Pytanie:
Czy jest jakiś techniczny powód, aby nie kupować najtańszego certyfikatu SSL, jaki można znaleźć?
Luke Sheppard
2012-08-15 00:19:08 UTC
view on stackexchange narkive permalink

Kupując podstawowy certyfikat SSL dla mojego bloga, stwierdziłem, że wiele bardziej znanych urzędów certyfikacji ma podstawowy certyfikat (z mniej rygorystyczną weryfikacją tożsamości kupującego) za około 120 USD i więcej. Ale potem odkryłem, że Network Solutions oferuje jeden z tych niższych certyfikatów za 29,99 USD (12 godzin temu było to 12,95 USD) z 4-letnią umową.

Czy jest jakiś techniczny powód bezpieczeństwa, o którym powinienem wiedzieć tego może pożałować zakupu certyfikatu z najniższej półki? Wszyscy obiecują takie rzeczy, jak rozpoznawalność w 99% przeglądarkach, itp. Nie zadaję tego pytania na SE w celu porównania takich rzeczy, jak jakość wsparcia CA (lub jej brak) lub coś w tym rodzaju. Chcę wiedzieć, czy jest jakiś powód kryptograficzny lub PKI, więc unikaj certyfikatu, który kosztuje tak niewiele. Podobnie jak inne, mówi, że oferuje „szyfrowanie do 256 bitów”.

Odpowiednie - http://security.stackexchange.com/questions/13453/are-all-ssl-certificates-equal
„_it oferuje” szyfrowanie do 256 bitów_ ”nie, urząd certyfikacji lub certyfikat nie! ** Twój serwer TLS tak. **
Jeśli nadal decydujesz się na najtańsze, pamiętaj, że możesz je dostać za darmo (http://startssl.com jest jednym z takich dostawców)
Mówienie o szyfrowaniu 256 bitowym w kontekście certyfikatów to nonsens. Ta część SSL jest całkowicie niezależna od certyfikatów.
Ponieważ Godaddy to douchenozzle? Jest wiele innych tańszych opcji, rapidssl, geotrust itp.
Zauważ, że od dzisiaj możesz po prostu uzyskać dobry i zaufany certyfikat SSL / TLS za darmo z projektu wspieranego przez Mozillę i EFF.Spójrz na https://letsencrypt.org
aktualizacja: pod koniec 2016 r. StartCom aka ** StartSSL ** został kupiony przez ** WoSign **, którzy zostali przyłapani na wystawianiu i datowaniu certyfikatów z naruszeniem zasad CABforum i obecnie ** są powszechnie nieufni **;zobacz https://security.stackexchange.com/questions/18919/are-there-technical-disadvantages-in-using-free-ssl-certificates (i https://security.stackexchange.com/questions/91292/how-do-i-report-a-security-vulnerability-about-a-trusted-certificate-authority!)
Zanotowano.Dziękujemy za aktualizację na StartSSL.Tak się składa, że używam teraz innego CA, ale nie z tego konkretnego powodu.
Czternaście odpowiedzi:
Tim Brigham
2012-08-15 00:36:15 UTC
view on stackexchange narkive permalink

Na potrzeby tej dyskusji istnieje tylko kilka różnic między certyfikatami do podpisywania witryn internetowych:

  1. Rozszerzona i standardowa walidacja (zielony pasek).
  2. Liczba bitów w żądaniu certyfikatu (1024/2048/4096).
  3. Łańcuch certyfikatów.

Łatwiej jest skonfigurować certyfikaty z krótszym łańcuchem zaufania, ale istnieją niedrogie certyfikaty z bezpośrednim lub tylko jednym poziomem głębokiego łańcucha. Możesz także niedrogo uzyskać większe certyfikaty 2048 i 4096 bitowe.

Dopóki nie potrzebujesz rozszerzonej walidacji, naprawdę nie ma powodu, aby kupować droższe certyfikaty.

Jest jedna konkretna korzyść, którą zapewnia większy dostawca - im bardziej główny dostawca, tym mniejsze prawdopodobieństwo, że jego zaufanie zostanie odebrane w przypadku naruszenia.
Na przykład DigiNotar jest mniejszą firmą, której zaufanie zostało odebrane we wrześniu 2011 roku.

„_Im bardziej sprzedawca jest głównym dostawcą, tym mniejsze jest prawdopodobieństwo, że jego zaufanie zostanie odwołane w przypadku naruszenia zasad”. :(
@MrGlass Nie tyle zaufanie do CA, ile ** zaufanie, że bardzo duży CA nie zostanie nigdy ukarany za robienie złych rzeczy **, ponieważ ukarze to również jego klientów. To prawda i śmierdzi.
@Tim, Czy istnieją urzędy certyfikacji, które sprzedają certyfikaty 4096-bitowe?
@Pacerier Jeśli Twój CSR (żądanie podpisania certyfikatu) ma 4096-bitowy klucz, większość urzędów certyfikacji zaakceptuje go w taki sam sposób, jak CSR z tylko 2048 bitami.Nawiasem mówiąc, Let's Encrypt (https://letsencrypt.org/) to bezpłatny, non-profit CA, który wydaje standardowe certyfikaty walidacji domeny.
curiousguy
2012-08-15 06:21:23 UTC
view on stackexchange narkive permalink

Dobre rzeczy w innych odpowiedziach, pozwolę sobie dodać kilka uwag na temat prawidłowego zachowania urzędu certyfikacji.

Jeśli CA ma historię

  • braku bezpieczeństwa egzekwowanie zasad,
  • naruszenie umowy „CA zatwierdzony przez przeglądarkę”,
  • podpisywanie nazw innych niż DNS używając swojego oficjalnego certyfikatu głównego (takiego jak adresy IP lub nieistniejące nazwy DNS, np. bosscomputer.private) ,
  • braku przejrzystości informacje jego zachowanie i sprzedawcy,

oraz użytkownik końcowy (taki jak ja) sprawdzają Twój certyfikat i wiedzą o tym, co może źle wpłynąć na Ciebie. Zwłaszcza każdy CA będący pododdziałem firmy zajmującej się również przechwytywaniem połączeń .

Kiedy widzę USERtrust, COMODO lub Verisign w łańcuchu certyfikatów, nie jestem pod wrażeniem .

Czy możesz zasugerować sposoby, w jakie potencjalny klient może zidentyfikować, które CA mają historię niewłaściwego zachowania, o którym wspominasz? (Google o wzmianki w prasie?)
Co złego zrobili Comodo i Verisign?
Tak… Proszę rozwinąć ostatnie zdanie: „Kiedy widzę USERtrust, COMODO lub Verisign w łańcuchu certyfikatów, nie jestem pod wrażeniem”. Okazuje się, że jeden z moich znajomych widział certyfikat wydany przez COMODO podczas sprawdzania tożsamości strony jego banku w swojej przeglądarce, a teraz zaczynam się zastanawiać, czy jest podejrzany…
Może nie są pod wrażeniem incydentów z [Comodo] (https://en.wikipedia.org/wiki/Comodo_Group#Controversies) i [Versign] (https://en.wikipedia.org/wiki/Verisign#Controversies)? Certyfikaty USERtrust zostały nieprawidłowo wydane przez Comodo (jak wyjaśniono tutaj) (http://askubuntu.com/questions/497923/fake-usertrust-com-certificates-in-chrome))
@curiousguy, ** Który CA ** byś wybrał?GeoTrust, jedyny używany przez Google?
tylerl
2012-08-15 11:27:29 UTC
view on stackexchange narkive permalink

Z technicznego punktu widzenia jedyną rzeczą, która ma znaczenie, jest rozpoznawanie przeglądarki. Wszystkie zaufane autorytety mają prawie 100% pokrycia.

Mógłbym powiedzieć więcej, ale aby uniknąć dublowania wysiłków, oto prawie identyczne pytanie z wieloma dobrze uzasadnionymi odpowiedziami: Są wszystkie Czy certyfikaty SSL są równe?

LateralFractal
2013-10-15 16:44:08 UTC
view on stackexchange narkive permalink

W świetle ostatnich rewelacji NSA, powiedziałbym, że cała koncepcja komercyjnych głównych urzędów certyfikacji jest zasadniczo wadliwa i należy po prostu kupować od najtańszego CA, którego główny certyfikat jest instalowany w łańcuchach zaufania przeglądarki i systemu operacyjnego.

W praktyce potrzebujemy wielokrotnie zakorzenionych łańcuchów zaufania certyfikatów zamiast bieżących z pojedynczym rootem łańcuchy zaufania. W ten sposób zamiast ignorować rzeczywistą władzę rządów w zakresie „przymuszania” komercyjnych dostawców - po prostu otrzymasz certyfikat podpisany przez wiele (najlepiej antagonistycznych) rządów. Na przykład, niech Twoja witryna z meczami klatkowymi Bronies vs Juggalos jest podpisana przez USA, Rosję, Chiny, Islandię i Brazylię. Co może kosztować więcej, ale naprawdę zmniejszyłoby prawdopodobieństwo zmowy.

Dlaczego nie użyć DLT, takiego jak łańcuch bloków bitcoin, aby mieć podpisany certyfikat w ramach transakcji?
@JonGrah To może zadziałać.Problemem nie jest jednak to, w jaki sposób certyfikat jest zabezpieczony elektronicznie, ale raczej to, że akceptujemy jedno źródło zaufania w prawdziwym życiu zamiast kilku źródeł zaufania z immunitetem suwerennym, który prawdopodobnie nie będzie zmowy ani nie zostanie zmuszony.
D.W.
2012-08-15 00:45:05 UTC
view on stackexchange narkive permalink

W przypadku certyfikatu walidacji domeny liczy się tylko to, czy przeglądarki akceptują certyfikat jako zaufany. Dlatego weź najtańszy certyfikat, któremu ufają wszystkie przeglądarki (lub wszystkie przeglądarki, na których Ci zależy). Nie ma żadnego istotnego powodu kryptograficznego, aby preferować jednego dostawcę od drugiego.

(Oczywiście będziesz musiał zapłacić więcej za certyfikat rozszerzonej walidacji, ale to zupełnie inna klasa certyfikatu. Myślę, że już to wiesz .)

„_tańszy certyfikat, któremu ufają wszystkie przeglądarki_” i nie ma żadnych złych rzeczy związanych z nazwą dostawcy?
R.. GitHub STOP HELPING ICE
2014-09-17 22:28:20 UTC
view on stackexchange narkive permalink

Bez względu na to, z którym urzędem certyfikacji się wybierzesz, pewność użytkowników, że faktycznie komunikują się z Twoją witryną, a nie intruzem, jest tylko tak dobra, jak najgorszy urząd certyfikacji, któremu ufają ich przeglądarka - osoba atakująca, która chce sfałszować certyfikat, może kupić urząd certyfikacji, który stosuje złe praktyki. Dlatego nie widzę żadnego wiarygodnego argumentu, że wybór CA wpływa na bezpieczeństwo witryny, chyba że wybierzesz urząd certyfikacji, który generuje klucze prywatne, zamiast podpisywać klucz, który podasz, lub który nie zezwala na duże rozmiary kluczy.

Poza tym, jak powiedzieli inni, prawdopodobnie dobrym pomysłem jest unikanie CA, których połączenie złych praktyk i niewielkich rozmiarów sprawia, że ​​prawdopodobne jest, że ich zaufanie może zostać odebrane przez jedną lub więcej przeglądarek, ponieważ wpłynęłoby to na dostępność (i odbiór opinii publicznej) Twojej witryny.

To doskonała odpowiedź, jeszcze doskonalsza dzięki uwzględnieniu percepcji użytkowników. Postrzeganie jest zawsze obecnym, choć niepożądanym, aspektem bezpieczeństwa każdego systemu informatycznego.
@R.Ta odpowiedź jest myląca i błędna, ponieważ sam użytkownik ** mógłby ** sprawdzić łańcuch certyfikatów w interfejsie przeglądarki, gdyby chciał.Więc jeśli kupisz lepszy łańcuch, twój użytkownik będzie o tym wiedział i przez to da mu więcej „zaufania”.(Zakładając, że [wiedzą jak] (http://security.stackexchange.com/questions/18666/is-there-any-technical-security-reason-not-to-buy-the-cheapest-ssl-certificate-y# comment219196_23186) oczywiście ...)
@Pacerier: Robisz duże założenie.A z punktu widzenia strony (nie indywidualnego użytkownika) to raczej nieistotne.Dla bezpieczeństwa * witryny * nie ma znaczenia, że kilku użytkowników o bardzo wysokich technicznie skłonnościach może samodzielnie ocenić łańcuch zaufania, tylko że złe zakupy w CA działają dla atakującego, który chce oszukać niektórych / większość użytkowników.
WoJ
2015-10-20 13:26:21 UTC
view on stackexchange narkive permalink

Wkrótce będzie można Możesz otrzymać certyfikaty za niewielką opłatą wynoszącą zero euro dzięki Let's Encrypt.

Pod względem technicznym są tak dobre, jak inne (sprawdzanie poprawności bez rozszerzenia, w zasadzie bez zielonego paska w przeglądarkach), a głównym punktem jest zdolność przeglądarek do rozpoznania go jako zaufanego ( będzie ).

Jedyną wadą jest oddzwanianie z Lets 'Encrypt do Twojej witryny lub serwera DNS, co sprawia, że ​​generowanie certyfikatu jest bolesne (jeśli nie niemożliwe) dla (inne niż internetowe).

Są to: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html
@DeerHunter: poprawnie, przeczytałem, że przed chwilą stałem w kolejce na lunch. Odpowiedź zaktualizowana, dzięki.
Jak rozumiem teraz, aby uzyskać zaufany certyfikat z Letsencrypt, musisz umieścić swoją domenę na białej liście w ich programie beta (który jest nieco nadsubskrybowany).
@PeterGreen: są obecnie w prywatnej wersji beta (dostarczone certyfikaty działają świetnie), [publiczna beta rozpoczyna się 3 grudnia 2015 r.] (Https://letsencrypt.org/2015/11/12/public-beta-timing.html).
@WoJ, Przy okazji jakiekolwiek zastrzeżenia?Czy jesteś pracownikiem czy „stroną zainteresowaną”?
@Pacerier co?personel jak w „zaszyfrujmy personel”?Nie. „Zainteresowana strona”?** oczywiście ** Jestem osobą zainteresowaną.Zainteresowany tą DARMOWĄ usługą i wspierający całym sercem faceta od bezpieczeństwa tak przydatny DARMOWY sposób na zwiększenie ich bezpieczeństwa dla wszystkich (nie dlatego, że jest to certyfikat, ale dlatego, że zmusza to ludzi do myślenia o tym, co robią i co chroni ich przed jakim ryzykiem).
theonlylos
2012-08-15 03:55:08 UTC
view on stackexchange narkive permalink

Ogólnie rzecz biorąc, dwie rzeczy, które prawdopodobnie możesz przekazać, to EV (ponieważ jest to tylko sztuczka z zielonym paskiem), a także SGC nie zapewnia dziś żadnych realnych korzyści (ponieważ dotyczy tylko przeglądarek z czasów IE5 i wcześniej)

Ta strona zawiera dobry przegląd tego, dlaczego należy unikać SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

„_Comodo, ponieważ są dobrze znaną marką_” dobrze znaną ze skandali!
Tim X
2012-10-26 03:01:33 UTC
view on stackexchange narkive permalink

Pomijając techniczne aspekty szyfrowania certyfikatów, kwestią do rozważenia są zaufanie i reputacja. Jeśli obawiasz się tylko szyfrowania ruchu, możesz użyć prostego certyfikatu z podpisem własnym. Z drugiej strony, jeśli chcesz zapewnić poziom zaufania, że ​​Ty lub Twoja witryna naprawdę jesteście tym, za kogo się podaje, potrzebujecie certyfikatu z urzędu certyfikacji, któremu ufają ludzie.

CA osiąga ten poziom zaufania poprzez weryfikację osób, którym sprzedaje certyfikaty. Wielu tańszych dostawców certyfikatów osiąga niższe ceny dzięki zmniejszeniu ogólnych kosztów operacyjnych, a odbywa się to często dzięki mniej rygorystycznym procesom weryfikacji.

Pytanie nie powinno brzmieć „Kto jest najtańszym dostawcą certyfikatów”, ale raczej „Który dostawca certyfikatów ma niezbędną reputację i poziom zaufania, który zaakceptują użytkownicy lub potencjalni użytkownicy mojej usługi”.

P.S. Niestety w pewnym stopniu cały model i tak się psuje. Niewielu użytkowników sprawdza nawet, kto jest urzędem certyfikacji, który wystawił certyfikat, i mają niewielką wiedzę na temat danego łańcucha uprawnień.

Powiedziałbym nawet, że prawie żaden użytkownik nigdy nie sprawdziłby wydawcy, a nawet gdyby nie mieli pojęcia, kto był dobry / zły / obojętny.
Certyfikaty z podpisem własnym dla własnej, osobistej strony internetowej są BÓLEM. Niektóre systemy operacyjne (na przykład niektóre wersje Androida) nie mogłem zainstalować certyfikatu, nawet konieczność robienia tego dla każdego urządzenia, z którego regularnie korzystam, marnuje dużo czasu i muszę kliknąć ostrzeżenie na 20 różnych kartach, gdy Chrome restart jest też bólem.
@RоryMcCune, posunąłbym się nawet do stwierdzenia, że prawie żaden użytkownik nie ** wiedziałby **, jak sprawdzić wystawcę.
@Pacerier: Poszedłbym jeszcze o krok dalej: większość użytkowników nawet nie wie **, że mogą ** sprawdzić certyfikat.
Rory McCune
2012-10-26 03:16:15 UTC
view on stackexchange narkive permalink

Z pragmatycznego punktu widzenia dla witryny ze standardowymi użytkownikami jedynym kryterium, które ma znaczenie dla certyfikatu SSL, jest „czy jest obsługiwany przez przeglądarki, z których moi użytkownicy będą korzystać, aby uzyskać dostęp do witryny”. Dopóki jest, nie przeszkadza ci, że jest tak tani, jak to tylko możliwe.

Jakiś czas temu potencjalnym wyróżnikiem było to, czy certyfikat był EV SSL, czy nie, ale szczerze mówiąc, nie widziałem dobrego świadomość użytkowników, więc jest mało prawdopodobne, że będzie to warte swojej ceny.

Jason Parms
2014-06-23 16:18:41 UTC
view on stackexchange narkive permalink

Certyfikat SSL jest używany w dwóch celach.

  • Jednym z nich jest zabezpieczenie transakcji online i prywatnych informacji, które są przesyłane między przeglądarką a serwerem WWW.
  • Drugim jest zaufanie, SSL służy do zwiększania zaufania klientów. SSL zapewnia bezpieczną sesję Twojej witryny, oznacza to zaufanie klientów do Twojej witryny.

Każdy certyfikat ma własny proces weryfikacji, a po tym procesie urząd certyfikacji potwierdza wiarygodność Twojej firmy i wysyła certyfikat dla Twojej witryny.

Podstawowy tani certyfikat SSL potwierdza tylko urząd domeny i uwierzytelniony za pomocą systemu weryfikacji adresu e-mail osoby zatwierdzającej. Osoba zatwierdzająca może z łatwością uzyskać ten certyfikat w ciągu zaledwie kilku minut za pomocą ogólnego adresu e-mail.

Certyfikaty SSL OV i EV podparte są zaufaniem klienta, a dzięki ścisłemu procesowi uwierzytelniania zapewniają najwyższy poziom zaufania. EV SSL weryfikuje różnorodne elementy identyfikacji domeny i informacji biznesowych. Następuje ona po ręcznym procesie weryfikacji, a podczas tego procesu system nie weryfikuje lub oskarża Twoją firmę o potencjalne fałszywe działanie, wtedy Twoje zamówienie może zostać skierowane do ręcznej oceny.

Główna różnica we współczynniku zaufania i reputacji marki, podczas gdy Twoi klienci widzą zielony pasek adresu w przeglądarce, czują się bezpieczniej i zachęcają do dokonywania transakcji. W przeciwnym razie istnieją pewne różnice między innymi funkcjami, takimi jak szyfrowanie, zgodność z przeglądarkami, długość klucza, obsługa telefonów komórkowych itp.

W przeciwnym razie gwarancja certyfikatów wyjaśnia różnice. Urzędy certyfikacji zapewniają rozszerzoną gwarancję (od 1 000 do 1,75 mln USD) na wypadek niewłaściwego wydania certyfikatu SSL, który wyjaśnia wartość inwestycji w bezpieczeństwo witryny.

Chociaż koncentrujemy się na cenie certyfikatu, nie ma znaczenia, gdzie kupić certyfikat - urząd certyfikacji czy autoryzowany sprzedawca. Autoryzowany sprzedawca oferuje te same produkty SSL, takie same funkcje bezpieczeństwa, lepszą obsługę za rozsądną cenę.

Jason Parm jest powiązany z SSL2BUY (globalnym sprzedawcą SSL)

Dziękuję za odpowiedź i witamy w Security.SE! Ponieważ jesteś zatrudniony u autoryzowanego sprzedawcy SSL, a w Twojej odpowiedzi jest mowa o korzystnym korzystaniu z usług sprzedawców, czy mogę zachęcić Cię do uwzględnienia w odpowiedzi swojego powiązania, aby zachować bezpieczeństwo? Wiem, że nie promujesz żadnego konkretnego produktu, więc jest to szara strefa, ale jest to coś, w czym twój pracodawca ma interes finansowy. Lepiej jest ujawnić potencjalne uprzedzenia, aby zachować bezpieczeństwo. (Zobacz także http://security.stackexchange.com/help/behavior, aby zapoznać się z oficjalnymi zasadami, lub http://meta.stackexchange.com/a/145588/160917).
Kiedy przychodzi do głowy, zastanawiam się, czy jest w ogóle możliwe [** faktycznie zebranie ** gwarancji w wysokości 1,5 miliona USD] (http://webmasters.stackexchange.com/questions/372/are-the-different-types-of-ssl-certificate-a-bit-of-a-scam / 547 # comment114497_547).Jak wyglądałaby ta „gwarancja”, gdyby 300 000 klientów zaczęło się o nią ubiegać?
Damian Yerrick
2014-12-02 22:29:37 UTC
view on stackexchange narkive permalink

DV powinno wystarczyć dla większości przeglądarek

Artykuł „ Zrozumienie ryzyka i unikanie FUD” na temat Unmitigated Risk wspomina o trzech poziomach bezpieczeństwa podpisanych certyfikatów przez urząd certyfikacji. Do tych trzech dodam dwa niższe poziomy bezpieczeństwa możliwe bez certyfikatu podpisanego przez CA. To daje łącznie pięć poziomów bezpieczeństwa HTTP do rozważenia:

  1. Brak TLS ( http: )
  2. TLS z własnym certyfikatem -podpisane lub od innego nieznanego wystawcy
  3. TLS z certyfikatem walidowanym w domenie (DV) od znanego wystawcy (organizacja nie jest częścią certyfikatu)
  4. TLS z zatwierdzonym przez organizację (OV) certyfikat od znanego wystawcy (nazwa organizacji w certyfikacie)
  5. TLS z certyfikatem Extended Validation od znanego wystawcy EV (nazwa i adres organizacji w certyfikacie)

Certyfikaty, które kup od komercyjnego urzędu certyfikacji będzie wynosić 3, 4 lub 5. Większość przeglądarek internetowych zezwala na wszystkie oprócz 2 bez ostrzeżenia pełnoekranowego, mimo że 2 jest lepsze niż 1 pod względem odporności na pasywne ataki. : URI z nieznanym CA daje fałszywe poczucie bezpieczeństwa, szczególnie przed człowiekiem w środku, podczas gdy http: URI daje prawdziwe poczucie niepewności.

Ale DV może przestraszyć Comodo Drago n użytkowników

Jednak mniejszość użytkowników korzysta z przeglądarki internetowej, która ostrzega również na 3. Kiedy użytkownik Comodo Dragon odwiedza witrynę HTTPS, która używa certyfikatu DV, wyświetla inną ikonę kłódki z trójkątem ostrzegawczym, który przypomina ikonę „mieszana zawartość pasywna”. Przed wyświetleniem witryny wyświetla także pełnoekranowy ekran ostrzegawczy. To ostrzeżenie przypomina przeglądarkę wyświetlaną w przypadku certyfikatu z podpisem własnym , a jego tekst zaczyna się następująco:

Wymiana informacji z tą witryną może nie być bezpieczna

Certyfikat bezpieczeństwa (lub SSL) dla tej witryny wskazuje, że organizacja, która ją obsługuje, mogła nie przejść przez zaufaną zewnętrzną weryfikację, że jest to legalna firma.

Ma to na celu powstrzymanie atakujących, którzy zarejestrują domenę bankofamerrica.example w przypadku „Banko Famer Rica” umieść pokolorowane, legalne treści o Kostaryce, uzyskaj certyfikat DV dla tej domeny, a następnie zmień go na witrynę podszywającą się pod Bank of America. Ma to również na celu powstrzymanie osoby atakującej, która włamie się do domeny, dodaje subdomenę, którą kontroluje, i uzyskuje certyfikat DV dla tej subdomeny. Jeden taki przypadek miał miejsce w grudniu 2015 r., po uruchomieniu bezpłatnego DV CA Let's Encrypt, ale widać, że wyświetla ten komunikat nawet na Facebooku.

Aby nie wystraszyć użytkowników Dragon, musisz unikać certyfikatów DV. Ale nie musisz kupować certyfikatu EV. Po prostu zrób listę urzędów certyfikacji, które chcą sprzedać Twojej organizacji certyfikat OV, którego certyfikat główny jest dostępny we wszystkich głównych przeglądarkach. W takim razie nie ma żadnego technicznego powodu, aby nie kupować najtańszego.

Jeśli prowadzisz swojego bloga jako osoba fizyczna, możesz nie kwalifikować się do uzyskania certyfikatu OV od żadnego CA. W takim przypadku musisz po prostu żyć z ostrzeżeniem w Dragon i możesz po prostu wybrać tani certyfikat DV, taki jak te oferowane przez StartSSL, WoSign lub Let's Encrypt.

Jestem pewien, że to wszystko jest technicznie prawdą, ale mówienie o twoich samodzielnie wymyślonych 5 poziomach bezpieczeństwa nie odpowiada na pytanie. A ujawnienie będzie używane, gdy jesteś sprzedawcą certyfikatów, a nie wtedy, gdy (jak myślę większość ludzi tutaj) masz witrynę internetową z (miejmy nadzieję podpisaną) certyfikatem.
@Luc Poziomy to tylko podstawowe informacje umożliwiające porównanie pięciu możliwych sytuacji, z których trzy wynikają z zakupu certyfikatu. Naprawiłem odpowiedź, aby prowadzić z wersją tl; dr.
Nie podoba mi się ta odpowiedź, ponieważ sugeruje, że coś, co nazywa się „Comodo Dragon”, ma znaczenie dla procesu zakupu certyfikatu. Jeśli zakoduję przeglądarkę w ten weekend i ostrzeżę wszystkich oprócz 5, nie oznacza to, że ma to znaczenie dla OP, ponieważ nikt nie będzie używać mojej przeglądarki, tak jak nikt nie używa przeglądarki Comodo. Nie oddam głosu, ponieważ uważam, że odpowiedziałeś w dobrej wierze i ta odpowiedź ma pewną wartość.
@TomDworzanski Niedawne wiadomości posłużyły mi za okazję do dodania wyjaśnienia dotyczącego (braku) udziału w rynku firmy Dragon.
@DamianYerrick, Ilu użytkowników i tak ma Comodo Dragon?
Nigdy nie słyszałem o Comodo Dragon, ale czytając ich opis * „Comodo Dragon to przeglądarka oparta na technologii Chromium, która oferuje wszystkie funkcje Chrome PLUS niezrównany poziom bezpieczeństwa i prywatności, jaki zapewnia tylko Comodo”. * Wiem, żeNigdy tego nie wykorzystam.Cokolwiek twierdzi, że ma niezrównane - jakiekolwiek bezpieczeństwo zwykle wymaga uwagi.
Pancho
2015-10-20 04:18:15 UTC
view on stackexchange narkive permalink

Jest trochę za późno, ale dla innych osób, takich jak ja, szukających w Internecie certyfikatu SSL do kupienia, oto wynik moich badań:

Z technicznego punktu widzenia drogie certyfikaty SSL oferują dynamiczne pieczęcie, które oznacza dynamiczny obraz wyświetlany na stronie internetowej, który pokazuje aktualny czas i datę załadowania strony internetowej, co wskazuje, że pieczęć jest ważna dla domeny, w której jest zainstalowana, jest aktualna i nie wygasła. Po kliknięciu obrazu wyświetli się informacja z urzędu certyfikacji o profilu witryny, który potwierdza legalność witryny internetowej. Dzięki temu odwiedzający witrynę internetową będą mieli większe zaufanie do bezpieczeństwa witryny.

Pieczęć statyczna to po prostu statyczny obraz graficzny, który można umieścić na stronie internetowej w celu wskazania, skąd uzyskano certyfikat cyfrowy, jednak jest brak weryfikacji klikalności witryny, a obraz nie pokazuje aktualnej godziny i daty.

Ponadto, jeśli kupujesz droższy SSL, otrzymasz więcej pieniędzy z gwarancji oszustwa dla odwiedzających, ale tylko w przypadek, gdy Urząd wydał certyfikat oszustom, a odwiedzający stracił pieniądze, wierząc, że witryna jest legalna. Jeśli nie jesteś oszustem, nie ma powodu, dla którego powinieneś sięgać po drogi certyfikat, chyba że chcesz wyświetlać zielony pasek adresu i zwiększyć zaufanie odwiedzających.

Technicznie nie ma innej różnicy.

Istnieją 3 główne typy certyfikatów SSL

Pojedyncza domena

  • Zabezpiecza wersje Twojej domeny zarówno z www, jak i bez www
  • Przykłady: RapidSSL, Comodo Esential itp.

Wildcard

  • Zabezpiecza wszystkie subdomeny dla pojedynczej domeny, w tym www i wersje bez www
  • Przykłady Comodo Wildcard SSL, RapidSSL Wildcard itp.

Wiele domen

  • Większość urzędów certyfikacji udostępnia 3-5 domen wraz z podstawowym planem cenowym
  • Musisz zapłacić za każdą dodatkową domenę. Zwykle około 15-20 USD rocznie na domenę
  • Przykłady Comodo Positive Multi Domain SSL

Również 3 rodzaje weryfikacji domeny

Aby uzyskać wydany przez Ciebie certyfikat SSL urząd certyfikacji musi potwierdzić, że jesteś tym, za kogo się podajesz, gdy zażądano od niego certyfikatu. Poniżej znajdują się 3 z procesów weryfikacji, które należy przejść, aby uzyskać certyfikat SSL.

1. Walidacja domeny

Musisz zweryfikować swoją domenę. Zwykle dzieje się tak za pośrednictwem linku URL wysłanego na jeden z e-maili w Twojej domenie lub podczas przesyłania pliku na serwer. Jak dotąd jest to najszybszy, najprostszy i najtańszy SSL. Gwarancja na oszustwa z tego typu walidacją wynosi do 10 000 USD.

2. Walidacja organizacji

Aby uzyskać jeden z tych certyfikatów, musisz dostarczyć dokumentację pomocniczą dotyczącą swojej organizacji. Ten proces jest nieco wolniejszy i może zająć nawet kilka dni. Ten rodzaj zabezpieczenia SSL jest wymagany w przypadku dużych witryn lub organizacji handlu elektronicznego, które przechowują poufne dane użytkowników. Zazwyczaj te certyfikaty zapewniają dynamiczne pieczęcie witryny i wyższą gwarancję do 1 500 000 USD w zależności od wystawcy.

3. Rozszerzona walidacja

To są najbardziej zaufane certyfikaty i spowoduje, że pasek adresu w przeglądarce zmieni kolor na zielony zawierający nazwę Twojej organizacji. Zdecydowanie najwolniejszy proces walidacji, nawet do tygodnia, w zależności od organu zewnętrznego weryfikującego Twoje dane. Będziesz musiał dostarczyć dokumenty potwierdzające SSL Authority, takie jak rejestracja firmy itp., A oni przekażą je stronie trzeciej w celu zweryfikowania ich ważności. Po pomyślnym zakończeniu tego procesu uzyskasz najwyższe zaufanie i gwarancję do 2 000 000 USD w zależności od wystawcy.

Jaki certyfikat kupić

To wszystko zależy od Ciebie. Istnieje wiele urzędów certyfikacji, które oferują wiele dla każdej potrzeby. Dla mnie głównym punktem jest nie wydawać, chyba że musisz. Podstawowy certyfikat SSL działa prawie tak samo, jak najdroższy SSL na rynku.

Oto kilka przydatnych linków.

Urzędy certyfikacji

Niektórzy z najtańszych sprzedawców

Nie jestem pewien, czy to odpowiada na pytanie.
Czy możesz edytować to pytanie, aby bardziej bezpośrednio odpowiadało na pytanie?
@Pancho, Jak w ogóle działa ta tak zwana „gwarancja”?To nie ma sensu.Zobacz http://security.stackexchange.com/questions/18666/is-there-any-technical-security-reason-not-to-buy-the-cheapest-ssl-certificate-y/61691#comment219206_61691.1,5 miliona na użytkownika pomnożone przez 850 tys. Użytkowników już kosztowałoby Cię ** 12 bilionów dolarów **.
@Pacerier gwarancja obowiązuje w przypadku, gdy klient / odwiedzający Twoją witrynę internetową ma wpływ na niewłaściwie wydany certyfikat SSL i jest ona wypłacana odwiedzającemu, a nie tobie.Trudno to wyjaśnić, ale w prostych słowach, jeśli otrzymasz certyfikat dla swojej witryny internetowej, a nazwa domeny znajduje się w pobliżu witryny banku lub czegoś podobnego i zaczniesz używać jej do wędkowania, kradzieży kont użytkowników i haseł, kradzieży pieniędzy itp.zapłacić do kwoty objętej gwarancją tego certyfikatu dla każdej zainteresowanej strony.CA nie powinno wystawiać certyfikatów domenom, które mogą wprowadzać w błąd odwiedzających itp., Jeśli to zrobią, zapłacą.
DomainsFeatured
2016-06-09 00:08:32 UTC
view on stackexchange narkive permalink

Chciałbym dodać, że chociaż technologia jest taka sama przy szyfrowaniu 256-bitowym, płacisz również za następujące czynniki:

Poziom walidacji - to jest ilość kontroli, które wydawca przeprowadzi, aby zweryfikować Twoją firmę lub witrynę.

Liczba domen - dla ilu domen ten certyfikat będzie ważny

Poziom zaufania - jak wspomniano powyżej członkowie, możesz płacić za różne typy walidacji, które są bardziej „zaufane” przez użytkowników, stąd różnica w cenie



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...