จะตัดสินใจได้อย่างไรว่าจะซื้อใบรับรองไวด์การ์ด SSL ได้ที่ไหน

63

เมื่อเร็ว ๆ นี้ฉันต้องซื้อใบรับรอง SSL แบบ wildcard (เพราะฉันต้องการรักษาความปลอดภัยของโดเมนย่อยจำนวนหนึ่ง) และเมื่อฉันค้นหาตำแหน่งที่จะซื้อครั้งแรกฉันรู้สึกสับสนกับจำนวนของตัวเลือกการอ้างสิทธิ์ทางการตลาดและช่วงราคา ฉันสร้างรายการเพื่อช่วยให้ฉันเห็นว่าผ่านกลไกการตลาดซึ่งส่วนใหญ่ของ Certificate Authorities (CAs) ปลาสเตอร์ทั่วไซต์ของพวกเขา ในท้ายที่สุดข้อสรุปส่วนตัวของฉันคือสิ่งที่สำคัญเพียงอย่างเดียวคือราคาและความพึงพอใจของเว็บไซต์ของ CA

คำถาม:นอกจากราคาและเว็บไซต์ที่ดีแล้วมีสิ่งใดที่ควรค่าแก่การพิจารณาในการตัดสินใจซื้อใบรับรองไวด์การ์ด SSL

ssl  certificate-authority  security  ssl-certificate 
user664833
แหล่งที่มา
3
เกณฑ์หนึ่งที่ไม่ควรผลักดันการตัดสินใจของคุณคือความปลอดภัยของ CA และเป็นสิ่งสำคัญที่จะต้องเข้าใจว่าทำไม เหตุผลก็คือ CA ใด ๆ ที่คุณไม่ได้ทำธุรกิจด้วยอาจส่งผลต่อความปลอดภัยของคุณเช่นเดียวกับที่คุณทำธุรกิจด้วย การรักษาความปลอดภัยที่น่าสงสารของ CA มีสองวิธีที่อาจเป็นอันตรายต่อคุณ หากพวกเขาได้รับหมายเลขบัตรเครดิตของคุณพวกเขาสามารถรั่วไหลได้ (ซึ่งไม่แตกต่างจากการทำธุรกรรมออนไลน์อื่น ๆ ) และหากพวกเขาทำอะไรที่แย่จนเบราว์เซอร์หยุดไว้วางใจคุณต้องรับใบรับรองใหม่จาก CA อื่นโดยแจ้งให้ทราบสั้น ๆ
kasperd

คำตอบ:

49

ฉันเชื่อว่าด้วยความเคารพต่อการตัดสินใจว่าจะซื้อใบรับรองไวด์การ์ด SSL ปัจจัยเดียวที่สำคัญคือค่าใช้จ่ายปีแรกของใบรับรอง SSL และความพึงพอใจของเว็บไซต์ของผู้ขาย (เช่นประสบการณ์ผู้ใช้) สำหรับการซื้อและตั้งค่าใบรับรอง .

ฉันตระหนักถึงสิ่งต่อไปนี้:

  • การเรียกร้องเกี่ยวกับการรับประกัน (เช่น $ 10K, $ 1.25M) เป็นกลไกการตลาด - การรับประกันเหล่านี้ปกป้องผู้ใช้ของเว็บไซต์ที่กำหนดจากความเป็นไปได้ที่ CA จะออกใบรับรองให้กับผู้หลอกลวง (เช่นไซต์ฟิชชิ่ง) และผู้ใช้สูญเสียเงิน แต่ถามตัวเองว่า: มีคนใช้หรือสูญเสีย $ 10K หรือมากกว่าบนไซต์ที่ฉ้อโกงของคุณใช่ไหมคุณไม่ได้เป็นคนหลอกลวงหรือเปล่า?

  • จำเป็นต้องสร้างคีย์ส่วนตัว2048-bitCSR ( คำขอลงนามใบรับรอง ) เพื่อเปิดใช้งานใบรับรอง SSL ของคุณ ตามมาตรฐานความปลอดภัยที่ทันสมัยโดยใช้รหัส CSR ที่มีขนาดคีย์ส่วนตัวน้อยกว่า 2048 บิตไม่ได้รับอนุญาต เรียนรู้เพิ่มเติมที่นี่และที่นี่

  • การเรียกร้องของ99+%, 99.3%หรือ99.9%เบราว์เซอร์ที่เข้ากับอุปกรณ์ /

  • การเรียกร้องของการออกไปอย่างรวดเร็วและง่ายต่อการติดตั้ง

  • มันเป็นเรื่องดีที่มีการรับประกันความพึงพอใจคืนเงิน (15 และ 30 วันเป็นเรื่องธรรมดา)

รายการของราคาฐานใบรับรอง SSL ไวลด์การ์ดต่อไปนี้ (ไม่ใช่การขาย) และหน่วยงานผู้ออกและผู้ค้าปลีกได้รับการอัปเดตในวันที่ 30 พฤษภาคม 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* โปรดทราบว่า DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity และ SSL2BUY เป็นผู้ค้าปลีกไม่ใช่ผู้ออกใบรับรอง

Namecheap เสนอทางเลือกของ Comodo / PostiveSSL และ Comodo / EssentialSSL (แม้ว่าจะไม่มีความแตกต่างทางเทคนิคระหว่างทั้งสองเพียงแค่การสร้างแบรนด์ / การตลาด - ฉันถามทั้ง Namecheap และ Comodo เกี่ยวกับเรื่องนี้ - ในขณะที่ EssentialSSL มีค่าใช้จ่ายไม่กี่ดอลลาร์ ) DNSimple จะจำหน่าย EssentialSSL ของ Comodo ซึ่งในทางเทคนิคนั้นเหมือนกับ PositiveSSL ของ Comodo

โปรดทราบว่า SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap และ DNSimple ไม่เพียง แต่ให้การรับรอง SSL Wildcard SSL ที่ถูกที่สุดเท่านั้น แต่ยังมีกลไกการตลาดน้อยที่สุดสำหรับเว็บไซต์ทั้งหมดที่ฉันตรวจสอบ และ DNSimple ดูเหมือนจะไม่มีสิ่งใด ๆ ที่เป็นลูกเล่น นี่คือลิงค์ไปยังใบรับรอง 1 ปีที่ถูกที่สุด (เพราะฉันไม่สามารถลิงก์กับใบรับรองเหล่านี้ในตารางด้านบน):

ณ มีนาคม 2018 เข้ารหัส Let 'sสนับสนุนใบรับรองสัญลักษณ์แทน DNSimple รองรับ Let's Encrypt certificate

user664833
แหล่งที่มา
1
ดูราคาต่ออินสแตนซ์ - เช่นฉันสามารถมีเซิร์ฟเวอร์ 100000000000000 และจ่ายให้ CA ของฉันเพียงราคาเดียว CA ต้องการเงินจำนวนมากสำหรับทุกเซิร์ฟเวอร์!
Arek B.
1
บางทีฉันอาจจะพลาด แต่ฉันไม่เห็นการอ้างอิงถึงราคาต่ออินสแตนซ์ในไซต์ CA ที่ฉันดู ฉันกำลังโฮสต์บน Heroku ที่แอพของฉันทำงานบนหลาย dynos ( virtualized Unix container ) และเอกสารปลายทาง SSL ของ Herokuไม่ได้พูดถึงอะไรเกี่ยวกับอินสแตนซ์หรือ dynos - ดังนั้นฉันคิดว่าราคาต่ออินสแตนซ์นั้นไม่ตรงกับความต้องการของฉัน .. แน่นอนว่าคนอื่นอาจแสดงความคิดเห็นของคุณอย่างลึกซึ้ง ขอขอบคุณ!
user664833
2
การกำหนดราคาต่อเซิร์ฟเวอร์ไม่สมเหตุสมผลใด ๆ เมื่อคุณมีใบรับรองคุณจะสามารถส่งออกจากคอมพิวเตอร์ได้อย่างอิสระและนำเข้าจากที่อื่น
Massimo
@Massimo สิทธิ์ใช้งานแบบ per-server เคยเป็นเรื่องธรรมดา บังคับใช้เช่นเดียวกับที่คุณต้องการบังคับใช้สิทธิ์ใช้งาน Windows แบบเก่า - สัญญาและระบบการให้เกียรติ
ceejayoz
@ceejayoz ตกลงฉันหมายถึงไม่มีข้อ จำกัดทางเทคนิคในการติดตั้งใบรับรองเดียวกันบนเซิร์ฟเวอร์หลาย ๆ เครื่อง แน่นอนสัญญาสามารถพูดเป็นอย่างอื่น
Massimo
11

อีกประเด็นที่ควรพิจารณาคือการออกใบรับรองใหม่

ฉันไม่เข้าใจจริงๆว่าสิ่งนี้มีความหมายอย่างไรจนกว่าข้อผิดพลาด heartbleedมาพร้อม ฉันสันนิษฐานว่านั่นหมายความว่าพวกเขาจะให้สำเนาต้นฉบับฉบับที่สองของคุณแก่คุณและฉันสงสัยว่าจะต้องมีการจัดการที่ไม่เป็นระเบียบอย่างไร แต่มันปรากฏว่าไม่ได้หมายความว่าอย่างน้อยผู้ขายบางรายจะประทับตราคีย์สาธารณะใหม่อย่างมีความสุขตราบใดที่มันเกิดขึ้นในช่วงระยะเวลาของใบรับรองดั้งเดิม ฉันเข้าใจว่าพวกเขาเพิ่มใบรับรองดั้งเดิมของคุณลงใน CRL บางรายการ แต่นั่นเป็นสิ่งที่ดี

เหตุผลที่คุณต้องการทำเช่นนี้คือคุณได้ทำให้คีย์ส่วนตัวของคุณเสียหายหรือสูญหายหรือผ่านวิธีการบางอย่างทำให้สูญเสียการควบคุมคีย์เฉพาะนั้นและแน่นอนการค้นพบข้อผิดพลาดทั่วโลกใน OpenSSL ที่ทำให้เป็นไปได้ว่าส่วนตัวของคุณ คีย์ถูกแยกโดยบุคคลที่เป็นมิตร

โพสต์หัวใจฉันคิดว่านี่เป็นสิ่งที่ดีแน่นอนและตอนนี้จับตามองในการซื้อใบรับรองในอนาคต

MadHatter
แหล่งที่มา
2

ในขณะที่ราคาน่าจะเป็นประเด็นสำคัญประเด็นอื่น ๆ ที่มีความน่าเชื่อถือของผู้ให้บริการ , การยอมรับของเบราว์เซอร์และขึ้นอยู่กับระดับความสามารถของคุณสนับสนุนสำหรับการติดตั้ง (เป็นปัญหาที่ใหญ่กว่าก็จะปรากฏขึ้นโดยเฉพาะอย่างยิ่งเมื่อสิ่งที่ผิดพลาด)

เป็นที่น่าสังเกตว่าผู้ให้บริการหลายรายเป็นเจ้าของโดยผู้เล่นระดับบน - เช่น Thawte และ Geotrust และฉันเชื่อว่า Verisign นั้นเป็นเจ้าของโดย Symantec ทั้งหมด - certs ของ Thawte นั้นมีราคาแพงกว่า Geotrust โดยที่ไม่น่าสนใจ เหตุผล.

ในอีกด้านหนึ่งใบรับรองที่ออกโดย StartSSL (ที่ฉันไม่ได้เคาะฉันคิดว่ารุ่นของพวกเขาเจ๋ง) ไม่ได้รับการสนับสนุนเช่นกันในเบราว์เซอร์และไม่มีความน่าเชื่อถือในระดับเดียวกับผู้เล่นรายใหญ่ หากคุณต้องการที่จะฉาบปูน "สถานที่รักษาความปลอดภัย" ในเว็บไซต์ของคุณบางครั้งมันก็คุ้มค่าที่จะเป็นผู้เล่นที่ใหญ่กว่า - แม้ว่ามันอาจจะมีความสำคัญน้อยกว่าสำหรับบัตรไวด์การ์ด

ตามที่คนอื่นชี้ให้เห็นความแตกต่างอื่นอาจเป็น "crock of junk" ที่เชื่อมโยงกับใบรับรอง - ฉันรู้จัก Thawte EV Certs ที่ก่อนหน้านี้ฉันได้รับคำสั่งให้รับอนุญาตให้ใช้บนเซิร์ฟเวอร์เดียวเท่านั้นในขณะที่ Geotrust certs ฉันในภายหลัง การจัดการเพื่อชักชวนให้แทนที่พวกเขาด้วยไม่เพียง แต่มีราคาถูกกว่า แต่ไม่ได้มีข้อ จำกัด นี้ - ข้อ จำกัด โดยพลการอย่างสิ้นเชิงของ Thawte

davidgo
แหล่งที่มา
4
ความน่าเชื่อถือของผู้ให้บริการนั้นไม่มีความหมายมากนัก ถ้ามันมีไอคอนรูปแม่กุญแจที่ผู้ใช้ไม่สนใจ หากคุณทำงานกับ บริษัท Fortune 500 กับทีมรักษาความปลอดภัยพวกเขาอาจต้องการผู้ขายรายหนึ่ง แต่อย่างอื่น ... ใครจะสนใจ? สำหรับ StartSSL พวกเขาดูเหมือนจะได้รับการสนับสนุนอย่างกว้างขวาง: "เบราว์เซอร์หลักทั้งหมดรวมถึงการสนับสนุน StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz
1
หากผู้ให้บริการที่เรียกเก็บเงินสำหรับการเพิกถอนในแง่ของการแฮ็กและพวกเขาถูกแฮ็คไม่ได้สร้างความแตกต่างและชั่วโมงการหยุดทำงานเพื่อสร้างใบรับรองใหม่ไม่ทำลายความน่าเชื่อถือของ บริษัท Startssl คุณถูกต้องเกี่ยวกับความน่าเชื่อถือ นั่นคือหัวข้อที่แตกต่างกัน) ในขณะที่การยอมรับของเบราว์เซอร์ของพวกเขานั้นสูงมาก แต่ก็ต่ำกว่าผู้ให้บริการรายอื่น ๆ - ดูforum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
คุณคิดว่าผู้ใช้ปลายทางมีกี่คน a) ตรวจสอบเพื่อดูว่าใครเป็นผู้ออกใบรับรองและ b) รู้เกี่ยวกับการเริ่มต้น StartSSL สำหรับการยกเลิก Heartbleed หรือไม่ เฮ้ฉันไม่ได้ตรวจสอบว่าใครเป็นคนออก SSL สิ่งที่พวกเขาครับ จำนวนคนที่คุณสูญเสียโดยใช้ใบรับรองของพวกเขาอาจเป็นตัวเลขในหลักเดียวคือทั้งหมดที่ฉันพูด
ceejayoz
โปรดทราบว่า Google Chrome จะไม่เชื่อถือ StartSSL อีกต่อไป ดูsecurity.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - ของแน่นอน startssl ไม่ได้เป็น บริษัท อีกต่อไปเมื่อฉันเขียนความคิดเห็นนี้ Wosign ซื้อกิจการ - อย่างลับ ๆ ล่อๆ - ในเดือนพฤศจิกายน 2558
davidgo
1

คุณต้องเลือกใบรับรอง Wildcard SSL ตามความปลอดภัยของคุณ

ก่อนที่จะซื้อใบรับรอง SSL แบบ Wildcard คุณต้องทราบเกี่ยวกับปัจจัยบางอย่างที่กล่าวถึงด้านล่าง

  1. ชื่อเสียงและความน่าเชื่อถือของแบรนด์: จากการสำรวจล่าสุดของW3Techในหน่วยงานออกใบรับรอง SSL Comodo ได้เข้าร่วมไซแมนเทคและกลายเป็น CA ที่น่าเชื่อถือที่สุดด้วยส่วนแบ่งตลาด 35.4%

  2. คุณสมบัติประเภทหรือ Wildcard SSL:หน่วยงานออกใบรับรอง SSL เช่น Symantec, GeoTrust และ Thawte เสนอใบรับรอง Wildcard SSL พร้อมการตรวจสอบความถูกต้องทางธุรกิจ ดึงดูดผู้เข้าชมมากขึ้นและเพิ่มปัจจัยความไว้วางใจของลูกค้าเช่นกัน ในขณะที่ CA, Comodo และ RapidSSL อื่น ๆ กำลังเสนอ Wildcard SSL พร้อมการตรวจสอบความถูกต้องของโดเมนเท่านั้น

Wildcard SSL ของไซแมนเทคยังมาพร้อมกับการประเมินความเสี่ยงรายวันซึ่งจะสแกนแต่ละโดเมนย่อยจากการคุกคามที่เป็นอันตราย

สัญลักษณ์แทนพร้อมการตรวจสอบความถูกต้องทางธุรกิจแสดงชื่อองค์กรในช่อง URL

  1. ราคา SSL:เนื่องจากไซแมนเทคมีคุณสมบัติหลายอย่างพร้อมกับไวด์การ์ดราคาจึงค่อนข้างสูงเมื่อเทียบกับ Comodo และ RapidSSL

ดังนั้นหากคุณต้องการรักษาความปลอดภัยของเว็บไซต์และโดเมนย่อยด้วยการตรวจสอบความถูกต้องทางธุรกิจคุณต้องเลือก Symantec, GeoTrust หรือ Thawte และการตรวจสอบความถูกต้องของโดเมนคุณสามารถไปกับ Comodo หรือ RapidSSL และหากคุณต้องการติดตั้งระบบรักษาความปลอดภัยแบบหลายเลเยอร์ด้วยการประเมินช่องโหว่รายวันคุณสามารถไปที่ Wildcard Solution ของไซแมนเทคได้

Jake Adley
แหล่งที่มา
5
ขอบคุณสำหรับคำตอบของคุณ แต่ฉันไม่เห็นด้วยที่ส่วนแบ่งตลาดแสดงถึงความไว้วางใจ Comodo อาจมีส่วนแบ่งการตลาดที่ใหญ่ที่สุดเพราะเจ้าของเว็บไซต์ต้องการใบรับรองที่ถูกกว่าไม่ใช่เพราะพวกเขาไว้วางใจ Comodo มากกว่า Symantec มันค่อนข้างกระโดดเพื่อสรุปว่า Comodo ได้รับความไว้วางใจมากที่สุดเมื่อส่วนแบ่งตลาดเป็นเพียง3.3%หน้าของไซแมนเทค หากบุคคลเห็นว่าไซต์กำลังใช้ใบรับรอง Verizon ความเชื่อถือของพวกเขาจะสอดคล้องกับส่วนแบ่งตลาดใบรับรอง SSL ของ Verizon 0.7%หรือไม่ - ไม่ได้การตรวจสอบความถูกต้องทางธุรกิจเป็นสิ่งที่น่าประทับใจ แต่ฉันก็ถามว่ามันทำให้คนทั่วไปมีความแตกต่างกันอย่างไร
user664833
ฉันเห็นด้วยกับความคิดเห็นข้างต้น โคโมโดถูกแฮ็กมากกว่าหนึ่งครั้งและกุญแจการเซ็นชื่อของพวกเขาถูกขโมย การถอดเสียงจากแฮกเกอร์ยังคงลอยอยู่บนเว็บจนถึงทุกวันนี้ (มองหา ZF0 และ Comodo) พวกเขาเลอะเทอะมากในการจัดการเซ็นรับรองของพวกเขา
แอรอน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.