Farklı SSL sertifikaları bir dolandırıcılık mı?

39

Aşağıdakileri kapsayacak şekilde etki alanları için birkaç SSL sertifikası almaya çalışıyorum:

autodiscover.example.com
remote.example.com
www.example.com

Joker karakterler çok pahalı, bu yüzden her bir alt alan için tek bir sertifika alacağım (dolaşmak için yeterli IP adresim var).

Sorum şu, 10 dolarlık bir sertifikayı 100 dolarlık bir sertifikadan daha iyi yapan nedir?

Örneğin, GeoTrust ürün yelpazesini alın . Bir EV'nin ne olduğunu biliyorum (buna gerek yok) ve Güvenli Mühür'ün ne olduğunu biliyorum (kullanıcılarımız bize zaten güveniyor, o yüzden buna gerek yok).

Peki neden 10 $ için bir RapidSSL alabildiğimde bir QuickSSL'yi 69 $ 'a bıraktım? Tek fark “Marka Tanıma” (Ortadan Ortaya) ve sigortadır.

"Marka Tanıma" ile ne kastettiklerini aydınlatabilecek biri var mı? Genel web sitemiz kullanıcılarımız tarafından zaten çok iyi bir şekilde güveniliyor ve diğer iki alt alan sadece Outlook Anywhere için (ve bu yüzden bir tarayıcıda gösterilmeyecek).

_{İlgili soruyu https://serverfault.com/questions/82039/difference-between-ssl-products adresinden yeniden gönderildi}

https security-certificate

— Mark Henderson
kaynak

1

Pahalı bir SSL sertifikası aldıysanız, Shuttleworth'un uzaya gitmesine yardımcı oldunuz. Bu nasıl bir aldatmaca olabilir?

4

İnternetin eski güzel günlerinde, bu tezlerin sağlanması pahalı olabilirdi. Kimliğinizi doğrulamak için servis için ödeme yaptığınızı söylediler. Deneyimlerime göre e-ticaret dışı sertifikalar için yapılan araştırmalar önemsiz ve taklit edicidir. Üzgünüm, sadece bu SSL endüstrisini küçümsüyorum. Birisinin aynı hizmetleri sağlayacak kar amacı gütmeyen bir kuruluş yaratmasını diliyorum.

— citadelgrad

1

Burada EV sertifikalarıyla ilgili birkaç soru var: webmasters.stackexchange.com/questions/2214/… webmasters.stackexchange.com/questions/3836/… webmasters.stackexchange.com/questions/3134/ssl-versus-ev-ssl

— JasonBirch

Bir tarayıcı sizden sorduğunda temelde partideki "bu dostum yasaldır" diyen havalı çocuklar gibi . Bu havalı çocuklara, kabul etmeleri ve seninle konuşmaları için para veriyorsun. Eğer onların yerine "bu dostum tamamen epiktir" demelerini istiyorsan, daha çok para harcayabilirsin. SHA-256 ya da benzer bir şey olduğu sürece doğrulama önemli değildir. Onaylama yetkisini kontrol eden ziyaretçilerin% 0,01'i belki vardır. Onlar için önemli olan şey, ister 10 dolar isterse 1000 dolarlık bir kilit olsun yeşil bir kilit gördükleridir.

— dhaupin

@citadelgrad, Kar amacı gütmediler. Buna CaCert.org denir. webmasters.stackexchange.com/questions/28595/…

— Pacerier

27

"Benim sorum şu, 10 dolarlık bir sertifikayı 100 dolarlık bir sertifikadan daha iyi yapan nedir?"

Sertifika genellikle ne kadar pahalı olursa, sertifika şirketi o kadar eskidir. Güvenilir işaretçilerin listesi tarayıcıyla birlikte gönderildiğinden, yeni şirketlerin sertifikaları eski tarayıcılar tarafından güvenilir olmayabilir.

Örneğin, 10 dolarlık bir sertifika IE5 tarafından güvenilmez.

Ama bu konuda.

— Thomas Bonini
kaynak

8

IE5’in modern standartlara uygun web sitelerini görüntüledikten sonra gösterdiği karışık karmaşa, # & * $ :) +1 gibi bir parça kullanıcısı tarafından da güvenilmez

— Tim Post

Ayrıca, belirli sertifika türleri için, veren şirket, talep eden kişi / şirketin ayrıntılarını doğrulamak için daha fazla çaba gösterir ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Tarayıcı bir sertifikanın EV olduğunu gösterir ve kullanıcı bunu fark ettiğinde daha fazla güvende olabilir. IMHO fark etmeyecekler.

— paulmorris

Eğer bir sertifikanın daha pahalı olması durumunda, web sitenizin saldırıya uğraması durumunda 100 dolarlık bir sertifika size 1 milyon dolara kadar ödeyebiliyorsa, 10 dolarlık sertifika size hiçbir şey ödeyemeyebilir.

— SSp

@SSpoke, ben şaşıracaksınız siz "iddia çalıştığınızda hiçbir sürtünme varsa $ 1.5M USD ". Bu rakamlar, ortalama kullanıcı değil, sadece büyük çocukların talep etmesi içindir. Bir ihlali olduğunu ve toplam 450 milyar olan 300 bin kullanıcıya ödeme yapmak zorunda olduklarını hayal edin. Kullanıcılarınızın her biri 1 milyon dolar kazanamayacağından emin olun. Ayrıca bkz: positivessl.com/ssl-warranty.php

— Pacerier

13

Bence kartel , aradığın kelime.

— Aiden Bell
kaynak

6

Geçen gün DigiCert'e aynı şeyi sordum : neden bir sürü sertifika sizinkinden çok daha ucuz? (~ 25 $ - ~ 100 $)? İşte bana verdikleri cevap (sözlerime göre):

Diğer şirketler sadece alan adınızı (sertifikayı alan kişinin alan adına sahip olduğunu), DigiCert ise (ve diğerleri) alan adının arkasındaki şirketi doğrular.

Bu, şirketinizin var olduğunu ve şirketle nasıl ilgili olduğunuzu doğrulamak için ülkenizdeki şirket sicilini kontrol etmeleri gerektiği anlamına gelir. Bu genellikle bir telefon görüşmesi ve diğer bazı kontrolleri de gerektirir. Bu kontrol olmadan, gerekli olan tek şey, girilen bilgilerle whois kaydını doğrulayan bir bilgisayardır.

Bu yüzden, değerlendirmeme göre, sertifikayı müşterinin bir şey için para ödeyeceği veya kişisel bilgilerini girdiği bir sitede kullanacaksanız, daha pahalı bir sertifika daha iyidir. Siteyi yalnızca şirket içinde (şirket içinde) kullanıyorsanız, daha ucuz bir sertifika muhtemelen tek ihtiyacınız olan şeydir.

— Darryl Hein
kaynak

DigiCert'in ilgi uyarısı konusunda aşırı bir çatışması var (ayrıca bkz. Security.stackexchange.com/questions/13453/… ). Destek personeli, diğer CA’ların DV sertifikalarını EV sertifikalarıyla karşılaştırarak soruyu değiştiriyor. Ancak diğer CA'lar da EV sertifikalarını kendi fiyatlarından çok daha düşük bir fiyata sunuyor.

— Pacerier

4

"Benim sorum şu, 10 dolarlık bir sertifikayı 100 dolarlık bir sertifikadan daha iyi yapan nedir?"

Cevap hiçbir şey değil. Bir cert bir certtir ("Marka Tanıma" yı umursamadığınız için), yani EV paketleri olmadan cert sadece bir üründür. Bu, tarihi oldukça güzel açıklar.

Bununla birlikte, marka bilinirliğinin bazı kullanıcılar için önemli olabileceğini düşünüyorum, ancak güvenilir bir kaynak olduğunuzdan eminseniz endişelenmem.

— plntxt
kaynak

2

Bazı tarayıcıların birçok mükemmel SSL sertifikası seçtiği ve bunları güvenli olmadığına işaret eden bir sorun var. Bu, Darryl’in söylediklerinin bir kısmından kaynaklanıyor (kim olduğunuzu doğrulamak için SSL satıcısının yaptığı titizliğin artması). Güvenliğin kendisi gerçekten farklı değil, sadece daha iyi bir güven katmanı sağlaması amaçlanıyor.

Ayrıca, yönetim kabiliyetleri de var (kalp atışlarımı derhal geciktirmeksizin alan adı aniden farklı olduğunda kullanışlıdır) ve deneyiminizi geliştirebilecek diğer avantajlar da olabilir. Fakat eğer 10 dolarlık sürüm ihtiyacınız olanı yapıyorsa ve müşterileriniz bu sertifikanın kimden aldığını önemsemiyorsa, bunun için gidin.

Zaman geçtikçe, web varlığınızın peyzajı değiştiği için satıcıları değiştirdiğinizi fark edebilirsiniz, bu nedenle şimdi başlamadan önce bunun önemli olduğunu düşünün.

— Milner
kaynak

2

2015 yılı ortalarından itibaren, EV sertifikalarının dönüşüm oranını veya satışlarını artıracağına dair bağımsız bir çalışma ve hatta fıkra kanıtı bulamadım. Bunu , EV SSL Sertifikalarına cevabımda genişlettim - kimse umrunda mı? .

Alışveriş sepetini terk etmeyi azaltan görünen şey, güven mühürleri ve rozetleri idi . Bu tür güven mühürleri bir EV alımı ile birlikte gelir. Bu arada, bugün 4 Temmuz ve Comodo'nun 500 dolar yerine 100 dolarlık bir EV çeki satışı var ve bu araştırmaya yol açtı. Hala bir şekilde ya da diğerinden ikna olmadım.

— Dan Dascalescu
kaynak