Perché i certificati SSL sono una spesa annuale?

32

Comprendo che i certificati SSL costano denaro a causa della reputazione: la maggior parte / tutti i browser Web hanno un elenco limitato di aziende che hanno dimostrato di essere fonti attendibili di certificati SSL e pertanto non presentano agli utenti un Torna a Safety! per i prodotti di quelle aziende.

La mia domanda è: perché questa non è una spesa una tantum? Sto pensando di passare da un certificato autofirmato, ma il mio host web mi ha appena detto che inizierebbe a $ 35 all'anno e possono facilmente arrivare a centinaia all'anno. Perché questa tariffa non è una tantum?

    
posta user1717828 11.04.2017 - 17:00
fonte

4 risposte

35

È facile pensare che il certificato abbia una durata limitata solo per addebitare una tariffa ricorrente, ma in realtà è il contrario: un certificato ha una durata limitata e quindi pagare per uno nuovo quando la vita è scaduta.

Per capire perché questo è il caso, leggi le FAQ di Let's Encrypt , che rilasciano certificati gratuiti , ma ne limitano la durata a 90 giorni. La loro giustificazione principale è questa:

They limit damage from key compromise and mis-issuance. Stolen keys and mis-issued certificates are valid for a shorter period of time.

Fino a quando il certificato è valido, chiunque ottenga una copia di tale certificato e la sua chiave privata corrispondente può impersonare il proprietario di quel dominio. Se il tuo sistema è compromesso, o lo vendi sul dominio, o qualsiasi altra cosa sulle modifiche dello stato del certificato in quel momento, i client possono continuare a fidarsi del certificato.

È è possibile revocare un certificato nel corso della sua vita, ma ciò si basa sul controllo del client con un elenco di revoche gestito dall'autorità di certificazione, quindi non è affidabile quanto la data di scadenza che è parte del certificato a prova di manomissione.

Questo è in realtà uno dei punti di forza rivendicati da Let's Encrypt: stanno offrendo lo stesso livello di convalida dei certificati di base dei servizi a pagamento, ma usando un sistema automatico, rimuovono la tentazione di acquistare certificati di lunga durata.

Se non hai bisogno di "Extended Validation" (certificazione della tua identità aziendale, piuttosto che solo la tua proprietà del dominio), quindi utilizza Let's Encrypt e rinnova più frequentemente, ma gratuitamente e automaticamente , potrebbe essere la tua migliore linea d'azione. Su alcuni host web, questo è semplice come spuntare una casella nel pannello di controllo per abilitare la configurazione automatica.

    
risposta data 11.04.2017 - 19:15
fonte
64

Iniziamo con la vista cinetica:

Le autorità di certificazione sono aziende a scopo di lucro, quindi caricheranno tanto quanto sono in grado di farla franca!

Più seriamente, l'esecuzione di un'autorità di certificazione è un'attività costosa e con margini di profitto bassi, ma la risposta dipende in realtà dal tipo di certificato che si desidera.

Certificati convalidati dal dominio (DV)

Per un certificato DV di base che, rende la barra degli indirizzi del tuo browser simile a questa:

icostisonomoltobassi-fondamentalmentelaCAhasolobisognodiconfermarechelapersonacheharichiestoilcertificatoavevailcontrollodelserveralmomentodellarichiesta.Questopuòesserecompletamenteautomatizzato.Comesottolinea@SteffenUllrich,nel2014laElectronicFrontierFoundation,Mozillael'UniversitàdelMichiganhannocollaboratopercreareunaCAgratuitaal100% Let's Encrypt per il rilascio di certificati DV. In base al caso d'uso che hai descritto nella domanda, sembra che sia adatto alle tue esigenze.

Certificati Extended Validation (EV)

Se desideri che i cerali di fascia alta che includono il nome della tua azienda verificata e il Paese in cui è registrato vengano visualizzati nel browser in questo modo:

quindic'èuncostosignificativamentemaggioreperlaCA.PrimadiemettereuncertificatoEV,laCAèobbligataadavereunaverificaumanadiunmucchiodicosesullostatolegaledellatuaazienda.Cosedeltipo:latuaaziendaèlegalmenteregistrataconilnomeelencatonellarichiestadicertificato?Lapersonacherichiedeilcertificatoèelencatacomeresponsabilelegaledellasocietàneidocumentidiregistrazionedellasocietà?IlrecordDNSperilsitoWebrichiestoèregistratonellastessaazienda?ecc.

Perchéunatariffaricorrente?

LaragionepercuileCAaddebitanounacommissionericorrenteèlastessaragionepercuinonèpossibileottenereuncertificatoSSLdecennale:ilforumCA/Browserrichiedelascadenzadeicertificatievienecompletamentericonvalidatoogniannoodue.Imotividisicurezzaperquestosonoforzareilrolloverdeitasti,perimpedireallasocietàdiandareinbancarottaocambiarenomeeunsysadmincanagliadicontinuareausareilcertificatoinmodonefasto,ecc.

LaCAètenutaafaretuttoquestocontrolloinbackgroundnonsoloallaprimaemissione,maancheognivoltacheilcertificatovienerinnovato.Ilvaloreaggiuntoperteècheituoiclientiottengonounlivellopiùaltodiaffidabilitànelmeritodifiduciadeltuositoweb(certo,il99%deiconsumatorinonseneaccorgerà,masicuramenteirevisorieglihackerlofaranno!),EancheGooglesistamuovendoversounapreferenzadiricercapiùelevataversositiconcertificatidiqualitàsuperiore.

Questoèilmotivopercuiicertspossonocostarecentinaiadidollariall'anno;nonstaipagandosolounpaiodibitdidati,staipagandoperiltempodell'essereumanochedevefarelaverifica.

ServerOCSP

Cisonoancheicostidelserverperilmantenimentodiuncertificato,principalmenteicostidi OCSP , che richiede che la CA mantenga alta -bandwidth, bassa latenza, server di downtime zero per rispondere ai controlli di revoca su ogni certificato rilasciato. Anche se questo potrebbe non sembrare costoso, ogni browser Web deve eseguire il ping di un server OCSP della CA durante ogni caricamento della pagina HTTPS. Ogni millisecondo in più che la CA prende per rispondere aggiunge al tempo di caricamento della pagina di ogni pagina su Internet . Eseguire un server a bassa latenza a questo livello di traffico è un complicato problema di ingegneria di rete.

[disclosure: lavoro per una CA]

    
risposta data 11.04.2017 - 17:35
fonte
11

Durante la vita del certificato, la CA deve essere in grado di revocarla, ovvero:

  • mantenendo l'elenco dei certificati revocati (CRL)
  • rispondere ai clienti che chiedono lo stato di revoca (OCSP).

Quindi finché il certificato è valido, il certificato "costa" qualcosa alla CA.

Inoltre, la CA deve mantenere un elevato livello di sicurezza e fiducia, per evitare di essere non attendibile dai browser.

Per ulteriori informazioni su OCSP:

Ogni visitatore di un sito Web può chiedere alla CA una prova di non revoca. Tale prova deve essere recente, quindi la CA deve firmare regolarmente tale prova (circa ogni 10 giorni) per ciascun certificato attivo.

Per avere una vera panoramica di quanto costa eseguire una CA (non commerciale):

link

Staffing $2.06M USD

Hardware/Software $0.20M USD

Hosting/Auditing $0.30M USD

Legal/Administrative $0.35M USD

Total $2.91M USD

Ovviamente, per una CA commerciale devi aggiungere il costo della fatturazione, degli annunci, della remunerazione degli investitori ...

E, per i certificati OV / EV, devi aggiungere il costo della verifica manuale dei documenti presentati per dimostrare la proprietà dell'azienda.

    
risposta data 11.04.2017 - 17:28
fonte
-2

Uno degli scopi è che dopo un anno, la tua potenza di calcolo potrebbe essere in grado di rompere il certificato, quindi lo rinnoveranno.

Se dovessi darti un certificato di durata illimitata, dopo un anno o due potrei interrompere il tuo certificato, quindi non è una buona idea avere un certificato per tutta la vita.

    
risposta data 12.04.2017 - 10:49
fonte

Leggi altre domande sui tag