Por que a certificação HTTPS / SSL godaddy é muito mais barata que a digicert, thawte e verisign?

32

Sou iniciante em HTTPS / SSL, mas a GoDaddy cobra US $ 12,99 e a Digicert, thawte e a Verisign cobram US $ 100-1000 + por certificados SSL.

Devo estar faltando algo na qualidade da criptografia ou algo assim. Alguém pode explicar algumas das diferenças básicas que levam a esses preços dramaticamente diferentes?

Atualizar US $ 12,99 é um preço de venda. Normalmente, os certificados SSL custam US $ 89,99 no GoDaddy. Aqui está um link no Godaddy, que faz a mesma comparação que esta pergunta faz: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

obrigado,

tim

Tim Peterson
fonte
1
Acabei de verificar o site GoDaddy e eles estavam listando certificados por US $ 69,99 CAD.
Sherwin Flight
2
A openssl oferece até uma gratuitamente!
Rana Prathap 01/01

Respostas:

33

Além das ofertas não sérias, você pode distinguir entre certificados SSL validados por domínio mais baratos e os certificados SSL de validação estendida (EV) mais caros .

Ambos os certificados são tecnicamente os mesmos (a conexão é criptografada), mas os certificados validados por domínio são mais baratos, porque o vendedor precisa apenas verificar o domínio. Os certificados EV também exigem informações sobre o proprietário do domínio e o vendedor deve verificar se essas informações estão corretas (mais esforço administrativo).

Normalmente você pode ver a diferença ao visitar o site com um navegador. O Firefox, por exemplo, destacará o domínio em azul para SSL validado por domínio e verde em SSL para validação estendida.

Dois exemplos:

Na maioria dos casos, o certificado validado pelo domínio é bom, o usuário não terá desvantagens e os certificados EV são realmente (muito) caros.

martinstoeckli
fonte
1
obrigado, não sabia da diferença entre domínio e validação estendida, obrigado por esse esclarecimento!
tim Peterson
1
Uma pessoa precisa verificar o endereço físico da empresa para obter um certificado com validação estendida.
ZippyV
1
Acho que algumas autoridades de certificação também oferecem algum tipo de seguro, se algo der errado (mas não está claro o que é coberto exatamente). (Eu escrevi uma resposta relativamente longa sobre as diferenças entre esses tipos de certificados, se isso for interessante.) O ponto principal é que a escolha da CA e o tipo de certificado importa apenas para o cliente. Desde que o certificado seja confiável por padrão, isso depende apenas de quão longe o usuário está disposto a verificar mais detalhes (visualmente, através da interface do usuário).
19412 Bruno
8

No site da GoDaddy:

Aproveite o apoio de padrões estabelecidos da indústria. Não há DIFERENÇA TÉCNICA entre nossos certificados e qualquer outra grande autoridade de certificação.

Fonte: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

O preço às vezes é uma coisa engraçada. Embora eu não tenha idéia do porquê da GoDaddy precificar seus produtos da mesma forma que algumas empresas buscam mais clientes a um preço mais baixo, enquanto outras pagam um preço mais alto e atraem menos clientes.

Como uma comparação simples, a Empresa 1 pode atrair mais clientes oferecendo seus produtos a um preço mais barato. No entanto, a empresa 2 pode oferecer seus produtos a um custo mais alto, o que poderia compensar um número menor de clientes.

Empresa 1: 100 clientes pagando US $ 20 / mês = US $ 24.000 / ano

Empresa 2: 200 clientes pagando US $ 10 / mês = US $ 24.000 / ano

Portanto, como você pode ver nessa comparação MUITO SIMPLES, ambos os modelos acabaram com a mesma receita anual, no entanto, uma empresa ofereceu seu produto pelo dobro da outra.

Vôo de Sherwin
fonte
3
Não se esqueça do fator "Marca" - alguns produtos simplesmente têm preços extras apenas porque são rotulados com nome de empresa amplamente conhecido e reconhecido.
LazyOne
@LazyOne, É o mesmo com as universidades ...
Pacerier
8

Para ser sincero. não há absolutamente nenhuma diferença quando se trata de certificados SSL. O único fator contribuinte são as tags EV / não EV / curinga.

EV == Validação estendida: significa que o site é "pingado" ativamente pela autoridade de certificação no IP fornecido do domínio; em seguida, um script do lado do servidor compara o endereço IP da resposta de ping da CA e o endereço IP VOCÊ estão visitando. Isso NÃO garante que não haja um ataque intermediário ou envenenamento de DNS em toda a rede. Isso apenas garante que o site que você está visualizando seja o mesmo que a CA vê.

Não-EV == ninguém está verificando ativamente o IP do domínio em relação a um IP registrado / fornecido por motivos de segurança.

Os caracteres curinga == * .domain.com são frequentemente usados ​​quando as pessoas têm uma infinidade de subdomínios ou um conjunto de subdomínios em constante mudança, mas ainda precisam de criptografia SSL válida.

A verdade por trás dos certificados SSL.

Você pode fazer o seu próprio. Eles não são menos seguros do que qualquer outro certificado. A diferença de ser um certificado "autoassinado" não é "comprovada" por terceiros.

O problema com os certificados SSL é que eles são extremamente caros para o que são. Não há absolutamente nenhuma garantia de que o site que você está visitando pertence a quem está listado no certificado como proprietário / local etc. Isso anula o objetivo do modelo de cadeia de confiança de terceiros que o SSL foi desenvolvido para uso.

TODAS as autoridades de certificação conhecidas como CAs que vendem seus certificados, desejam que o usuário acredite que seu certificado é de alguma forma melhor. Na verdade, eles nunca verificam as informações fornecidas para o certificado, a menos que haja um problema que possa custar-lhes receita. Essa prática também anula o objetivo do modelo de cadeia confiável SSL.

Eu conheço apenas uma autoridade de certificação que realmente valida seus certificados. Este é o CACert.org.

Para que eles possam emitir um certificado "completo" (nome da empresa, nome, endereço, telefone etc.), você deve conhecer um dos FACE-TO-FACE de seu segurador !.

Contudo. a maioria dos navegadores não usa o CACert.org devido a pressões adicionadas a eles por mega corporações como Thawte, Comodo e Verisign.

Então .. para resumir tudo.

As únicas diferenças entre os certificados são o comportamento da CA. Não é possível confiar realmente nos certificados para verificar se a conexão ao site está usando criptografia.

No final do dia, as pessoas pensam que pagar de US $ 100 a US $ 1000 equivale a confiabilidade. Este não é o caso. Significa apenas que você lida com bandidos menos sofisticados ou menos estabelecidos.

user34262
fonte
1
A inclusão do CACert no Mozilla foi cancelada pelo próprio CACert: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262, Sim, o dinheiro é um grande fator em todo esse mercado de CA ( semi-corrompido ). Tópicos relacionados: 1) sobre webmasters.SE , 2) em security.SE , 3) em security.SE
Pacerier
@ user2428118, esse post é de 10 anos atrás. Qual é a atualização?
Pacerier
@ user34262, quais são algumas dessas "pressões" da CA que você está falando?
Pacerier
Geralmente, existem três níveis de certificados: certificados validados por domínio, validados por organização e estendidos. Há muito pouca verificação feita com certificados DV (geralmente apenas verificação automatizada de email e controle de domínio), mas os dois últimos tipos são necessários para obedecer às diretrizes de práticas de auditoria e emissão publicadas pelo CA / B Forum . As CAs que não cumprem os requisitos definidos nas diretrizes não são confiáveis ​​pelos navegadores para emitir um certificado do tipo respectivo.
Lie Ryan
3

O que vale mais, uma referência minha ou de Bill Gates? Você deve se lembrar que os certificados são mais do que uma solução técnica, eles são alguém que atesta a você e as empresas podem definir o preço que acharem que sua reputação vale.

JamesRyan
fonte
2
a referência de Bill Gates é fraca, embora eu esteja feliz pela Khan Academy.
tim Peterson
@timpeterson, Ele está se referindo a falácia de en.wikipedia.org/wiki/Argument_from_authority
Pacerier
1
@ Pacerier não, eu não sou. Isso não tem nada a ver com pessoas que literalmente atestam a identidade das organizações.
JamesRyan
@ JamesRyan, como não é? O que significa " uma referência minha ou de Bill gates "? "Bill gates" significa "autoridade" aqui?
Pacerier
3

Acabei de descobrir que o GoDaddy não permite certificados "duplicados" para seus caracteres curinga SSL. (ao contrário, GlobalSign, DigiCert, que permitem, e número ilimitado deles)

É uma pena, pois isso geralmente é usado quando você gerencia um farm de servidores e cada um tem sua própria chave privada / csr.

Frédéric Beuserie
fonte
1
Parece informação bastante crítica. Parece corrigir qualquer diferença de preço se você tiver que comprar vários certificados do GoDaddy e apenas um da Verisign etc. Você pode fornecer referências de links do GoDaddy em sua resposta?
tim Peterson
2
Não, o GoDaddy também não permite que você compre vários certificados pelo mesmo curinga. Eles apenas permitem que você tenha um, que você deve usar em todos os seus servidores.
Mike Scott
1

Eu estava trabalhando para uma empresa terceirizada em um projeto na web para uma grande empresa de tecnologia. Usamos um certificado SSL da GoDaddy e descobrimos que essa CA foi rejeitada nas redes internas da empresa.

A empresa naquela época (2 anos atrás) não aceitava automaticamente o GoDaddy como uma autoridade confiável. Foi apenas com muita persuasão que nosso certificado foi aceito.

Se tivéssemos usado uma marca premium como a Thawte, não haveria problema. Não sei por que a corporação adotou essa política, mas talvez o preço do certificado tenha feito com que pareçam menos confiáveis.

Essa é a única diferença no mundo real entre os certificados do GoDaddy e de outras grandes CAs que encontrei.

Mango Magic
fonte
1
Hmm, Godaddy é o único certificado que eles rejeitam?
Pacerier
0

Tecnicamente, não há diferença. A maioria das autoridades de certificação oferece produtos semelhantes, validação padrão ou validação estendida, onde a organização / empresa e domínio do proprietário são verificados e curingas.

O que diferencia o preço é:

  1. Branding
  2. garantia
  3. Qualidade de serviço
  4. Quantidade

Para a marca, o melhor exemplo seria a Digicert - eles emitiram certificados para marcas como Twitter, Facebook e até StackExchange. Para conseguir esse tipo de cliente, é preciso um pouco de persuasão e orçamento de marca, não há provas de que eles tenham melhor tecnologia do que qualquer outra pessoa.

Garantia é algo como seguro. Geralmente, é uma quantia entre 0 e milhões de dólares; basicamente, diz-lhe qual é o nível de garantia da CA ao vender o certificado, se algo como uma transação fraudulenta de cartão de crédito acontecer e se o erro for deles, eles cobrirão os custos até altura da garantia. Com os certificados SSL padrão, a maioria é vendida para a empresa da CA, para que eles possam cobrar mais do proprietário, porque a tecnologia e a segurança de criptografia são as mesmas, com a garantia dos certificados EV pode ter alguma utilidade, mas geralmente quando você lê os termos e condições, você ri e ver a ironia de tudo.

Qualidade de serviço é algo que geralmente é muito subjetivo e depende do cliente pagador. Algumas CAs têm sistemas para seus grandes clientes que podem ajudá-lo a acompanhar seus certificados adquiridos. Se você possui ou gerencia mais de cem certificados, você pode realmente pagar um pouco mais e ter um melhor gerenciamento de software, painel, opções mais amplas de cobrança de cartão de crédito, ferramentas para manutenção de certificados, ferramentas de relatório, algumas autoridades de certificação até oferecem dicas de segurança para a implementação do servidor.

A quantidade reduz os preços. Como a CA, se você vende mais, seus preços são mais baixos; como cliente, quando você compra mais, você pode pedir preços melhores.

Mike
fonte