escolhendo o certificado SSL certo

Estamos procurando adquirir alguns certificados SSL para proteger as páginas de login dos sites de comércio eletrônico. Não é necessário proteger o processo de pagamento real, pois ele é protegido por terceiros com seu próprio certificado de verificação. O rapidSSL parece uma boa opção (e barata), mas um vendedor me disse que eles são adequados apenas para "locais de teste" e recomendou que usássemos um que fosse 4 vezes o custo. Alguém pode fazer alguma recomendação sobre o que devemos procurar e o que devemos considerar?

Obrigado.

Certificados são, independentemente do que os vendedores dizem, objetivamente praticamente da mesma forma em relação à criptografia. Todos eles habilitam a criptografia "suficientemente boa", que realmente depende principalmente da configuração dos servidores da Web e, de certa forma, dos recursos do navegador. A proibição dos EUA de exportar criptografia forte foi suspensa há alguns anos, então hoje praticamente todos os navegadores suportam uma criptografia Twofish ou AES de 128 bits, se o servidor propor isso. (Surpreendentemente, muitos servidores ainda usam 56bit DES, RC4 ou outros esquemas mais fracos, devido à ignorância do sysadmin ou à menor carga da CPU no servidor.)

O problema de relacionamentos de confiança de certificados encadeados em série também desapareceu. Atualmente, a maioria dos navegadores possui um conjunto bastante completo de CAs confiáveis ​​pré-instaladas. Abra a interface do usuário do certificado do navegador para ver a sua (Firefox 3: Ferramentas> Opções> Avançado> Criptografia> Exibir certificados).

Periodicamente, você pode encontrar promoções em que os revendedores oferecem certificados Comodo, Digicert ou similares por ~ 20 USD ou mais.

O nível de 'confiança' que seu site inspira nos clientes pode ser uma consideração . Indiscutivelmente, um selo do site da Verisign e a barra verde Validação estendida em navegadores compatíveis são melhores do que uma simples criptografia de 128 bits com um certificado da GoDaddy. É difícil dizer, isso dependerá muito da demografia do usuário, idade, conhecimento em informática etc.

Uma coisa: pode ser benéfico manter as informações Whois do DNS precisas, pois é uma grande parte de como as autoridades de certificação o verificam antes de emitir um certificado. Eu imagino que obter seu certificado de alguém com quem você já está negociando, como seu host / registro DNS, é mais fácil do que ser verificado pela Comodo, Thawte etc.

Portanto, minha proposta é avaliar seus usuários e se uma marca mais 'confiável' no selo do site criará mais vendas. E siga um destes procedimentos:

• Obtenha o certificado de 128 bits mais barato possível de um revendedor / registrador DNS / qualquer pessoa com quem você já tenha uma conta. Talvez investigue brevemente quem assina o Cert e qual é a CA raiz, mas não se preocupe, a menos que seja uma cadeia de CA bastante obscura.
• Obtenha um certificado SSL da Verisign ou similar bem conhecido (e muito caro) com bom valor de marca e exiba o selo do site com destaque. Considere optar por um certificado de Validação Estendida.

Os certificados de " Validação estendida " agregam algum valor ao IMHO, porque os navegadores garantem visualmente aos usuários que tudo está OK com a barra de endereços verde, o nome da empresa em destaque etc. Infelizmente, esses certificados também são caros e mais irritantes para serem validados.

Definitivamente, posso entender sua confusão, porque é uma área um pouco confusa. Como já foi dito aqui, geralmente um certificado é um certificado e oferece o mesmo nível de proteção e a mesma aparência para os usuários finais. No entanto, existem diferenças, principalmente em relação aos níveis de verificação.

Níveis de verificação

Existem três níveis básicos de verificação: somente domínio, domínio e negócios, e domínio comercial e identidade de representante. Somente o domínio é realmente uma autenticação bastante fraca quando você pensa sobre isso, não prova que você é quem diz ser ou que tem o direito de usar a marca. No entanto, para a maioria dos usuários finais, eles não saberão a diferença e verão o ícone bloqueado. Domínio e negócios é o que normalmente é fornecido, e eles normalmente exigem algo trivial como um cartão de crédito corporativo para verificar se você é o negócio em questão.

A Verificação estendida é o novo padrão que requer etapas adicionais da CA para verificar se você é realmente quem você diz ser e se é a entidade legal autorizada a negociar com esse nome. Veja a entrada da wikipedia para mais detalhes. No Firefox, um certificado EV será exibido como uma caixa verde, ligeiramente à esquerda da própria URL, com o nome da empresa.

Indenização

Cada provedor SSL concederá um seguro de indenização diferente, caso alguém fraudulentamente use seu certificado ou seu domínio proveniente da mesma CA. Eu acho muito raro que as pessoas precisem seguir esse caminho

Cobertura entre navegadores

Normalmente, todos os principais fornecedores de SSL são suportados imediatamente em todos os principais sistemas operacionais. Alguns podem exigir que você sirva um pacote intermediário de cadeia, que pode ser um aborrecimento.

Revogação

Nem todas as autoridades de certificação suportam a capacidade de revogar certificados - surpreendentemente para mim, quando olhei pela última vez, apenas um punhado tinha os URLs de revogação de certificados listados. Se você é sério sobre sua segurança, escolha um que tenha um URL de revogação.

Sumário

Suas necessidades parecem básicas e simples, eu recomendo que você compre algo barato. RapidSSL, InstantSSL, GoDaddy ou qualquer um dos outros grandes players estão bem.

Eu obtive um certificado do rapidssl que comprei no site www.rapidsslonline.com. Nunca tive problema com isso. Também recebi um certificado godaddy.com, também nunca tive problemas com isso. A maioria dos navegadores reconhece os dois.

A Verisign etc é apenas um desperdício de dinheiro, a menos que haja uma necessidade específica de mostrar o logotipo da verisign ou algo assim.