Os diferentes tipos de certificados SSL são um pouco fraudulentos?

39

Estou procurando obter alguns certificados SSL para domínios para cobrir o seguinte:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Os certificados curinga são muito caros, por isso vou comprar um único certificado para cada subdomínio (tenho endereços IP suficientes para circular).

Minha pergunta é: o que torna um certificado de US $ 10 melhor que um certificado de US $ 100?

Veja, por exemplo, a linha de produtos GeoTrust . Eu sei o que é um EV (não precisa dele) e sei o que é um Secure Seal (nossos usuários já confiam em nós, portanto não precisam disso).

Mas por que eu compraria um QuickSSL por US $ 69 quando posso obter um RapidSSL por US $ 10? A única diferença é "Reconhecimento de marca" (moderado a médio) e seguro.

Alguém pode esclarecer o que eles querem dizer com "reconhecimento da marca"? Nosso site público já é bastante confiável por nossos usuários, e os outros dois subdomínios são apenas para o Outlook em Qualquer Lugar (e, portanto, não serão exibidos em um navegador).

Postou novamente a pergunta relevante em https://serverfault.com/questions/82039/difference-between-ssl-products

Mark Henderson
fonte
11
Se você comprou um certificado SSL caro, ajudou o Shuttleworth a entrar no espaço. Como isso pode ser uma farsa?
4
Nos velhos tempos da Internet, pode ter sido caro fornecer esses serviços. Eles disseram que você está pagando pelo serviço para verificar sua identidade. A investigação de certificados que não são de comércio eletrônico, na minha experiência, é trivial e espúria. Desculpe, eu apenas desprezo toda essa indústria SSL. Desejo que alguém crie uma organização sem fins lucrativos que forneça os mesmos serviços.
Citadelgrad
É basicamente como as crianças mais legais da festa dizendo "esse cara é legítimo" quando um navegador pergunta sobre você. Você paga por essas crianças legais para aceitar e falar muito de você. Se você quer que eles digam "esse cara é TOTALMENTE ÉPICO" , pode gastar mais dinheiro. Contanto que seja SHA-256 ou algo semelhante, a validação não importa. Talvez haja 0,01% dos visitantes que verificam a autoridade de validação. O que importa para eles é que eles veem um cadeado verde, seja um cadeado de US $ 10 ou US $ 1000.
dhaupin
@ citadelgrad, Eles fizeram uma organização sem fins lucrativos. Chama-se CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier 12/04

Respostas:

27

"Minha pergunta é: o que torna um certificado de US $ 10 melhor que um certificado de US $ 100?"

Normalmente, quanto mais caro o certificado, mais antiga é a empresa de certificação. Como a lista de assinantes confiáveis ​​é enviada com o navegador, os certificados de empresas mais recentes podem não ser confiáveis ​​pelos navegadores antigos.

Por exemplo, talvez um certificado de US $ 10 não seja confiável pelo IE5.

Mas é isso aí.

Thomas Bonini
fonte
8
E a bagunça ilegível que IE5 exibida após exibir qualquer web site compatível com padrões modernos também não é confiável pelo usuário de uma peça de # & * $ :) +1
Tim Publicar
Além disso, para certos tipos de certificado, a empresa emissora se esforça mais para verificar os detalhes da pessoa / empresa solicitando ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Se o navegador mostrar que um certificado é EV e o usuário perceber, ele pode ter mais confiança. IMHO eles não vão perceber.
paulmorriss
Você perdeu o ponto, se um certificado é mais caro, então você é coberto mais, se o seu site for invadido, um certificado de 100 $ poderá pagar até 1 milhão de dólares, enquanto um certificado de 10 $ pode não pagar nada.
SSpoke
@SSpoke, ficarei surpreso se não houver atrito ao tentar reivindicar os " US $ 1,5 milhão ". Esses números são apenas para os meninos grandes, e não o usuário médio. Imagine que eles tiveram uma violação e tiveram que pagar 300 mil usuários, o que totaliza 450 bilhões. Tenha certeza de que seus usuários não poderão receber 1 milhão de dólares cada. Veja também termos e condições a positivessl.com/ssl-warranty.php
Pacerier
13

Eu acho que cartel é a palavra que você procura

Aiden Bell
fonte
6

Perguntei a mesma coisa sobre o DigiCert outro dia: por que muitos certificados são muito mais baratos que os seus (~ US $ 25 vs ~ US $ 100 por ano)? Aqui está a resposta que eles me deram (em minhas palavras):

As outras empresas apenas verificam seu nome de domínio (se a pessoa que obtém o certificado possui o nome de domínio), enquanto o DigiCert (e outros) verificam a empresa por trás do nome de domínio.

Isso significa que eles precisam verificar o registro corporativo em seu país para verificar se sua empresa existe e se você está relacionado à empresa de alguma forma. Isso geralmente também requer uma ligação e alguns outros cheques. Sem essa verificação, tudo o que é necessário é um computador para verificar o registro whois com as informações inseridas.

Portanto, na minha avaliação, se você usará o certificado em um site em que o cliente está pagando algo ou inserindo suas informações pessoais, um certificado mais caro é melhor. Se você está apenas usando o site internamente (dentro da empresa), provavelmente um certificado mais barato é tudo o que você precisa.

Darryl Hein
fonte
O DigiCert tem um alerta extremo de conflito de interesses (consulte também security.stackexchange.com/questions/13453/… ). A equipe de suporte está distorcendo a questão comparando outros documentos de DV da CA com os de EV. Mas outras CAs também oferecem certificados EV a um preço muito reduzido dos deles.
Pacerier 12/04
4

"Minha pergunta é: o que torna um certificado de US $ 10 melhor que um certificado de US $ 100?"

A resposta não é nada. Um certificado é um certificado (já que você não se importa com o "Reconhecimento da Marca"), portanto, sem os pacotes de VE, um certificado é apenas uma mercadoria. Isso explica a história muito bem.

No entanto, acho que o reconhecimento da marca pode ser importante para alguns usuários, mas se você tiver certeza de que é uma fonte confiável, não me preocuparia.

plntxt
fonte
2

Há também o problema em que alguns navegadores escolhem muitos certificados SSL perfeitamente bem e os marcam como potencialmente inseguros. Isso se deve em parte ao que Darryl disse (maior diligência por parte do fornecedor de SSL para confirmar quem você é). Não é que a segurança em si seja realmente diferente, apenas se destina a fornecer uma melhor camada de confiança.

Há também coisas como capacidade de gerenciamento (eu posso emitir e reeditar conteúdo para meu coração sem demora, o que foi muito útil quando nomes de domínio se tornam repentinamente diferentes) e outras vantagens que podem melhorar sua experiência. Mas se a versão de US $ 10 faz o que você precisa e seus clientes não se importam com quem o certificado é, então faça o mesmo.

À medida que o tempo passa, você pode descobrir que está mudando de fornecedor simplesmente porque o cenário da sua presença na Web está mudando, portanto, considere que agora antes de começar é importante.

Milner
fonte
2

Em meados de 2015, não encontrei nenhum estudo independente, ou mesmo evidência anedótica, de que os certificados EV aumentariam a taxa de conversão ou as vendas. Eu expandi isso na minha resposta aos Certificados EV SSL - alguém se importa? .

O que pareceu diminuir o abandono do carrinho de compras foram selos e crachás . Esses selos de confiança vêm com a compra de um EV. Aliás, hoje é 4 de julho e a Comodo tem uma venda de certificados EV por US $ 100 em vez de US $ 500, o que motivou esta pesquisa. Ainda não estou totalmente convencido de um jeito ou de outro.

Dan Dascalescu
fonte