C'è qualche motivo di sicurezza tecnica per non acquistare il certificato SSL più economico che riesci a trovare?

138

Mentre acquistavo un certificato SSL di base per il mio blog, ho scoperto che molte delle più note Autorità di certificazione hanno un certificato di livello base (con una convalida meno rigorosa dell'identità dell'acquirente) per circa $ 120 e oltre. Ma poi ho scoperto che Network Solutions offre uno di questi certificati low-end per $ 29,99 (12 ore fa era $ 12,95) con un contratto di 4 anni.

C'è qualche motivo di sicurezza tecnica di cui dovrei essere a conoscenza che potrebbe farmi pentire di aver acquistato il certificato di fascia più bassa? Promettono tutti cose come il riconoscimento del 99% dei browser, ecc. Non sto facendo questa domanda su SE per il confronto di cose come la qualità di supporto della CA (o la sua mancanza) o qualcosa del genere. Voglio sapere se c'è qualche motivo crittografico o PKI, quindi evita un certificato che costa così poco. Come altri, afferma che offre "crittografia fino a 256 bit".

    
posta Luke Sheppard 14.08.2012 - 21:19
fonte

14 risposte

91

Ai fini di questa discussione ci sono solo un paio di differenze tra i certificati di firma web:

  1. Convalida estesa vs standard (barra verde).
  2. Numero di bit in una richiesta di certificato (1024/2048/4096).
  3. Catena di certificati.

È più facile impostare i certificati con una catena di fiducia più breve, ma esistono certs poco costosi là fuori con una catena profonda diretta o di un solo livello. È inoltre possibile ottenere i certificati 2048 e 4096 bit più grandi in modo economico.

Finché non hai bisogno della convalida estesa non c'è davvero alcun motivo per andare con i certificati più costosi.

C'è un vantaggio specifico che offre un fornitore più grande: più il venditore è il principale, meno è probabile che venga revocata la sua fiducia in caso di violazione.
Ad esempio, DigiNotar è un venditore più piccolo che è stato abbastanza sfortunato da ottenere la revoca della fiducia a settembre 2011.

    
risposta data 14.08.2012 - 21:36
fonte
28

Buona roba in altre risposte, lasciatemi aggiungere alcune osservazioni sul corretto comportamento della CA.

Se la CA ha una cronologia

  • di mancanza di sicurezza applicazione delle norme,
  • di violazione di "accordo CA approvato dal browser",
  • di firma di nomi non DNS utilizzando il loro certificato radice ufficiale (come indirizzi IP o nomi DNS inesistenti f.ex. bosscomputer.private ),
  • di mancanza di trasparenza sul suo comportamento e sui suoi rivenditori,

e l'utente finale (come me) ispeziona il tuo certificato e sa di ciò che potrebbe rifletterci male. Soprattutto ogni CA che è una suddivisione di una società anche nel business dell'interconnessione di connessione .

Quando vedo USERtrust o COMODO o Verisign in una catena di certificati, non sono positivamente impressionato.

    
risposta data 15.08.2012 - 03:21
fonte
17

Da un punto di vista tecnico, l'unica cosa che conta è il riconoscimento del browser. E tutte le autorità fidate hanno copertura quasi al 100%.

Potrei dire di più, ma per evitare di duplicare gli sforzi ecco una domanda quasi identica con molte risposte ben motivate: Tutti i certificati SSL sono uguali?

    
risposta data 15.08.2012 - 08:27
fonte
13

Alla luce delle le ultime rivelazioni della NSA , direi l'intero concetto di CA Root commerciali è fondamentalmente difettoso e dovresti acquistare dalla CA più economica il cui certificato di origine è installato nel browser e nelle catene di sicurezza del sistema operativo.

In pratica, abbiamo bisogno di catene di fiducia dei certificati con più radici invece delle attuali catene di fiducia a radice singola. In questo modo, invece di ignorare il vero potere dei governi per " coercire " fornitori di servizi commerciali - otterresti semplicemente il tuo certificato firmato da più governi (preferibilmente antagonisti). Ad esempio, hai il tuo sito web di corrispondenza Bronies vs Juggalos firmato da Stati Uniti, Russia, Cina, Islanda e Brasile. Il che potrebbe costare di più ma davvero ridurre la probabilità di collusione.

    
risposta data 15.10.2013 - 13:44
fonte
10

Per un certificato di convalida del dominio, l'unica cosa che conta è se i browser accettano il certificato come affidabile. Quindi, prendi il certificato più economico che è attendibile da tutti i browser (o da tutti i browser che ti interessano). Non esiste un motivo crittografico significativo per preferire un fornitore rispetto a un altro.

(Ovviamente dovrai pagare di più per un certificato di convalida esteso, ma questa è una classe di certificati completamente diversa. Penso che tu lo sappia già.)

    
risposta data 14.08.2012 - 21:45
fonte
10

Indipendentemente dalla CA che utilizzi, la sicurezza dei tuoi utenti che stanno effettivamente comunicando con il tuo sito e non con un utente malintenzionato è valida solo come la peggiore CA di cui il browser si fida - un utente malintenzionato che vuole forgiare un certificato può acquistare una CA con cattive pratiche. Quindi non vedo alcun argomento plausibile secondo cui la tua scelta di CA influisce sulla sicurezza del tuo sito, a meno che tu non scelga una CA che genera chiavi private per te piuttosto che firmare una chiave che fornisci o che non consente dimensioni di chiavi grandi.

Oltre a questo, come altri hanno già detto, è probabilmente una buona idea evitare CA la cui combinazione di cattive pratiche e piccole dimensioni rende plausibile che la loro fiducia possa essere revocata da uno o più browser, poiché ciò influirebbe sull'accessibilità ( e percezione pubblica) del tuo sito.

    
risposta data 17.09.2014 - 19:28
fonte
9

Presto potrai Puoi ottenere certificati per il basso costo di zero € con Let's Encrypt.

Sono tecnicamente validi come qualsiasi altro (convalida non estesa, in pratica senza la barra verde sui tuoi browser), il punto principale è la capacità dei browser di riconoscerlo come affidabile (loro saranno sono ).

L'unico inconveniente è che c'è una richiamata da Encrypt di Lets sul tuo sito o DNS, che rende doloroso (se non impossibile) la creazione di certificati per siti interni (non Internet).

    
risposta data 20.10.2015 - 10:26
fonte
8

In generale le due cose che probabilmente puoi trasmettere sono le EV (visto che è solo il trucco della barra verde) e anche SGC non offre realmente alcun reale beneficio (dato che si applica solo ai browser dei giorni di IE5 e prima)

Questo sito fornisce una buona panoramica del perché evitare SGC: link

    
risposta data 15.08.2012 - 00:55
fonte
6

Ignorando gli aspetti tecnici della crittografia dei certificati, il problema da considerare è la fiducia e la reputazione. Se si è interessati solo alla crittografia del traffico, è possibile utilizzare un semplice certificato autofirmato. D'altra parte, se quello che vuoi ottenere è di fornire un livello di fiducia che tu o il tuo sito siete realmente chi / cosa pretende di essere, allora avete bisogno di un certificato da un'autorità di certificazione di cui le persone si fidano.

L'AC raggiunge questo livello di fiducia attraverso il controllo delle persone a cui vendono i certificati. Molti dei fornitori di certificati più economici ottengono i loro prezzi più bassi riducendo i loro costi operativi e questo viene spesso fatto con processi di selezione meno rigorosi.

La domanda non dovrebbe essere "Chi è il fornitore di certificati più economico", ma piuttosto "Quale fornitore di certificati ha la reputazione e il livello di fiducia necessari che gli utenti o potenziali utenti del mio servizio accetteranno".

P.S. Sfortunatamente, in una certa misura, l'intero modello è rotto comunque. Pochi utenti addirittura controllano per vedere chi è la CA che ha rilasciato il certificato e hanno scarsa conoscenza o comprensione della catena di autorità coinvolta.

    
risposta data 26.10.2012 - 00:01
fonte
3

Da un punto di vista pragmatico per un sito con utenti di tipo standard, l'unico criterio valido per un certificato SSL è "è supportato dai browser che i miei utenti useranno per accedere al sito". Finché lo è, stai bene con il più economico possibile.

Un po 'di tempo fa un potenziale differenziatore era se il certificato era SSL EV o no, ma a dire il vero non ho notato una grande consapevolezza da parte degli utenti, quindi è improbabile che valga la pena.

    
risposta data 26.10.2012 - 00:16
fonte
3

Il certificato SSL viene utilizzato per due scopi.

  • Uno protegge le transazioni online e le informazioni private trasmesse tra un browser Web e un server Web.
  • Il secondo è Trust, SSL viene utilizzato per aumentare la fiducia dei clienti. SSL dimostra la sicurezza della sessione del tuo sito web, significa che il tuo cliente si fida del tuo sito web.

Ogni certificato ha il proprio processo di convalida e seguendo questa autorità di certificazione del processo convalida l'affidabilità della tua azienda e invia un certificato per il tuo sito web.

Un certificato SSL economico di base convalida solo l'autorizzazione del dominio e autenticato tramite il sistema di verifica dell'e-mail di approvazione. Il responsabile dell'approvazione può facilmente ottenere questo certificato in pochi minuti con un indirizzo email generico.

I certificati SSL OV ed EV sono collegati alla fiducia del cliente e, grazie al rigoroso processo di autenticazione, garantiscono il massimo livello di affidabilità. L'SSL EV convalida i vari componenti dell'identificazione del dominio e delle informazioni aziendali. Segue il processo di verifica manuale e durante questo processo il sistema non riesce a verificare o gli imputati del sistema la tua azienda per potenziali azioni false quindi il tuo ordine potrebbe essere allineato per la revisione manuale.

La principale differenza nel fattore di fiducia e nella reputazione del marchio, mentre i tuoi clienti vedono la barra degli indirizzi verde nel tuo browser, quindi si sentono più sicuri e incoraggiano a fare transazioni. Altrimenti, alcune differenze tra altre funzionalità come la crittografia, la compatibilità del browser, la lunghezza della chiave, i supporti mobili, ecc.

Altrimenti, la garanzia dei certificati spiega le differenze. Le autorità di certificazione offrono una garanzia estesa (da $ 1 a $ 1,75 milioni) contro l'emissione non corretta di un certificato SSL che spiega il valore dell'investimento per la sicurezza del sito Web.

Mentre ci concentriamo sul prezzo di un certificato, non importa dove acquistare il certificato, l'autorità di certificazione o un rivenditore autorizzato. Il rivenditore autorizzato offre gli stessi prodotti SSL, le stesse funzionalità di sicurezza, un supporto migliore a prezzi ragionevoli.

Jason Parm è affiliato con SSL2BUY (Global SSL Reseller)

    
risposta data 23.06.2014 - 13:18
fonte
2

È un po 'tardi, ma per altri come me che cercano sul Web di trovare il certificato SSL da acquistare ed ecco il risultato della mia ricerca:

Dal punto di vista tecnico i costosi certificati SSL offrono sigillo dinamico che significa un'immagine dinamica visualizzata su un sito web che mostra l'ora e la data correnti di quando la pagina web è stata caricata, il che indica che il sigillo è valido per il dominio che è installato acceso ed è attuale e non è scaduto. Quando si fa clic sull'immagine, verranno visualizzate le informazioni dell'autorità di certificazione sul profilo del sito Web che convalida la legittimità del sito. Questo darà ai visitatori del sito una maggiore sicurezza nella sicurezza del sito.

A Static Seal è semplicemente un'immagine grafica statica che può essere posizionata sul sito Web per indicare da dove è stato ottenuto il certificato digitale, tuttavia non esiste alcuna convalida click-through del sito Web e l'immagine non mostra l'ora corrente e data.

Inoltre, se stai acquistando SSL più costoso, riceverai più denaro in garanzia di frode per i tuoi visitatori, ma solo nel caso in cui l'Autorità emettesse un certificato a un truffatore e un visitatore perdesse i suoi soldi credendo che il sito fosse legittimo. Se non sei un truffatore non c'è motivo per cui dovresti andare per un certificato costoso a meno che tu non voglia mostrare la barra degli indirizzi verde e aumentare la fiducia nei tuoi visitatori.

Tecnicamente non c'è altra differenza

Esistono 3 tipi principali di certificati SSL

Dominio singolo

  • Protegge entrambe le versioni www e non www del tuo dominio
  • Esempi: RapidSSL, Comodo Esential ecc.

jolly

  • Protegge tutti i sottodomini per un singolo dominio incluse le versioni www e non www
  • Esempi Comodo Wildcard SSL, RapidSSL Wildcard ecc.

Multi dominio

  • La maggior parte delle autorità di certificazione fornisce 3-5 domini con il loro piano prezzi di base
  • Devi pagare per dominio aggiuntivo. In genere intorno a $ 15 - $ 20 / anno per dominio
  • Esempi Comodo SSL multi dominio positivo

Anche 3 tipi di verifica del dominio

Per ottenere il certificato SSL rilasciato, l'autorità di certificazione deve verificare che tu sia chi hai detto di essere quando hai richiesto il certificato con loro. I seguenti sono 3 dei processi di verifica che devi seguire quando ottieni un SSL

1. Domain Validation

Devi convalidare il tuo dominio. In genere ciò avviene tramite il collegamento URL inviato a una delle email sul tuo dominio o con il caricamento di file sul tuo server. Di gran lunga questo è il SSL più veloce, semplice ed economico. La garanzia contro le frodi con questo tipo di convalida è fino a $ 10.000.

2. Convalida dell'organizzazione

Devi fornire documentazione di supporto sulla tua organizzazione per ottenere uno di questi certificati. Questo processo è un po 'più lento e può richiedere fino a un paio di giorni. Questo tipo di sicurezza SSL è richiesto per siti Web e organizzazioni di e-commerce di grandi dimensioni che memorizzano dati utente sensibili. In genere questi certificati offrono un sigillo dinamico del sito e offrono una garanzia più elevata fino a $ 1.500.000 a seconda dell'emittente.

3. Extended Validation

Questi sono i certificati più affidabili e trasformeranno la barra degli indirizzi del browser in verde contenente il nome della tua organizzazione. Di gran lunga il processo di convalida più lento di una settimana, a seconda del corpo esterno che verifica i tuoi dettagli. Dovrai fornire all'autorità SSL i documenti di supporto come l'incorporazione della società ecc. E li trasmetteranno a terzi per verificarne la validità. Una volta completato questo processo, avrai la massima fiducia e garanzia fino a $ 2.000.000 a seconda dell'emittente.

Quale certificato comprare

Questo dipende da te. Esistono numerose Autorità di certificazione che offrono molto per ogni necessità. Per me il punto principale è non spendere a meno che non sia necessario. Il certificato SSL di base farà più o meno lo stesso SSL più costoso sul mercato.

Ecco alcuni link utili

Autorità di certificazione

Alcuni dei rivenditori più economici

risposta data 20.10.2015 - 01:18
fonte
2

DV dovrebbe essere sufficiente per la maggior parte dei browser

L'articolo " Capire i rischi ed evitare FUD " su Rischio non mitigato menziona tre livelli di sicurezza di certificati firmati da un'autorità di certificazione. A questi tre aggiungerò due livelli di garanzia inferiori senza un certificato firmato da una CA. Questo rende un totale di cinque livelli di sicurezza HTTP da considerare:

  1. Nessun TLS ( http: )
  2. TLS con un certificato autofirmato o di un emittente altrimenti sconosciuto
  3. TLS con certificato di dominio (DV) convalidato da un emittente conosciuto (organizzazione non parte del certificato)
  4. TLS con certificato validato dall'organizzazione (OV) di un emittente conosciuto (nome dell'organizzazione nel certificato)
  5. TLS con certificato di convalida estesa di un emittente EV noto (nome e indirizzo dell'organizzazione nel certificato)

I certificati che acquisti da una CA commerciale saranno 3, 4 o 5. La maggior parte dei browser Web consente tutti tranne 2 senza avvisi interstitial, anche se 2 è meglio di 1 in resistenza agli attacchi passivi. Il razionale comunemente espresso è che un URI https: con una CA sconosciuta fornisce un falso senso di sicurezza, in particolare nei confronti di un uomo nel mezzo, mentre un URI http: dà un vero senso di insicurezza.

Ma DV può spaventare gli utenti di Comodo Dragon

Ma una minoranza di utenti usa un browser web che avvisa anche su 3. Quando un utente di Comodo Dragon visita un sito HTTPS che utilizza un certificato DV, visualizza un blocco diverso icona con un triangolo di avviso, che assomiglia all'icona "contenuto passivo misto". Visualizza anche una schermata di avviso interstiziale prima di visualizzare il sito. Questo avviso è simile a ciò che i browser visualizzano per un certificato autofirmato e il suo testo inizia come segue:

It may not be safe to exchange information with this site

The security (or SSL) certificate for this website indicates that the organization operating it may not have undergone trusted third-party validation that it is a legitimate business.

Questo è inteso a fermare gli attaccanti che registrano un dominio bankofamerrica.example per "Banko Famer Rica", presentare contenuti colorabilmente legittimi sulla Costa Rica, ottenere un certificato DV per quel dominio e poi cambiarlo in un sito che impersona Bank dell'America. Ha anche lo scopo di fermare un aggressore che compromette un dominio, aggiunge un sottodominio che controlla e ottiene un certificato DV per quel sottodominio. Uno di questi casi è successo a dicembre 2015, una volta che il DV CA gratuito Let's Encrypt è stato pubblicato. Ma è stato visto per visualizzare questo messaggio anche per Facebook .

Per non spaventare gli utenti di Dragon, è necessario evitare i certificati DV. Ma non è necessario acquistare un certificato EV. Basta creare un elenco di CA che desiderano vendere la propria organizzazione un certificato OV il cui certificato di origine è presente in tutti i principali browser. Quindi non c'è motivo di sicurezza tecnica per non acquistare quello più economico.

Se gestisci il tuo blog come individuo, potresti non essere idoneo per un certificato OV da qualsiasi CA. In questo caso, devi solo convivere con l'avviso in Dragon, e puoi semplicemente andare con un certificato DV economico come le offerte StartSSL, WoSign o Let's Encrypt.

    
risposta data 02.12.2014 - 17:29
fonte
0

Vorrei aggiungere che mentre la tecnologia è la stessa con la crittografia a 256 bit, si pagano anche i seguenti fattori:

Livello di convalida : questa è la quantità di controlli che l'emittente farà per verificare la tua azienda o il tuo sito web

Numero di domini : quanti domini questo certificato sarà valido per

Livello di sicurezza - come membri menzionati sopra, puoi pagare per diversi tipi di convalida con "attendibile" di più dagli utenti, quindi la differenza di prezzo

    
risposta data 08.06.2016 - 21:08
fonte

Leggi altre domande sui tag