Como decidir onde comprar um certificado SSL curinga?

63

Recentemente, precisei comprar um certificado SSL curinga (porque preciso proteger vários subdomínios) e, quando procurei pela primeira vez onde comprar um, fiquei impressionado com o número de opções, declarações de marketing e faixa de preço. Criei uma lista para me ajudar a ver os truques de marketing que a grande maioria das Autoridades de Certificação (CAs) colam em seus sites. No final, minha conclusão pessoal é que praticamente as únicas coisas que importam são o preço e o prazer do site da CA.

Pergunta: Além do preço e de um site legal, há algo digno de minha consideração ao decidir onde comprar um certificado SSL curinga?

user664833
fonte
3
Um critério que não deve conduzir sua decisão é a segurança da CA. E é importante entender o porquê. O motivo é que qualquer CA com a qual você não está negociando pode comprometer sua segurança tão facilmente quanto aquela com a qual você está negociando. Há duas maneiras pelas quais a falta de segurança de uma CA pode prejudicá-lo. Se eles obtiverem o número do seu cartão de crédito, poderão vazá-lo (isso não é diferente de nenhuma outra transação online). E se eles fazem algo tão ruim que os navegadores deixam de confiar neles, você precisa obter um novo certificado de uma CA diferente em pouco tempo.
precisa saber é o seguinte

Respostas:

49

Acredito que, no que diz respeito à decisão de onde comprar um certificado SSL curinga, os únicos fatores importantes são o custo do primeiro ano de um certificado SSL e a agradável qualidade do site do vendedor (ou seja, experiência do usuário) para a compra e configuração do certificado. .

Estou ciente do seguinte:

  • Reivindicações sobre garantias (por exemplo, US $ 10 mil e US $ 1,25 milhão) são truques de marketing - essas garantias protegem os usuários de um determinado site contra a possibilidade de a CA emitir um certificado para um fraudador (por exemplo, site de phishing) e o usuário perder dinheiro como resultado ( mas, pergunte a si mesmo: alguém está gastando / perdendo US $ 10 mil ou mais em seu site fraudulento? oh, espere, você não é um fraudador?

  • É necessário gerar uma chave privada 2048-bitCSR ( solicitação de assinatura de certificado ) para ativar seu certificado SSL. De acordo com os modernos padrões de segurança, não é permitido o uso de códigos CSR com tamanho de chave privada menor que 2048 bits. Saiba mais aqui e aqui .

  • Reivindicações de 99+%, 99.3%ou 99.9%compatibilidade de navegador / dispositivo.

  • Reivindicações de emissão rápida e fácil instalação .

  • É bom ter uma garantia de devolução do dinheiro (15 e 30 dias são comuns).

A lista a seguir de preços base do certificado SSL curinga (não de vendas), autoridades emissoras e revendedores foi atualizada em 30 de maio de 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Observe que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity e SSL2BUY são revendedores, não autoridades de certificação.

A Namecheap oferece uma escolha de Comodo / PostiveSSL e Comodo / EssentialSSL (embora não exista diferença técnica entre os dois, apenas branding / marketing - perguntei à Namecheap e Comodo sobre isso - enquanto o EssentialSSL custa alguns dólares a mais (US $ 100 vs US $ 94) ) O DNSimple revende o EssentialSSL da Comodo, que, novamente, é tecnicamente idêntico ao PositiveSSL da Comodo.

Observe que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap e DNSimple fornecem não apenas os certificados SSL curinga mais baratos, mas também os menos artifícios de marketing de todos os sites que revi; e DNSimple parece não ter nenhum tipo de truque. Aqui estão os links para os certificados de 1 ano mais baratos (como não posso vincular a eles na tabela acima):

Em março de 2018, o Let's Encrypt suporta certificados curinga . O DNSimple suporta certificados Let's Encrypt.

user664833
fonte
11
Veja o preço por instância - por exemplo, eu posso ter 100000000000000 servidores e pagar à minha CA apenas 1 preço. Muitas CAs querem dinheiro para cada servidor!
Arek B.
11
Talvez eu tenha perdido, mas não vi nenhuma referência ao preço por instância nos sites da CA que eu olhei. Estou hospedando no Heroku, onde meu aplicativo está sendo executado em vários dynos ( contêineres Unix virtualizados ), e a documentação do ponto de extremidade SSL do Heroku não menciona nada sobre instâncias ou dynos - portanto, suponho que o preço por instância não seja pertinente às minhas necessidades particulares. é claro que outras pessoas podem achar seu comentário interessante. Obrigado mesmo assim!
User664833
2
Os preços por servidor simplesmente não fazem sentido. Depois de ter um certificado, você estará absolutamente livre para exportá-lo de um computador e importá-lo para qualquer outro.
Massimo
As licenças @Massimo por servidor costumavam ser bastante comuns. Imposta exatamente como você aplicaria uma licença antiga do Windows - contratos e sistema de honra.
ceejayoz
@ceejayoz Ok, eu estava querendo dizer que não há restrições técnicas para instalar o mesmo certificado em vários servidores (e existem cenários em que isso é um requisito, por exemplo, servidores Web com balanceamento de carga). Obviamente, os contratos podem dizer o contrário.
Massimo
11

Outro ponto a considerar é a reemissão de certificados .

Eu realmente não entendi o que isso significava até que o inseto com o coração apareceu. Eu supus que isso significava que eles lhe dariam uma segunda cópia do seu certificado original e me perguntei o quão desorganizado deveria ser para precisar desse serviço. Mas parece que isso não significa que: pelo menos alguns fornecedores carimbam com prazer uma nova chave pública , desde que isso aconteça durante a validade do certificado original. Presumo que eles adicionem seu certificado original a alguma CRL, mas isso é uma coisa boa.

Os motivos pelos quais você deseja fazer isso são que você corrompeu ou perdeu sua chave privada original ou, de alguma forma, perdeu o controle exclusivo dessa chave e, é claro, a descoberta de um bug mundial no OpenSSL que torna provável que sua propriedade privada A chave foi extraída por uma parte hostil.

Pós-sincero, considero isso uma coisa boa definitiva, e agora fique de olho nas futuras compras de certificados.

Chapeleiro Louco
fonte
2

Embora o preço seja provavelmente uma questão fundamental, as outras questões são a credibilidade do provedor , a aceitação do navegador e, dependendo do seu nível de competência, o suporte ao processo de instalação (um problema maior do que parece, especialmente quando algo dá errado).

Vale a pena notar que vários provedores são de propriedade dos mesmos players de ponta - por exemplo, Thawte e Geotrust e acredito que a Verisign são de propriedade da Symantec - os certificados da Thawte são, no entanto, muito, muito mais caros do que a Geotrust, sem nenhuma necessidade Razão, motivo.

Por outro lado, um certificado emitido pelo StartSSL (que eu não estou batendo, acho o modelo deles legal), não é tão bem suportado no navegador e não tem o mesmo nível de credibilidade que os grandes players. Se você deseja colocar "placebos de segurança" em seu site, às vezes vale a pena procurar um player maior - embora isso provavelmente importe muito menos para certificados curinga do que para Certificados EV.

Como alguém apontou, outra diferença pode ser o "lixo do lixo" associado ao certificado - eu sei que os Thawte EV Certs que eu fui instruído anteriormente a serem permitidos apenas para uso em um único servidor , enquanto os Geotrust certs mais tarde persuadir a gerência a substituí-los não era apenas mais barato, mas não tinha essa limitação - uma limitação totalmente arbitrária imposta por Thawte.

davidgo
fonte
4
A credibilidade do provedor é praticamente sem sentido. Se tiver o ícone de cadeado, os usuários não se importam. Se você estiver trabalhando com uma empresa da Fortune 500 com uma equipe de segurança, eles podem exigir um fornecedor específico, mas caso contrário ... quem se importa? Quanto ao StartSSL, eles parecem ser amplamente suportados: "todos os principais navegadores incluem suporte para StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz
11
Se um provedor que cobra cobranças por revogação à luz de pessoas infelizes e invadidas por hackers não faz diferença, e as horas de inatividade para regenerar certs não prejudicam a credibilidade da empresa, então Startssl você está correto quanto à credibilidade (eu gosto do beginsl, mas esse é um tópico diferente). Enquanto sua aceitação navegador é muito elevado, é menor, então outros provedores - ver forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
Quantos usuários finais você acha que a) verifica quem emitiu um certificado eb) sabe sobre a cobrança do StartSSL pelas revogações do Heartbleed? Inferno, eu não verificar quem emitiu uma SSL. O que eles fizeram é péssimo . O número de pessoas que você perderia usando seus certificados provavelmente números com um dígito é tudo o que estou dizendo.
precisa
Observe que o StartSSL não será mais confiável pelo Google Chrome. Veja security.googleblog.com/2016/10/…
sbrattla 18/11/16
@sbrattla yup - é claro, o beginsl não é mais a empresa que era quando escrevi esse comentário. A Wosign a adquiriu - furtivamente - em novembro de 2015.
davidgo 18/11/16
1

Você deve selecionar o certificado SSL curinga com base em suas necessidades de segurança.

Antes de comprar o certificado SSL curinga, você deve conhecer alguns fatores mencionados abaixo

  1. Nível de reputação e confiança da marca: conforme pesquisa recente da W3Techs sobre autoridades de certificação SSL, a Comodo ultrapassou a Symantec e se tornou a CA mais confiável, com 35,4% de participação de mercado.

  2. Tipos Recursos ou SSL curinga: autoridades de certificação SSL como Symantec, GeoTrust e Thawte estão oferecendo certificado SSL curinga com validação comercial. Atrai mais visitantes e aumenta também o fator de confiança do cliente. Enquanto outros CA, Comodo e RapidSSL estão oferecendo SSL curinga apenas com validação de domínio.

O SSL Wildcard da Symantec também oferece uma avaliação diária da vulnerabilidade, que verifica cada subdomínio em busca de ameaças maliciosas.

O curinga com validação comercial exibe o nome da organização no campo URL.

  1. Preço do SSL: como a Symantec oferece vários recursos juntamente com o curinga, seu preço é alto em comparação com o Comodo e o RapidSSL.

Portanto, se você deseja proteger seu site e subdomínios com a validação comercial, escolha Symantec, GeoTrust ou Thawte e, para a validação do domínio, use o Comodo ou o RapidSSL. E se você deseja instalar a segurança multicamadas com a avaliação diária da vulnerabilidade, pode usar a Wildcard Solution da Symantec.

Jake Adley
fonte
5
Obrigado pela sua resposta, no entanto, não concordo que a participação de mercado implique confiança. A Comodo pode ter a maior participação de mercado porque os proprietários de sites preferem certificados mais baratos, não porque confiam na Comodo mais do que na Symantec. É um grande salto concluir que a Comodo é mais confiável quando sua participação de mercado está apenas 3.3%à frente da Symantec; Além disso, se uma pessoa perceber que um site está usando um certificado Verizon, sua confiança corresponderá à participação de mercado de certificados SSL da Verizon 0.7%? - Não. A validação comercial é um toque agradável, no entanto, questiono que diferença isso faz para a pessoa comum.
User664833
Concordo com o comentário acima. O Comodo foi hackeado mais de uma vez e as chaves de assinatura foram roubadas. As transcrições dos hackers ainda estão flutuando na web até hoje (procure por ZF0 e Comodo). Eles eram muito desleixados no manuseio de seus certificados.
Aaron