Iniziamo con la vista cinetica:
Le autorità di certificazione sono aziende a scopo di lucro, quindi caricheranno tanto quanto sono in grado di farla franca!
Più seriamente, l'esecuzione di un'autorità di certificazione è un'attività costosa e con margini di profitto bassi, ma la risposta dipende in realtà dal tipo di certificato che si desidera.
Certificati convalidati dal dominio (DV)
Per un certificato DV di base che, rende la barra degli indirizzi del tuo browser simile a questa:
icostisonomoltobassi-fondamentalmentelaCAhasolobisognodiconfermarechelapersonacheharichiestoilcertificatoavevailcontrollodelserveralmomentodellarichiesta.Questopuòesserecompletamenteautomatizzato.Comesottolinea@SteffenUllrich,nel2014laElectronicFrontierFoundation,Mozillael'UniversitàdelMichiganhannocollaboratopercreareunaCAgratuitaal100% Let's Encrypt per il rilascio di certificati DV. In base al caso d'uso che hai descritto nella domanda, sembra che sia adatto alle tue esigenze.
Certificati Extended Validation (EV)
Se desideri che i cerali di fascia alta che includono il nome della tua azienda verificata e il Paese in cui è registrato vengano visualizzati nel browser in questo modo:
quindic'èuncostosignificativamentemaggioreperlaCA.PrimadiemettereuncertificatoEV,laCAèobbligataadavereunaverificaumanadiunmucchiodicosesullostatolegaledellatuaazienda.Cosedeltipo:latuaaziendaèlegalmenteregistrataconilnomeelencatonellarichiestadicertificato?Lapersonacherichiedeilcertificatoèelencatacomeresponsabilelegaledellasocietàneidocumentidiregistrazionedellasocietà?IlrecordDNSperilsitoWebrichiestoèregistratonellastessaazienda?ecc.
Perchéunatariffaricorrente?
LaragionepercuileCAaddebitanounacommissionericorrenteèlastessaragionepercuinonèpossibileottenereuncertificatoSSLdecennale:ilforumCA/Browserrichiedelascadenzadeicertificatievienecompletamentericonvalidatoogniannoodue.Imotividisicurezzaperquestosonoforzareilrolloverdeitasti,perimpedireallasocietàdiandareinbancarottaocambiarenomeeunsysadmincanagliadicontinuareausareilcertificatoinmodonefasto,ecc.
LaCAètenutaafaretuttoquestocontrolloinbackgroundnonsoloallaprimaemissione,maancheognivoltacheilcertificatovienerinnovato.Ilvaloreaggiuntoperteècheituoiclientiottengonounlivellopiùaltodiaffidabilitànelmeritodifiduciadeltuositoweb(certo,il99%deiconsumatorinonseneaccorgerà,masicuramenteirevisorieglihackerlofaranno!),EancheGooglesistamuovendoversounapreferenzadiricercapiùelevataversositiconcertificatidiqualitàsuperiore.
Questoèilmotivopercuiicertspossonocostarecentinaiadidollariall'anno;nonstaipagandosolounpaiodibitdidati,staipagandoperiltempodell'essereumanochedevefarelaverifica.
ServerOCSP
Cisonoancheicostidelserverperilmantenimentodiuncertificato,principalmenteicostidi OCSP , che richiede che la CA mantenga alta -bandwidth, bassa latenza, server di downtime zero per rispondere ai controlli di revoca su ogni certificato rilasciato. Anche se questo potrebbe non sembrare costoso, ogni browser Web deve eseguire il ping di un server OCSP della CA durante ogni caricamento della pagina HTTPS. Ogni millisecondo in più che la CA prende per rispondere aggiunge al tempo di caricamento della pagina di ogni pagina su Internet . Eseguire un server a bassa latenza a questo livello di traffico è un complicato problema di ingegneria di rete.
[disclosure: lavoro per una CA]