nhất (vì tôi không thể liên kết với chúng trong bảng trên):

Kể từ tháng 3 năm 2018, Let Encrypt hỗ trợ chứng chỉ ký tự đại diện . DNSimple hỗ trợ chứng chỉ Encrypt.

người dùng664833
nguồn
1
Nhìn vào giá mỗi phiên bản - ví dụ: tôi có thể có 100000000000000 máy chủ và chỉ trả cho CA của tôi 1 giá. Nhiều CA muốn có tiền cho mọi máy chủ!
Arek B.
1
Có thể tôi đã bỏ lỡ nó, nhưng tôi không thấy bất kỳ tài liệu tham khảo nào về giá mỗi phiên bản trên các trang web CA tôi đã xem. Tôi đang lưu trữ trên Heroku, nơi ứng dụng của tôi đang chạy trên nhiều dynos ( thùng chứa Unix được ảo hóa ) và tài liệu điểm cuối SSL của Heroku không đề cập bất cứ điều gì về các phiên bản hoặc dynos - vì vậy tôi cho rằng giá cả cá thể không phù hợp với nhu cầu cụ thể của tôi .. mặc dù vậy. tất nhiên những người khác có thể tìm thấy nhận xét của bạn sâu sắc. Dù sao cũng cảm ơn bạn!
user664833
2
Giá trên mỗi máy chủ không có ý nghĩa gì. Khi bạn có chứng chỉ, bạn hoàn toàn tự do xuất nó từ máy tính và nhập nó vào bất kỳ chứng chỉ nào khác.
Massimo
@Massimo Giấy phép trên mỗi máy chủ được sử dụng khá phổ biến. Được thi hành giống như bạn thực thi một giấy phép Windows cũ hơn - hợp đồng và hệ thống danh dự.
ceejayoz
@ceejayoz Ok, ý tôi là không có giới hạn kỹ thuật nào trong việc cài đặt cùng một chứng chỉ trên nhiều máy chủ (và thực sự có những tình huống trong đó đây là một yêu cầu, các máy chủ web cân bằng tải). Tất nhiên, hợp đồng có thể nói khác.
Massimo
11

Một điểm khác để xem xét là việc cấp lại giấy chứng nhận .

Tôi đã không thực sự hiểu điều này có nghĩa là gì cho đến khi con bọ đau lòng xuất hiện. Tôi cho rằng điều đó có nghĩa là họ sẽ cung cấp cho bạn bản sao thứ hai của chứng chỉ gốc của bạn và tôi tự hỏi làm thế nào một người vô tổ chức phải có nhu cầu dịch vụ đó. Nhưng điều đó xảy ra rằng điều đó không có nghĩa là: ít nhất một số nhà cung cấp sẽ vui vẻ đóng dấu khóa công khai mới miễn là nó xảy ra trong suốt thời gian hiệu lực của chứng chỉ gốc. Tôi đoán họ sau đó thêm chứng chỉ gốc của bạn vào một số CRL, nhưng đó là một điều tốt.

Lý do bạn muốn làm điều này là do bạn đã làm hỏng hoặc mất khóa riêng ban đầu của mình hoặc thông qua một số phương tiện đã mất quyền kiểm soát độc quyền của khóa đó và tất nhiên việc phát hiện ra một lỗi trên toàn thế giới trong OpenSSL khiến nó có khả năng là riêng tư của bạn khóa được trích xuất bởi một bên thù địch.

Hậu tận tâm, tôi coi đây là một điều tốt nhất định, và bây giờ hãy để mắt đến nó trong các giao dịch mua chứng chỉ trong tương lai.

MadHatter
nguồn
2

Mặc dù giá cả có thể là một vấn đề quan trọng, các vấn đề khác là uy tín của nhà cung cấp , sự chấp nhận của trình duyệt và tùy thuộc vào mức độ năng lực của bạn, hỗ trợ cho quá trình cài đặt (một vấn đề lớn hơn nó xuất hiện, đặc biệt là khi có sự cố).

Điều đáng chú ý là một số nhà cung cấp thuộc sở hữu của cùng một người chơi hàng đầu - ví dụ Thawte và Geotrust và tôi tin rằng Verisign đều thuộc sở hữu của Symantec - tuy nhiên, Thawte đắt hơn nhiều so với Geotrust không hấp dẫn lý do.

Mặt khác, chứng chỉ do StartSSL cấp (người tôi không gõ cửa, tôi nghĩ rằng mô hình của họ rất tuyệt), không được hỗ trợ tốt trong trình duyệt và không có mức độ tin cậy như những người chơi lớn. Nếu bạn muốn dán "giả dược bảo mật" trên trang web của mình, đôi khi nó đáng để đến với một người chơi lớn hơn - mặc dù điều này có lẽ ít quan trọng hơn đối với các thẻ đại diện, nhưng đối với EV Certs.

Như một người khác đã chỉ ra, một sự khác biệt khác có thể là "thùng rác" có liên quan đến chứng chỉ - Tôi biết Thawte EV Certs mà trước đây tôi được hướng dẫn chỉ được phép sử dụng trên một máy chủ , trong khi Geotrust certs tôi sau Quản lý thuyết phục để thay thế chúng không chỉ rẻ hơn mà còn không có giới hạn này - một giới hạn hoàn toàn tùy ý áp đặt bởi Thawte.

davidgo
nguồn
4
Nhà cung cấp uy tín là khá nhiều vô nghĩa. Nếu nó có biểu tượng ổ khóa, người dùng không quan tâm. Nếu bạn đang làm việc với một công ty Fortune 500 với một nhóm bảo mật, họ có thể yêu cầu một nhà cung cấp cụ thể, nhưng nếu không thì ... ai quan tâm? Đối với StartSSL, chúng dường như được hỗ trợ rộng rãi: "tất cả các trình duyệt chính bao gồm hỗ trợ cho StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz
1
Nếu một nhà cung cấp buộc tội thu hồi bằng ánh sáng và họ bị hack không tạo ra sự khác biệt, và thời gian ngừng hoạt động để tái tạo certs không làm mất uy tín của công ty thì Startssl bạn chính xác về độ tin cậy (tôi thích bắt đầu, nhưng tôi thích đó là một chủ đề khác nhau). Mặc dù mức độ chấp nhận trình duyệt của họ rất cao nhưng các nhà cung cấp khác lại thấp hơn - xem forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
Bạn nghĩ có bao nhiêu người dùng cuối a) kiểm tra xem ai đã cấp chứng chỉ và b) biết về tính phí StartSSL cho các hủy bỏ Heartbleed? Chết tiệt, tôi không kiểm tra ai đã cấp SSL. Những gì họ đã làm hút . Số người bạn mất bằng cách sử dụng chứng chỉ của họ có lẽ là số trong các chữ số duy nhất là tất cả những gì tôi đang nói.
ceejayoz
Lưu ý rằng StartSSL sẽ không còn được Google Chrome tin tưởng nữa. Xem security.googleblog.com/2016/10/ từ
sbrattla
@sbrattla yup - tất nhiên, startedsl không còn là công ty khi tôi viết bình luận này. Wosign đã mua nó - một cách lén lút - vào tháng 11 năm 2015.
davidgo
1

Bạn phải chọn chứng chỉ SSL Wildcard dựa trên nhu cầu bảo mật của bạn.

Trước khi mua Chứng chỉ SSL Wildcard, bạn phải biết về một vài yếu tố được đề cập dưới đây

  1. Mức độ tin cậy và uy tín của thương hiệu: Theo khảo sát gần đây của W3Techs về các cơ quan cấp chứng chỉ SSL, Comodo đã vượt qua Symantec và trở thành CA đáng tin cậy nhất với 35,4% thị phần.

  2. Các loại Tính năng hoặc SSL Wildcard: Các cơ quan Chứng nhận SSL như Symantec, GeoTrust và Thawte đang cung cấp Chứng chỉ SSL Wildcard với xác thực doanh nghiệp. Việc thu hút nhiều khách truy cập hơn và cũng tăng yếu tố niềm tin của khách hàng. Trong khi các CA, Comodo và RapidSSL khác chỉ cung cấp SSL Wildcard với xác thực tên miền.

Wildcard SSL của Symantec cũng đưa ra đánh giá lỗ hổng hàng ngày để quét từng tên miền phụ chống lại các mối đe dọa độc hại.

Ký tự đại diện với xác thực doanh nghiệp hiển thị tên tổ chức trong trường URL.

  1. Giá SSL: Vì Symantec cung cấp nhiều tính năng cùng với ký tự đại diện, giá của nó cao so với Comodo và RapidSSL.

Vì vậy, nếu bạn muốn bảo mật trang web và tên miền phụ của mình bằng xác thực doanh nghiệp, bạn phải chọn Symantec, GeoTrust hoặc Thawte và để xác thực tên miền, bạn có thể đi với Comodo hoặc RapidSSL. Và nếu bạn muốn cài đặt bảo mật nhiều lớp với đánh giá lỗ hổng hàng ngày, bạn có thể đi với Giải pháp Wildcard của Symantec.

Jake Adley
nguồn
5
Cảm ơn câu trả lời của bạn, tuy nhiên tôi không đồng ý rằng thị phần ngụ ý sự tin tưởng. Comodo có thể có thị phần lớn nhất vì chủ sở hữu trang web thích chứng chỉ rẻ hơn, không phải vì họ tin tưởng Comodo hơn Symantec. Thật là một bước nhảy để kết luận rằng Comodo đáng tin cậy nhất khi thị phần của nó chỉ 3.3%đi trước Symantec; đồng thời, nếu một người thấy rằng một trang web đang sử dụng chứng chỉ Verizon, liệu niềm tin của họ có tương ứng với thị phần chứng chỉ SSL của Verizon 0.7%không? - Không. Xác nhận doanh nghiệp là một liên lạc tốt đẹp, tuy nhiên tôi đặt câu hỏi về sự khác biệt của nó đối với người bình thường.
dùng664833
Tôi đồng ý với lời bình luận ở trên. Comodo đã bị hack hơn một lần và các khóa ký của họ bị đánh cắp. Bảng điểm từ các tin tặc vẫn còn trôi nổi trên web cho đến ngày nay (tìm kiếm ZF0 và Comodo). Họ đã rất cẩu thả trong việc xử lý các ký kết của họ.
Aaron
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.