Quais são os benefícios de um certificado SSL mais caro?

Estive comparando preços de diferentes certificados SSL e encontrei uma enorme diferença de preços entre diferentes fornecedores.

Se tomarmos http://www.namecheap.com/learn/other-services/ssl-certificates.asp como exemplo, qual seria a vantagem de optar pelo certificado Geotrust por US $ 48,88 / ano em vez da opção RapidSSL $ 9,95 / ano ?

Algumas coisas. Em teoria , os provedores SSL melhores e mais caros devem validar quem você é de alguma forma e atestar sua identidade. Isso leva tempo e esforço manual e, portanto, custa mais.

Tradicionalmente, a validação manual (usada pela VeriSign, Thawte, Entrust) é complicada, demorada e cara para o provedor SSL e, portanto, o comprador. A validação automatizada (conforme usada pelo GeoTrust e GoDaddy) é mais rápida e econômica, mas não fornece o nível de garantia esperado pelos consumidores que confiam no SSL - por exemplo, os certificados QuickSSL do GeoTrust validam apenas o direito do solicitante de usar um nome de domínio e não a legitimidade da própria empresa.

Há também algum novo tipo louco de certificado SSL que faz "validação estendida" e é MUITO mais caro.

https://www.verisign.com/ssl/ssl-information-center/ev-ssl-certificate/index.html

Um certificado EV SSL dá aos clientes mais confiança de que estão interagindo com um site confiável e de que suas informações estão seguras. Um certificado SSL EV aciona navegadores da Web de alta segurança para exibir o nome da sua organização em uma barra de endereço verde e mostrar o nome da Autoridade de Certificação que a emitiu.

Os provedores SSL mais baratos fazem pouca ou nenhuma validação de identidade que pode ou não ser importante para você (ou para seus usuários).

Honestamente, quando usamos SSL, é para criptografia, não para uma rede de confiança.

(Um motivo válido para pagar por um certificado SSL mais caro é quando é um certificado curinga, para que ele funcione em todos *.example.comos sites de domínio que você já tenha. Os certificados SSL regulares são bons apenas para um endereço específico.)

Em termos de segurança, não há diferença.

O que você realmente compra é a verificação da empresa de certificação que convence seus clientes a serem confiáveis. É por isso que a Verisign vende os mesmos serviços por 10 vezes a quantidade de outros.

Também em certificados com preços mais altos, há um nível extra de verificação (onde você precisa enviar documentos de verificação da empresa, há uma verificação para o proprietário do domínio, se as credenciais coincidirem, etc.). E geralmente eles dão a você um banner mais sofisticado para colocar no seu site.

Existem também os certificados de validação estendida (EV), nos quais a maioria dos navegadores deixa a barra de endereços verde e identifica claramente seu site / empresa.

Vou apenas adicionar um comentário sobre os requisitos padrão do comércio eletrônico, que geralmente aparecem.

Desde que um certificado SSL seja atual e tenha pelo menos 128 bits (e prefira o TLSv1.1, que será exigido até 2018), é aceitável pelos padrões PCI-DSS australianos (comércio eletrônico) e pela maioria dos padrões de comércio eletrônico em outros lugares, embora você precise para verificar com seu organismo de padrões local.

E, é claro, se for de uma CA confiável (Versign, Comodo, LetsEncrypt, Cloudflare, CAcert, Starcom, Wosign etc.), o navegador a aceitará automaticamente sem a necessidade de confirmação.

Não há mais diferença entre o GeoTrust e o RapidSSL porque há um objetivo comum de proteger os dados do seu site por certificado SSL.

Mas o RapidSSL é para certificado de site de nível básico e o GeoTrust é para garantir ao cliente que seus dados estão seguros sob o certificado SSL.

Quando você o compra no site oficial, é muito caro, mas se você optar pelo revendedor, obterá o mesmo certificado SSL a preços muito baixos.