Các loại chứng chỉ SSL khác nhau có phải là một trò lừa đảo không?


39

Tôi đang tìm kiếm một vài chứng chỉ SSL cho các tên miền để bao gồm những điều sau đây:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Chứng chỉ ký tự đại diện quá đắt, vì vậy tôi sẽ mua một chứng chỉ duy nhất cho mỗi tên miền phụ (tôi có đủ địa chỉ IP để đi khắp nơi).

Câu hỏi của tôi là, điều gì làm cho chứng chỉ $ 10 tốt hơn chứng chỉ $ 100?

Lấy ví dụ, phạm vi sản phẩm GeoTrust . Tôi biết EV là gì (không cần nó) và tôi biết Dấu bảo mật là gì (người dùng của chúng tôi đã tin tưởng chúng tôi, vì vậy không cần điều đó).

Nhưng tại sao tôi lại mua QuickSSL với giá 69 đô la khi tôi có thể nhận được RapidSSL với giá 10 đô la? Sự khác biệt duy nhất là "Nhận diện thương hiệu" (Trung bình đến Trung bình) và bảo hiểm.

Bất cứ ai cũng có thể lan truyền bất kỳ ý nghĩa nào về "Nhận diện thương hiệu"? Trang web công cộng của chúng tôi đã được người dùng của chúng tôi tin tưởng rất tốt và hai tên miền phụ khác chỉ dành cho Outlook Anywhere (và do đó sẽ không được hiển thị trong trình duyệt).

Đăng lại câu hỏi có liên quan từ https://serverfault.com/questions/82039/difference-b between -ssl- products


1
Nếu bạn đã mua một chứng chỉ SSL đắt tiền, bạn đã giúp Shuttleworth lên vũ trụ. Làm thế nào mà có thể là một scam?

4
Quay lại thời kỳ cũ của Internet, việc cung cấp các dịch vụ này có thể rất tốn kém. Họ nói rằng bạn đang trả tiền cho dịch vụ để xác minh danh tính của bạn. Việc điều tra các chứng chỉ phi thương mại điện tử theo kinh nghiệm của tôi là tầm thường và giả mạo. Xin lỗi, tôi chỉ coi thường toàn bộ ngành công nghiệp SSL này. Tôi ước ai đó sẽ tạo ra một tổ chức phi lợi nhuận sẽ cung cấp các dịch vụ tương tự.
Citadelgrad


Về cơ bản, nó giống như những đứa trẻ tuyệt vời nhất trong bữa tiệc nói rằng "anh chàng này là hợp pháp" khi một trình duyệt hỏi họ về bạn. Bạn trả tiền cho những đứa trẻ tuyệt vời đó để chấp nhận và nói về bạn. Thay vào đó, nếu bạn muốn họ nói "anh chàng này là TOTALLY EPIC" , thì bạn có thể chi nhiều tiền hơn. Miễn là SHA-256 của nó hoặc một cái gì đó tương tự, việc xác nhận không thành vấn đề. Có thể có 0,01% khách truy cập kiểm tra cơ quan xác thực. Tất cả những gì quan trọng với họ là họ thấy một khóa màu xanh lá cây cho dù đó là khóa $ 10 hay $ 1000.
dhaupin

@citadelgrad, Họ đã kiếm được lợi nhuận. Nó được gọi là CaCert.org. webmasters.stackexchange.com/questions/28595/ từ
Pacerier

Câu trả lời:


27

"Câu hỏi của tôi là, điều gì làm cho chứng chỉ 10 đô la tốt hơn chứng chỉ 100 đô la?"

Thông thường, giấy chứng nhận càng đắt tiền thì công ty chứng nhận càng cũ. Vì danh sách những người ký đáng tin cậy giao hàng với trình duyệt, chứng chỉ từ các công ty mới hơn có thể không được các trình duyệt cũ tin cậy.

Ví dụ: có thể chứng chỉ $ 10 không được IE5 tin cậy.

Nhưng đó là về nó.


8
Và mớ hỗn độn bị cắt xén mà IE5 hiển thị sau khi hiển thị bất kỳ trang web tuân thủ tiêu chuẩn hiện đại nào cũng không được tin cậy bởi người dùng của một phần # & * $ :) +1
Tim Post

Ngoài ra, đối với một số loại chứng chỉ nhất định, công ty phát hành sẽ nỗ lực hơn trong việc xác minh chi tiết về người / công ty yêu cầu ( en.wikipedia.org/wiki/Extends_Validation_Cert ve ). Nếu trình duyệt cho thấy một chứng chỉ là EV và người dùng nhận thấy rằng họ có thể tự tin hơn. IMHO họ sẽ không thông báo.
paulmorriss

Bạn đã bỏ lỡ điểm, nếu một chứng chỉ đắt hơn thì bạn sẽ được bảo hiểm nhiều hơn, nếu trang web của bạn bị hack, chứng chỉ 100 đô la có thể trả cho bạn tới 1 triệu đô la trong đó chứng chỉ 10 đô la có thể không trả cho bạn bất cứ điều gì.
SSpoke

@SSpoke, tôi sẽ ngạc nhiên nếu không có xích mích khi bạn cố gắng đòi " $ 1,5 triệu USD ". Những con số này chỉ dành cho các ông lớn yêu cầu, không phải người dùng trung bình. Hãy tưởng tượng họ đã vi phạm và phải trả 300 nghìn người dùng, tổng số đó lên tới 450 tỷ đồng. Phần còn lại đảm bảo rằng người dùng của bạn sẽ không thể nhận được 1 triệu đô la mỗi người. Đồng thời xem các điều khoản và điều kiện tại positivessl.com/ssl-warwar.php
Pacerier


6

Tôi đã hỏi điều tương tự của DigiCert vào một ngày khác: tại sao rất nhiều chứng chỉ rẻ hơn nhiều so với của bạn (~ $ 25 so với ~ $ 100 mỗi năm)? Đây là câu trả lời họ đưa ra cho tôi (theo lời của tôi):

Các công ty khác chỉ xác minh tên miền của bạn (rằng người nhận chứng chỉ sở hữu tên miền) trong khi DigiCert (và những người khác) xác minh công ty đằng sau tên miền.

Điều này có nghĩa là họ cần kiểm tra sổ đăng ký công ty ở nước bạn để xác minh rằng công ty của bạn tồn tại và bạn có liên quan đến công ty như thế nào. Điều này cũng thường yêu cầu một cuộc gọi điện thoại và một số kiểm tra khác. Nếu không có kiểm tra này, tất cả những gì được yêu cầu là một máy tính để xác minh bản ghi whois với thông tin đã nhập.

Vì vậy, theo đánh giá của tôi, nếu bạn sẽ sử dụng chứng chỉ trên một trang web nơi khách hàng đang trả tiền cho một thứ gì đó hoặc nhập thông tin cá nhân của họ, thì chứng chỉ đắt hơn sẽ tốt hơn. Nếu bạn chỉ sử dụng trang web nội bộ (trong công ty) thì chứng chỉ rẻ hơn có lẽ là tất cả những gì bạn cần.


DigiCert có một cuộc xung đột cực độ về cảnh báo lợi ích (cũng xem security.stackexchange.com/questions/13453/ ám ). Nhân viên hỗ trợ đang vặn vẹo câu hỏi bằng cách so sánh các loại DV DV khác của CA với các loại EV của họ. Nhưng các CA khác cũng cung cấp certs EV với giá giảm nhiều từ họ.
Pacerier

4

"Câu hỏi của tôi là, điều gì làm cho chứng chỉ 10 đô la tốt hơn chứng chỉ 100 đô la?"

Câu trả lời là không có gì. Chứng chỉ là chứng chỉ là chứng chỉ (vì bạn không quan tâm đến "Nhận diện thương hiệu"), vì vậy không có gói EV, chứng chỉ chỉ là hàng hóa. Điều này giải thích lịch sử khá độc đáo.

Tuy nhiên, tôi nghĩ rằng sự công nhận thương hiệu có thể quan trọng đối với một số người dùng, nhưng nếu bạn chắc chắn rằng bạn là một nguồn đáng tin cậy, thì tôi sẽ không lo lắng về điều đó.


2

Cũng có vấn đề trong đó một số trình duyệt chọn ra rất nhiều chứng chỉ SSL hoàn toàn tốt và đánh dấu chúng là có khả năng không an toàn. Điều này là do một phần xung quanh những gì Darryl đã nói (tăng cường sự siêng năng về phía nhà cung cấp SSL để xác nhận bạn là ai). Không phải bản thân bảo mật thực sự khác biệt, nó chỉ nhằm mục đích cung cấp một lớp tin cậy tốt hơn.

Ngoài ra còn có những thứ như khả năng quản lý (tôi có thể phát hành và cấp lại certs cho nội dung trái tim của mình mà không bị chậm trễ, điều này rất tiện lợi khi tên miền đột nhiên trở nên khác biệt) và các đặc quyền khác có thể cải thiện trải nghiệm của bạn. Nhưng nếu phiên bản $ 10 làm những gì bạn cần và khách hàng của bạn không quan tâm ai là người được chứng nhận, thì hãy tìm kiếm nó.

Khi thời gian trôi qua, bạn có thể thấy rằng bạn đang thay đổi nhà cung cấp đơn giản vì bối cảnh hiện diện web của bạn đang thay đổi, vì vậy việc xem xét điều đó ngay bây giờ trước khi bạn bắt đầu là rất quan trọng.


2

Vào giữa năm 2015, tôi chưa tìm thấy bất kỳ nghiên cứu độc lập nào, hoặc thậm chí là bằng chứng giai thoại, rằng chứng chỉ EV sẽ tăng tỷ lệ chuyển đổi hoặc doanh số. Tôi đã mở rộng về điều đó trong câu trả lời của tôi cho Chứng chỉ EV SSL - có ai quan tâm không? .

Những gì dường như làm giảm sự từ bỏ giỏ hàng là con dấu tin cậy và huy hiệu . Con dấu tin cậy như vậy đi kèm với việc mua EV. Ngẫu nhiên, hôm nay là ngày 4 tháng 7 và Comodo có việc bán certs EV với giá 100 đô la thay vì 500 đô la, điều này đã thúc đẩy nghiên cứu này. Tôi vẫn chưa hoàn toàn bị thuyết phục theo cách này hay cách khác.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.