Quais são os benefícios de um certificado SSL mais caro?

30

Estive comparando preços de diferentes certificados SSL e encontrei uma enorme diferença de preços entre diferentes fornecedores.

Se tomarmos http://www.namecheap.com/learn/other-services/ssl-certificates.asp como exemplo, qual seria a vantagem de optar pelo certificado Geotrust por US $ 48,88 / ano em vez da opção RapidSSL $ 9,95 / ano ?

Oli
fonte
1
Veja também: webmasters.stackexchange.com/questions/372/…
Mark Henderson
2
você pode obter um SSL de domínio gratuito por 1 ano na startcom.org. Se o certificado raiz é confiável pelo navegador, eles exibem o cadeado, escolhem um barato ou um grátis.
ollybee

Respostas:

21

Algumas coisas. Em teoria , os provedores SSL melhores e mais caros devem validar quem você é de alguma forma e atestar sua identidade. Isso leva tempo e esforço manual e, portanto, custa mais.

Tradicionalmente, a validação manual (usada pela VeriSign, Thawte, Entrust) é complicada, demorada e cara para o provedor SSL e, portanto, o comprador. A validação automatizada (conforme usada pelo GeoTrust e GoDaddy) é mais rápida e econômica, mas não fornece o nível de garantia esperado pelos consumidores que confiam no SSL - por exemplo, os certificados QuickSSL do GeoTrust validam apenas o direito do solicitante de usar um nome de domínio e não a legitimidade da própria empresa.

Há também algum novo tipo louco de certificado SSL que faz "validação estendida" e é MUITO mais caro.

https://www.verisign.com/ssl/ssl-information-center/ev-ssl-certificate/index.html

Um certificado EV SSL dá aos clientes mais confiança de que estão interagindo com um site confiável e de que suas informações estão seguras. Um certificado SSL EV aciona navegadores da Web de alta segurança para exibir o nome da sua organização em uma barra de endereço verde e mostrar o nome da Autoridade de Certificação que a emitiu.

Os provedores SSL mais baratos fazem pouca ou nenhuma validação de identidade que pode ou não ser importante para você (ou para seus usuários).

Honestamente, quando usamos SSL, é para criptografia, não para uma rede de confiança.

(Um motivo válido para pagar por um certificado SSL mais caro é quando é um certificado curinga, para que ele funcione em todos *.example.comos sites de domínio que você já tenha. Os certificados SSL regulares são bons apenas para um endereço específico.)

Jeff Atwood
fonte
6
Sim, uma vez procuramos obter um certificado SSL curinga, mas, a menos que você precise de SSL em dezenas de subdomínios, não vale a pena. Francamente, os certificados curinga são um pouco de fraude. Ele não requer mais trabalho da CA e é semelhante aos hosts da Web que cobram mais por subdomínios. Além disso, para a maioria dos webmasters, a maior consideração ao escolher uma CA deve ser se ela é reconhecida por todos os principais navegadores. Afinal, você pode usar um certificado autoassinado se quiser apenas a criptografia, mas a maioria das pessoas não deseja que seus clientes se assustem com avisos assustadores de "CA não confiável".
Lèse majesté 14/10/10
1
@ Jeffff, tenha cuidado ao citar sites da CA sobre certs. O extremo conflito de interesses é muito real aqui. Um grande número de sites da CA tem informações ruins sobre certificados . É melhor contar com fontes de analistas / pesquisadores / engenheiros de segurança independentes. Ver também webmasters.stackexchange.com/a/55855/7654
Pacerier
É realmente um pouco louco que a CA tenha conseguido passar a intenção de uma criptografia segura de ninguém no meio para um nível de "esta é uma empresa legal e segura" para permitir que eles imprimam mais dinheiro Ben Bernenke fez. Ah, sim, e os curingas são mais caros, é claro, 50 dólares por cada um dos 2 bytes adicionais.
Lothar
8

Em termos de segurança, não há diferença.

O que você realmente compra é a verificação da empresa de certificação que convence seus clientes a serem confiáveis. É por isso que a Verisign vende os mesmos serviços por 10 vezes a quantidade de outros.

Também em certificados com preços mais altos, há um nível extra de verificação (onde você precisa enviar documentos de verificação da empresa, há uma verificação para o proprietário do domínio, se as credenciais coincidirem, etc.). E geralmente eles dão a você um banner mais sofisticado para colocar no seu site.

Existem também os certificados de validação estendida (EV), nos quais a maioria dos navegadores deixa a barra de endereços verde e identifica claramente seu site / empresa.

Hik
fonte
2

Vou apenas adicionar um comentário sobre os requisitos padrão do comércio eletrônico, que geralmente aparecem.

Desde que um certificado SSL seja atual e tenha pelo menos 128 bits (e prefira o TLSv1.1, que será exigido até 2018), é aceitável pelos padrões PCI-DSS australianos (comércio eletrônico) e pela maioria dos padrões de comércio eletrônico em outros lugares, embora você precise para verificar com seu organismo de padrões local.

E, é claro, se for de uma CA confiável (Versign, Comodo, LetsEncrypt, Cloudflare, CAcert, Starcom, Wosign etc.), o navegador a aceitará automaticamente sem a necessidade de confirmação.

Garth
fonte
1

Não há mais diferença entre o GeoTrust e o RapidSSL porque há um objetivo comum de proteger os dados do seu site por certificado SSL.

Mas o RapidSSL é para certificado de site de nível básico e o GeoTrust é para garantir ao cliente que seus dados estão seguros sob o certificado SSL.

Quando você o compra no site oficial, é muito caro, mas se você optar pelo revendedor, obterá o mesmo certificado SSL a preços muito baixos.

thomas punheta
fonte
Você diz "Mas o RapidSSL é para certificado de site de nível de entrada", mas isso apenas repete o marketing falso e entra em conflito com sua própria resposta. Não há nada técnico no RapidSSL que o torne inferior. A única diferença é o reconhecimento da marca, mas eu diria que entre os dois é insignificante.
ColinM