ทำไมการรับรอง godaddy HTTPS / SSL จึงถูกกว่า digicert, thawte และ verisign มาก?

ฉันเป็นผู้เริ่มหัดใช้ HTTPS / SSL แต่ GoDaddy คิดค่าธรรมเนียม $ 12.99 และ Digicert, thawte และ Verisign คิดค่าใช้จ่าย $ 100-1,000 + สำหรับใบรับรอง SSL

ฉันต้องหายไปบางอย่างกับคุณภาพของการเข้ารหัสหรืออะไรบางอย่าง บางคนสามารถอธิบายความแตกต่างพื้นฐานบางอย่างที่นำไปสู่ราคาที่แตกต่างกันเหล่านี้ได้หรือไม่?

อัปเดต $ 12.99 เป็นราคาขาย โดยทั่วไปแล้วใบรับรอง SSL ราคา $ 89.99 ใน GoDaddy นี่คือลิงค์ใน Godaddy ซึ่งทำให้การเปรียบเทียบคำถามนี้ถามมากเกี่ยวกับ: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

ขอบคุณ

ทิม

นอกเหนือจากข้อเสนอที่ไม่น่าเชื่อคุณสามารถแยกความแตกต่างระหว่างใบรับรอง SSL ที่ตรวจสอบความถูกต้องของโดเมนและใบรับรอง SSL (EV) ที่ผ่านการตรวจสอบความถูกต้องเพิ่มเติม

ใบรับรองทั้งสองนั้นเหมือนกันทางเทคนิค (การเชื่อมต่อถูกเข้ารหัส) แต่ใบรับรองที่ตรวจสอบความถูกต้องของโดเมนนั้นมีราคาถูกกว่าเพราะผู้ขายจะต้องตรวจสอบโดเมนเท่านั้น ใบรับรอง EV ยังต้องการข้อมูลเกี่ยวกับเจ้าของโดเมนและผู้ขายควรตรวจสอบว่าข้อมูลนี้ถูกต้องหรือไม่ (ความพยายามในการดูแลระบบเพิ่มเติม)

โดยปกติแล้วคุณจะเห็นความแตกต่างเมื่อคุณเยี่ยมชมไซต์ด้วยเบราว์เซอร์ ตัวอย่างเช่น Firefox จะเน้นโดเมนเป็นสีน้ำเงินสำหรับ SSL ที่ตรวจสอบความถูกต้องของโดเมนและสีเขียวสำหรับการตรวจสอบความถูกต้องแบบขยาย SSL

สองตัวอย่าง:

• https://accounts.google.com/ (ผ่านการตรวจสอบโดเมน)
• https://www.postfinance.ch/ (ผ่านการตรวจสอบเพิ่มเติม)

ในกรณีส่วนใหญ่ใบรับรองการตรวจสอบความถูกต้องของโดเมนนั้นดีผู้ใช้จะไม่มีข้อเสียและใบรับรอง EV มีราคาแพงเกินไป

จากเว็บไซต์ GoDaddy:

เพลิดเพลินไปกับการสนับสนุนมาตรฐานอุตสาหกรรมที่กำหนดไว้แล้ว ไม่มีความแตกต่างทางเทคนิคระหว่างใบรับรองของเรากับผู้ออกใบรับรองรายใหญ่อื่น ๆ

ที่มา: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

การกำหนดราคาเป็นเรื่องตลกในบางครั้ง ในขณะที่ฉันไม่รู้ว่าทำไม GoDaddy ตั้งราคาผลิตภัณฑ์ของพวกเขาในแบบที่พวกเขาทำบาง บริษัท ไปหาลูกค้าเพิ่มในราคาที่ถูกกว่า

เปรียบเทียบง่ายๆ บริษัท 1 สามารถดึงดูดลูกค้าได้มากขึ้นโดยนำเสนอผลิตภัณฑ์ในราคาที่ถูกกว่า อย่างไรก็ตาม บริษัท 2 สามารถนำเสนอผลิตภัณฑ์ของพวกเขาในราคาที่สูงขึ้นซึ่งสามารถชดเชยจำนวนลูกค้าที่ลดลง

บริษัท 1: ลูกค้า 100 รายจ่าย $ 20 / เดือน = $ 24,000 / ปี

บริษัท 2: ลูกค้า 200 รายจ่าย $ 10 / เดือน = $ 24,000 / ปี

ดังนั้นอย่างที่คุณเห็นในการเปรียบเทียบที่ง่ายมากนี้ทั้งสองรุ่นได้รับรายได้ต่อปีเหมือนกันอย่างไรก็ตาม บริษัท หนึ่งนำเสนอผลิตภัณฑ์ของพวกเขาสองเท่ามากกว่าที่อื่น ๆ

จะค่อนข้างซื่อสัตย์ ไม่มีความแตกต่างอย่างแน่นอนเมื่อพูดถึงใบรับรอง SSL ปัจจัยสนับสนุนเท่านั้นคือแท็ก EV / non EV / Wildcard

EV == Extended Validation: นี่หมายความว่าไซต์นั้น "ping" โดยผู้ออกใบรับรองบน ​​IP ที่ให้ไว้ของโดเมนจากนั้นสคริปต์ฝั่งเซิร์ฟเวอร์จะเปรียบเทียบที่อยู่ IP ของการตอบสนองการ ping จาก CA และที่อยู่ IP ของคุณ กำลังเยี่ยมชม สิ่งนี้ไม่รับประกันว่าจะไม่มีการโจมตีจากคนกลางหรือการ DNS แบบพิษทั่วทั้งเครือข่าย สิ่งนี้ช่วยให้มั่นใจได้ว่าไซต์ที่คุณกำลังดูนั้นเป็นเว็บไซต์เดียวกับที่ CA เห็น

Non-EV == ไม่มีใครตรวจสอบ IP ของโดเมนกับ IP ที่บันทึก / ระบุเพื่อความปลอดภัย

Wildcard == * .domain.com ตามใบรับรองมักใช้เมื่อผู้คนมีโดเมนย่อยมากมายหรือชุดของโดเมนย่อยที่เปลี่ยนแปลงตลอดเวลา แต่ยังต้องการการเข้ารหัส SSL ที่ถูกต้อง

ความจริงที่อยู่เบื้องหลังใบรับรอง SSL

คุณสามารถทำด้วยตัวเอง ปลอดภัยไม่น้อยกว่าใบรับรองอื่น ๆ ความแตกต่างที่เป็นใบรับรอง "ลงชื่อด้วยตนเอง" ไม่ได้เป็น "รับรองโดย" โดยบุคคลที่สามใด ๆ

ปัญหาเกี่ยวกับใบรับรอง SSL คือพวกเขามีราคาสูงเกินจริงสำหรับสิ่งที่พวกเขาเป็น ไม่มีผู้รับรองอย่างแน่นอนว่าไซต์ที่คุณกำลังเข้าชมนั้นเป็นของใครก็ตามที่มีการระบุไว้ในใบรับรองว่าเป็นเจ้าของ / สถานที่ ฯลฯ สิ่งนี้เอาชนะจุดประสงค์ของรูปแบบบุคคลที่สามที่ไว้วางใจเชน SSL ได้รับการพัฒนาเพื่อใช้งาน

ผู้ออกใบรับรองทั้งหมดที่รู้จักในนาม CA ซึ่งขายใบรับรองต้องการให้ผู้ใช้เชื่อว่าใบรับรองของตนนั้นดีกว่าอย่างใด เมื่อในความเป็นจริงพวกเขาไม่เคยตรวจสอบข้อมูลที่ให้ไว้สำหรับใบรับรองเว้นแต่จะมีปัญหาที่อาจทำให้พวกเขามีรายได้ การปฏิบัตินี้ยังเอาชนะวัตถุประสงค์ของรูปแบบ SSL-chain trust

ฉันรู้ว่ามีเพียงหนึ่ง CA ที่รับรองว่าเป็นใบรับรองแน่นอน นี่คือ CACert.org

สำหรับพวกเขาที่จะออกใบรับรอง "สมบูรณ์" (ชื่อธุรกิจ, ชื่อ, ที่อยู่, โทรศัพท์ ฯลฯ .. ) คุณต้องพบกับหนึ่งในผู้ประกันตนของพวกเขา FACE-TO-FACE!

อย่างไรก็ตาม เบราว์เซอร์ส่วนใหญ่ไม่ใช้ CACert.org เนื่องจากความกดดันที่เพิ่มขึ้นโดย บริษัท ขนาดใหญ่เช่น Thawte, Comodo และ Verisign

ดังนั้น .. เพื่อสรุปมันทั้งหมดขึ้นมา

ข้อแตกต่างระหว่างใบรับรองคือลักษณะการทำงานของ CA ใบรับรองไม่สามารถเชื่อถือได้จริง ๆ ในการตรวจสอบสิ่งอื่นนอกจากการเชื่อมต่อไปยังไซต์กำลังใช้การเข้ารหัส

ในตอนท้ายของวันคนคิดว่าการจ่ายเงิน $ 100 - $ 1,000 อย่างใดเท่ากับความน่าเชื่อถือ กรณีนี้ไม่ได้. มันหมายถึงว่าคุณจัดการกับโจรที่มีความซับซ้อนน้อยลงหรือเป็นที่ยอมรับน้อย

สิ่งใดที่คุ้มค่ามากกว่าการอ้างอิงจากฉันหรือการอ้างอิงจาก Bill Bill? คุณต้องจำไว้ว่า certs เป็นมากกว่าโซลูชันทางเทคนิคพวกเขาเป็นคนที่รับรองคุณและ บริษัท สามารถกำหนดราคาตามที่พวกเขาคิดว่าชื่อเสียงของพวกเขามีค่า

ฉันเพิ่งพบว่า GoDaddy ไม่อนุญาตใบรับรอง "ซ้ำกัน" สำหรับ wildcard SSL ของคุณ (ตรงข้ามกับที่บอกว่า GlobalSign, DigiCert ซึ่งอนุญาตให้ใช้และไม่ จำกัด จำนวน)

นั่นเป็นเรื่องน่าเสียดายเนื่องจากนี่มักใช้เมื่อคุณจัดการฟาร์มเซิร์ฟเวอร์และแต่ละแห่งมีคีย์ส่วนตัว / csr ของตัวเอง

ฉันทำงานให้กับ บริษัท บุคคลที่สามในโครงการเว็บสำหรับ บริษัท เทคโนโลยีขนาดใหญ่ เราใช้ใบรับรอง GoDaddy SSL และพบว่า CA นี้ถูกปฏิเสธในเครือข่าย บริษัท ภายใน

บริษัท ในเวลานั้น (2 ปีก่อน) ไม่ยอมรับ GoDaddy ในฐานะหน่วยงานที่เชื่อถือได้โดยอัตโนมัติ เป็นเพียงการโน้มน้าวใจเท่านั้นที่ใบรับรองของเราได้รับการยอมรับ

หากเราเคยใช้แบรนด์พรีเมี่ยมเช่น Thawte ก็คงไม่มีปัญหาอะไร ฉันไม่แน่ใจว่าทำไม บริษัท ถึงมีนโยบายนี้ แต่บางทีราคาของใบรับรองทำให้พวกเขาดูน่าเชื่อถือน้อยลง

นี่เป็นความแตกต่างในโลกแห่งความจริงเพียงอย่างเดียวระหว่างใบรับรองจาก GoDaddy และ CA ขนาดใหญ่อื่น ๆ ที่ฉันเจอ

ในทางเทคนิคไม่มีความแตกต่าง ผู้ให้บริการออกใบรับรองส่วนใหญ่เสนอผลิตภัณฑ์ที่คล้ายคลึงกันการตรวจสอบความถูกต้องมาตรฐานหรือการตรวจสอบเพิ่มเติมซึ่งองค์กร / บริษัท และโดเมนของเจ้าของได้รับการตรวจสอบและใช้สัญลักษณ์แทน

สิ่งที่ทำให้ราคาแตกต่างกันคือ:

1. การสร้างตราสินค้า
2. การประกัน
3. คุณภาพของการบริการ
4. ปริมาณ

สำหรับการสร้างแบรนด์ตัวอย่างที่ดีที่สุดคือ Digicert - พวกเขาออกใบรับรองให้กับแบรนด์เช่น Twitter, Facebook หรือแม้แต่ StackExchange การลงจอดลูกค้าประเภทนี้ต้องใช้งบประมาณในการโน้มน้าวใจและการสร้างแบรนด์ไม่มีข้อพิสูจน์ว่าพวกเขามีเทคโนโลยีที่ดีกว่าใคร

การรับประกันเป็นเรื่องประกัน โดยปกติจะเป็นจำนวนเงินระหว่าง 0 ถึงล้านดอลลาร์โดยทั่วไปแล้วจะบอกคุณว่า CA มีประกันเท่าใดเมื่อคุณขายใบรับรองหากสิ่งที่เกิดขึ้นเช่นการทำธุรกรรมบัตรเครดิตที่ฉ้อโกงเกิดขึ้นและเป็นความผิดพลาดของพวกเขาพวกเขาจะครอบคลุมค่าใช้จ่าย รับประกันความสูง ด้วยใบรับรอง SSL มาตรฐานส่วนใหญ่จะขายให้กับ บริษัท CA เพื่อให้พวกเขาสามารถเรียกเก็บเงินจากเจ้าของได้มากขึ้นเนื่องจากเทคโนโลยีการเข้ารหัสและความปลอดภัยเหมือนกันการรับประกันใบรับรอง EV อาจมีการใช้งานบางอย่าง แต่โดยปกติเมื่อคุณอ่านข้อกำหนดและเงื่อนไข และดูการประชดของมันทั้งหมด

คุณภาพของบริการเป็นสิ่งที่มักจะเป็นอัตนัยมากขึ้นอยู่กับลูกค้าจ่าย CA บางแห่งมีระบบสำหรับลูกค้ารายใหญ่ที่สามารถช่วยคุณติดตามใบรับรองที่คุณซื้อหากเป็นเจ้าของหรือจัดการใบรับรองมากกว่าร้อยใบคุณอาจจ่ายมากกว่าเล็กน้อยและมีซอฟต์แวร์การจัดการแดชบอร์ดตัวเลือกการเรียกเก็บเงินด้วยบัตรเครดิตที่กว้างขึ้น เครื่องมือสำหรับการบำรุงรักษาใบรับรองเครื่องมือการรายงาน CA บางแห่งมีเคล็ดลับความปลอดภัยสำหรับการติดตั้งเซิร์ฟเวอร์

ปริมาณทำให้ราคาลดลง ในฐานะที่เป็น CA หากคุณขายมากขึ้นราคาของคุณจะต่ำกว่าในฐานะลูกค้าเมื่อคุณซื้อเพิ่มคุณอาจขอราคาที่ดีกว่า