chọn đúng chứng chỉ SSL

18

Chúng tôi đang tìm mua một số chứng chỉ SSL để bảo mật các trang đăng nhập của các trang web thương mại điện tử. Không bắt buộc phải bảo đảm quy trình thanh toán thực tế vì điều này được bảo vệ bởi bên thứ ba với chứng chỉ xác thực của chính họ. quickSSL có vẻ như là một lựa chọn tốt (và giá rẻ) nhưng một nhân viên bán hàng đã nói với tôi rằng chúng chỉ phù hợp với "các trang web thử nghiệm" và khuyên chúng tôi nên sử dụng một lựa chọn có chi phí gấp 4 lần. Bất cứ ai cũng có thể đưa ra bất kỳ khuyến nghị về những gì chúng ta nên tìm kiếm và những gì chúng ta nên xem xét?

Cảm ơn.

ssl  ssl-certificate 
cướp
nguồn

Câu trả lời:

17

Chứng chỉ là, bất kể người bán hàng nói gì, khách quan khá nhiều đều giống nhau về mã hóa. Tất cả đều cho phép mã hóa 'đủ tốt', điều này thực sự chủ yếu phụ thuộc vào cấu hình của các máy chủ web và phần nào phụ thuộc vào khả năng của trình duyệt. Lệnh cấm xuất khẩu mã hóa mạnh của Mỹ đã được dỡ bỏ vài năm trước, vì vậy ngày nay, hầu hết các trình duyệt sẽ hỗ trợ mã hóa Twofish hoặc AES 128 bit, nếu máy chủ đề xuất điều này. (Đáng ngạc nhiên là nhiều máy chủ vẫn sử dụng 56bit DES, RC4 hoặc các sơ đồ yếu hơn khác, do sự thiếu hiểu biết của sysadmin hoặc để giảm tải CPU trên máy chủ.)

Vấn đề về mối quan hệ tin cậy chứng chỉ xích dài cũng không còn nhiều. Hầu hết các trình duyệt ngày nay có một bộ CA đáng tin cậy được cài đặt sẵn. Mở giao diện người dùng chứng chỉ trình duyệt của bạn để xem giao diện của bạn (Firefox 3: Công cụ> Tùy chọn> Nâng cao> Mã hóa> Xem chứng chỉ).

Thỉnh thoảng bạn có thể tìm thấy các chương trình khuyến mãi nơi các đại lý cung cấp các chứng chỉ Comodo, Digicert hoặc tương tự với giá ~ 20 USD hoặc hơn.

Mức độ "tin tưởng" trang web của bạn truyền cảm hứng cho khách hàng có thể là một sự cân nhắc . Có thể cho rằng, một con dấu trang Verisign và thanh Xác thực mở rộng màu xanh lục trong các trình duyệt tuân thủ tốt hơn mã hóa 128 bit đơn giản với chứng chỉ từ GoDaddy. Thật khó để nói, nó sẽ phụ thuộc rất nhiều vào nhân khẩu học, tuổi tác, trình độ hiểu biết về máy tính của bạn.

Một điều: Có thể có ích khi giữ thông tin DNS Whois của bạn chính xác, vì đó là một phần quan trọng trong cách CA xác minh bạn trước khi cấp chứng chỉ. Tôi sẽ tưởng tượng rằng việc nhận chứng chỉ của bạn từ một người nào đó mà bạn đang kinh doanh, chẳng hạn như máy chủ web / công ty đăng ký DNS, dễ dàng hơn việc xác minh bởi Comodo, Thawte, v.v.

Vì vậy, đề xuất của tôi là khẳng định người dùng của bạn và liệu nhãn hiệu 'đáng tin cậy' hơn trên con dấu trang web sẽ tạo ra nhiều doanh số hơn. Và sau đó thực hiện một trong những điều sau đây:

  • Nhận chứng chỉ 128 bit rẻ nhất bạn có thể từ nhà đăng ký đại lý / DNS / bất kỳ ai bạn đã có tài khoản. Có thể điều tra ngắn gọn ai ký Chứng nhận và CA gốc là gì, nhưng đừng đổ mồ hôi trừ khi đó là chuỗi CA khá tối nghĩa.
  • Nhận chứng chỉ SSL Verisign hoặc tương tự nổi tiếng (và đắt đỏ) với giá trị thương hiệu tốt và hiển thị con dấu trang web của họ một cách nổi bật. Xem xét đi cho một chứng nhận xác nhận mở rộng.

Các " Validation mở rộng " Giấy chứng nhận thêm một số IMHO giá trị, vì các trình duyệt trực quan đảm bảo người dùng rằng mọi thứ đều OK với thanh địa chỉ màu xanh lá cây, tên công ty nổi bật vv Thật không may, các chứng chỉ này cũng rất tốn kém, và gây phiền nhiễu nhiều hơn để có được xác nhận cho.

Dòng Tên
nguồn
cảm ơn rất nhiều, đây là quyết định của tôi. Tôi nghĩ rằng có lẽ chúng ta sẽ đạt được chứng chỉ thawte cấp nhập cảnh vì họ có sự thỏa hiệp tốt giữa giá tốt và thương hiệu thu hồi.
robjmills
Ngay cả khi thanh toán của bạn được lưu trữ bên thứ ba, hãy đặt thanh màu xanh lá cây EV trên trang web của bạn ngay khi khách hàng thể hiện sự quan tâm nghiêm túc đến việc mở ví của họ (thêm vào giỏ hàng, đăng ký, v.v.) và bạn sẽ thấy ROI, ngay cả trên đắt nhất EV certs, nếu các trang web của bạn đang nhận được một lưu lượng truy cập hợp lý. Yếu tố "Trên Internet, không ai biết bạn (không phải) một con chó" là rất lớn.
Terence Johnson
@TerenceJohnson Tôi điều hành một cổng thanh toán thương mại điện tử khá lớn với khoảng 3k thanh toán / ngày. Tháng trước chúng tôi đã đưa ra quyết định bỏ các loại thuốc EV để ủng hộ những người già. Đến bây giờ, không một người trả tiền nào phàn nàn về điều này và lưu lượng truy cập không bị thu hẹp.
kubanchot
5

Tôi chắc chắn có thể hiểu sự nhầm lẫn của bạn bởi vì nó là một khu vực khó hiểu. Như những người khác đã nói ở đây, nhìn chung một chứng chỉ là một chứng chỉ và cung cấp cùng một mức độ bảo vệ và trông giống nhau cho người dùng cuối. Tuy nhiên, có sự khác biệt, chủ yếu liên quan đến mức độ xác minh.

Cấp độ xác minh

Có ba cấp độ xác minh cơ bản: chỉ tên miền, tên miền và doanh nghiệp, và kinh doanh tên miền và danh tính của người đại diện. Tên miền chỉ thực sự xác thực khá yếu khi bạn nghĩ về nó, nó không chứng minh bạn là người bạn nói bạn là ai hay bạn có quyền sử dụng thương hiệu. Tuy nhiên, đối với hầu hết người dùng cuối, họ sẽ không biết sự khác biệt và họ sẽ thấy biểu tượng bị khóa. Tên miền và doanh nghiệp là những gì thường được cung cấp và họ thường yêu cầu một thứ tầm thường như thẻ tín dụng doanh nghiệp để xác minh bạn là doanh nghiệp đang được đề cập đến.

Xác minh mở rộng là tiêu chuẩn mới yêu cầu các bước bổ sung của CA để xác minh bạn thực sự là người bạn nói và là pháp nhân được phép giao dịch dưới tên đó. Xem mục của wikipedia để biết thêm chi tiết. Trong Firefox, chứng chỉ EV sẽ hiển thị dưới dạng hộp Xanh lục ở bên trái của chính URL với tên công ty.

Bồi thường

Mỗi nhà cung cấp SSL sẽ cung cấp bảo hiểm Bồi thường khác nhau nếu người khác sử dụng gian lận chứng chỉ của bạn hoặc tên miền của bạn đến từ cùng một CA. Tôi nghĩ rằng rất hiếm khi mọi người thực sự cần phải đi theo con đường này

Bảo hiểm trên các trình duyệt

Thông thường, tất cả các nhà cung cấp SSL chính sẽ được hỗ trợ ngay lập tức trên tất cả các hệ điều hành chính. Một số có thể yêu cầu bạn phục vụ một chuỗi chuỗi trung gian, điều này có thể gây rắc rối.

Thu hồi

Không phải tất cả CA đều hỗ trợ khả năng thu hồi chứng chỉ - thật ngạc nhiên với tôi khi tôi nhìn vào lần cuối này chỉ có một số url thu hồi chứng chỉ được liệt kê. Nếu bạn nghiêm túc về bảo mật của mình, hãy chọn một URL có URL thu hồi.

Tóm lược

Nhu cầu của bạn nghe có vẻ cơ bản và đơn giản, tôi sẽ khuyên bạn nên mua một cái gì đó giá rẻ. RapidSSL, InstantSSL, GoDaddy hoặc bất kỳ người chơi lớn nào khác đều ổn.

hellomynameisjoel
nguồn
2

Tôi đã nhận được chứng chỉ rapidssl mà tôi đã mua thông qua www.rapidsslonline.com. Không bao giờ có vấn đề với nó. Cũng có một chứng chỉ godaddy.com, cũng không bao giờ có vấn đề với điều đó. Hầu hết các trình duyệt sẽ nhận ra cả hai.

Verisign vv chỉ là một sự lãng phí tiền trừ khi có một nhu cầu cụ thể để hiển thị logo verisign hoặc một cái gì đó.

KristoferA
nguồn
1
quickSSL là một chứng chỉ gốc duy nhất là đủ và tôi đã ở điểm mua nó cho đến khi nhân viên bán hàng đưa ra nhận xét về các trang web thử nghiệm. Tôi đoán câu hỏi là liệu một thương hiệu ít được công nhận sẽ có vấn đề tiêu cực hay không
robjmills
cũng đã được đề xuất SSL123 bởi thawte - đây cũng là chứng chỉ cấp nhập cảnh nhưng có thương hiệu tốt hơn nhiều so với imo thawte.com/ssl-digital-certert/ssl123/index.html
robjmills
tự mình làm tan băng SSL123 chỉ phù hợp với các máy chủ nội bộ hoặc địa chỉ IP
robjmills
1
Các loại RapidSSL rẻ nhất có thể có từ namecheap.com - $ 10 / năm khi bạn mua hai hoặc ba năm.
TRS-80
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.