it-swarm.dev

C'è qualche motivo tecnico di sicurezza per non acquistare il certificato SSL più economico che riesci a trovare?

Durante l'acquisto di un certificato SSL di base per il mio blog, ho scoperto che molte delle più note autorità di certificazione hanno un certificato entry-level (con convalida meno rigorosa dell'identità dell'acquirente) per circa $ 120 e oltre. Ma poi ho scoperto che Network Solutions offre uno di questi certificati di fascia bassa per $ 29,99 (12 ore fa era $ 12,95) con un contratto di 4 anni.

C'è qualche motivo tecnico di sicurezza di cui dovrei essere consapevole che potrebbe farmi pentire di aver acquistato il certificato di fascia più bassa? Tutti promettono cose come il riconoscimento del browser al 99%, ecc. Non sto ponendo questa domanda su SE per il confronto di cose come la qualità del supporto della CA (o la sua mancanza) o qualcosa del genere. Voglio sapere se esiste qualche motivo crittografico o PKI, quindi evita una certificazione che costa così poco. Come altri, afferma che offre "crittografia fino a 256 bit".

140
Luke Sheppard

Ai fini di questa discussione ci sono solo alcune differenze tra i certificati di firma web:

  1. Convalida estesa vs standard (barra verde).
  2. Numero di bit in una richiesta di certificato (1024/2048/4096).
  3. Catena di certificati.

È più semplice impostare certificati con una catena fiduciaria più corta ma ci sono certificati economici là fuori con una catena profonda diretta o solo a un livello. Puoi anche ottenere le certs 2048 e 4096 bit più grandi a buon prezzo.

Fintanto che non è necessaria la convalida estesa, non c'è davvero motivo di scegliere certificati più costosi.

Vi è un vantaggio specifico che offre un fornitore più grande: più la linea principale è il fornitore, minore è la probabilità che gli venga revocata la fiducia in caso di violazione.
Ad esempio, DigiNotar è un fornitore più piccolo che è stato abbastanza sfortunato da revocare la sua fiducia nel settembre 2011.

91
Tim Brigham

Roba buona in altre risposte, vorrei aggiungere alcune osservazioni sul corretto comportamento della CA.

Se la CA ha una cronologia

  • di mancanza di sicurezza applicazione delle norme,
  • di violazione del contratto "CA approvata dal browser",
  • di firma di nomi non DNS utilizzando il loro certificato radice ufficiale (come indirizzi IP o nomi DNS inesistenti f.ex. bosscomputer.private),
  • di mancanza di trasparenza riguardo al suo comportamento e ai suoi rivenditori,

e l'utente finale (come me) controlla il tuo certificato e ne è a conoscenza, che potrebbe riflettersi negativamente su di te. Soprattutto qualsiasi CA che è una suddivisione di na società anche nel settore dell'intercettazione di connessione.

Quando vedo USERtrust o COMODO o Verisign in una catena di certificati, non sono positivamente colpito.

29
curiousguy

Da un punto di vista tecnico, l'unica cosa che conta è il riconoscimento del browser. E tutte le autorità fidate hanno una copertura quasi del 100%.

Potrei dire di più, ma per evitare di duplicare gli sforzi ecco una domanda quasi identica con molte risposte ben motivate: Tutti i certificati SSL sono uguali?

18
tylerl

Alla luce del latest NSA rivelations , direi che l'intero concetto di CA di root commerciali è fondamentalmente imperfetto e dovresti semplicemente acquistare dalla CA più economica il cui certificato di root è installato nelle catene di trust del browser e del sistema operativo.

In pratica, abbiamo bisogno di moltiplicare le radici le catene di fiducia del certificato anziché le attuali le radici singole le catene di fiducia. In questo modo, invece di ignorare il vero potere dei governi di "coerce" fornitori commerciali - otterresti semplicemente il tuo certificato firmato da più governi (preferibilmente antagonisti). Ad esempio, fai in modo che il tuo sito web con corrispondenza gabbia Bronies vs Juggalos sia firmato da USA, Russia, Cina, Islanda e Brasile. Che potrebbe costare di più ma davvero ridurre la probabilità di collusione.

13
LateralFractal

Indipendentemente dalla CA con cui ti rechi, la certezza che i tuoi utenti stanno effettivamente comunicando con il tuo sito e non con un utente malintenzionato è valida solo come la CA peggiore del loro browser - un utente malintenzionato che vuole forgiare un certificato può acquistare una CA con cattive pratiche. Quindi non vedo alcun argomento plausibile sul fatto che la scelta della CA influisca sulla sicurezza del tuo sito, a meno che tu non scelga una CA che genera chiavi private per te anziché firmare una chiave fornita o che non consente di utilizzare chiavi di grandi dimensioni.

A parte questo, come altri hanno già detto, è probabilmente una buona idea evitare quelle di CA, il cui mix di cattive pratiche e dimensioni ridotte rende plausibile che la loro fiducia possa essere revocata da uno o più browser, poiché ciò avrebbe un impatto sull'accessibilità (e sulla percezione pubblica ) del tuo sito.

Per un certificato di convalida del dominio, l'unica cosa che conta è se i browser accettano il certificato come attendibile. Quindi, prendi il certificato più economico che è attendibile da tutti i browser (o da tutti i browser che ti interessano). Non esiste un motivo crittografico significativo per preferire un fornitore a un altro.

(Dovrai ovviamente pagare di più per un certificato di convalida esteso, ma questa è una classe di certificati completamente diversa. Penso che tu lo sappia già.)

10
D.W.

Presto sarai in grado di farlo Puoi ottenere certificati a basso costo di zero € con Let's Encrypt.

Sono tecnicamente validi come qualsiasi altro (convalida non estesa, fondamentalmente senza la barra verde dei browser), il punto principale è la capacità dei browser di riconoscerlo come attendibile (essi volere sono ).

L'unico inconveniente è che c'è un callback da Lets 'Encrypt al tuo sito o DNS, che rende la generazione del certificato dolorosa (se non impossibile) per i siti interni (non Internet).

9
WoJ

In generale le due cose che probabilmente puoi trasmettere sono l'EV (dato che è solo la barra verde) e anche SGC non offre davvero alcun vantaggio reale oggi (poiché si applica solo ai browser dai giorni di IE5 e precedenti)

Questo sito offre una buona panoramica del perché evitare SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Ignorando gli aspetti tecnici della crittografia dei certificati, il problema da considerare è la fiducia e la reputazione. Se ti preoccupi solo della crittografia del traffico, puoi utilizzare un semplice certificato autofirmato. D'altra parte, se ciò che vuoi ottenere è fornire un livello di fiducia che tu o il tuo sito siete realmente chi/cosa sostiene di essere, allora avete bisogno di un certificato da un'autorità di certificazione di cui le persone si fidano.

La CA raggiunge questo livello di fiducia controllando le persone a cui vendono i certificati. Molti dei fornitori di certificati più economici ottengono i loro prezzi più bassi riducendo le loro spese generali operative e questo è spesso fatto con processi di verifica meno rigorosi.

La domanda non dovrebbe essere "Chi è il fornitore di certificati più economico", ma piuttosto "Quale fornitore di certificati ha la reputazione e il livello di fiducia necessari che gli utenti o i potenziali utenti del mio servizio accetteranno".

Post scriptum Sfortunatamente, in una certa misura, l'intero modello è comunque rotto. Pochi utenti verificano anche chi è il CA che ha rilasciato il certificato e hanno poca conoscenza o comprensione della catena di autorità coinvolta.

6
Tim X

Da un punto di vista pragmatico per un sito con utenti di tipo standard, l'unico criterio che conta per un certificato SSL è "è supportato dai browser che i miei utenti useranno per accedere al sito". Finché lo è, stai bene, essendo il più economico possibile.

Qualche tempo fa un potenziale fattore di differenziazione era se il certificato era SSL EV o meno, ma ad essere sincero non ho visto una grande consapevolezza da parte dell'utente, quindi è improbabile che valga la pena.

3
Rory McCune

Il certificato SSL viene utilizzato per due scopi.

  • Uno è la protezione delle transazioni online e delle informazioni private che vengono trasmesse tra un browser Web e un server Web.
  • Il secondo è Trust, SSL viene utilizzato per aumentare la fiducia dei clienti. SSL dimostra una sessione sicura del tuo sito Web, significa che la fiducia dei tuoi clienti sul tuo sito Web.

Ogni certificato ha il proprio processo di convalida e, seguendo questo processo, l'autorità di certificazione convalida l'affidabilità aziendale e invia un certificato per il sito Web.

Un certificato SSL economico di base convalida solo l'autorità del tuo dominio e autenticato utilizzando il sistema di verifica della posta elettronica dell'approvatore. Approver può facilmente ottenere questo certificato in pochi minuti con un indirizzo email generico.

I certificati SSL OV ed EV collegati alla fiducia del cliente e attraverso il suo rigoroso processo di autenticazione, offrono il massimo livello di fiducia. EV SSL convalida molteplici componenti per l'identificazione del dominio e delle informazioni aziendali. Segue il processo di verifica manuale e durante questo processo il sistema non riesce a verificare o difende il sistema dalla tua attività per potenziali azioni false, quindi il tuo ordine può essere allineato per la revisione manuale.

La principale differenza nel fattore di fiducia e nella reputazione del marchio, mentre i tuoi clienti vedono la barra degli indirizzi verde nel tuo browser, quindi si sentono più sicuri e incoraggiano a effettuare transazioni. Altrimenti, alcune differenze tra altre funzionalità come la crittografia, la compatibilità del browser, la lunghezza della chiave, i supporti mobili, ecc.

In caso contrario, la garanzia dei certificati spiega le differenze. Le autorità di certificazione forniscono una garanzia estesa (da $ 1K a $ 1,75 milioni) contro l'emissione errata di un certificato SSL che spiega il valore dell'investimento per la sicurezza del sito Web.

Mentre ci concentriamo sul prezzo di un certificato, non importa dove acquistare il certificato: autorità di certificazione o un rivenditore autorizzato. Il rivenditore autorizzato offre gli stessi prodotti SSL, le stesse funzionalità di sicurezza, un supporto migliore a prezzi ragionevoli.

Jason Parm è affiliato con SSL2BUY (rivenditore SSL globale)

3
Jason Parms

È un po 'tardi, ma per altri come me che cercano sul Web per trovare quale certificato SSL acquistare e qui è il risultato della mia ricerca:

Dal punto di vista tecnico, i costosi certificati SSL offrono un sigillo dinamico, il che significa un'immagine dinamica visualizzata su un sito Web che mostra l'ora e la data attuali del momento in cui la pagina web è stata caricata, il che indica che il sigillo è valido per il dominio su cui è installato ed è corrente e non scaduto. Quando si fa clic sull'immagine, verranno visualizzate le informazioni dell'autorità di certificazione in merito al profilo del sito Web che convalida la legittimità del sito Web. Ciò fornirà ai visitatori del sito Web una maggiore fiducia nella sicurezza del sito.

Un sigillo statico è semplicemente un'immagine grafica statica che può essere posizionata sul sito Web per indicare da dove è stato ottenuto il certificato digitale, tuttavia non esiste una convalida click-through del sito Web e l'immagine non mostra l'ora e la data correnti.

Inoltre, se acquisti SSL più costoso, otterrai più soldi in garanzia di frode per i tuoi visitatori, ma solo nel caso in cui l'Autorità abbia rilasciato un certificato a un truffatore e un visitatore abbia perso i propri soldi credendo che il sito web fosse legittimo. Se non sei un truffatore non c'è motivo per cui dovresti richiedere un certificato costoso a meno che tu non voglia mostrare la barra degli indirizzi verde e aumentare la fiducia nei tuoi visitatori.

Tecnicamente non c'è altra differenza

Esistono 3 tipi principali di certificati SSL

Dominio singolo

  • Protegge le versioni www e non www del tuo dominio
  • Esempi: RapidSSL, Comodo Esential ecc.

jolly

  • Protegge tutti i sottodomini per un singolo dominio, comprese le versioni www e non www
  • Esempi Comodo Wildcard SSL, RapidSSL Wildcard ecc.

Multi dominio

  • La maggior parte delle autorità di certificazione fornisce 3-5 domini con il loro piano tariffario di base
  • Devi pagare per dominio aggiuntivo. In genere intorno a $ 15- $ 20/anno per dominio
  • Esempi Comodo SSL multi dominio positivo

Inoltre 3 tipi di verifica del dominio

Al fine di ottenere il tuo certificato SSL, l'autorità di certificazione deve verificare che tu sia quello che hai detto di essere quando ti è stato richiesto il certificato. Di seguito sono 3 dei processi di verifica che devi seguire per ottenere un SSL

1. Convalida dominio

Devi convalidare il tuo dominio. In genere ciò accade tramite il collegamento URL inviato a una delle e-mail sul dominio o con il caricamento di file sul server. Di gran lunga questo è l'SSL più veloce, semplice ed economico. La garanzia contro le frodi con questo tipo di convalida è fino a $ 10.000.

2. Convalida dell'organizzazione

È necessario fornire la documentazione di supporto sulla propria organizzazione per ottenere uno di questi certificati. Questo processo è un po 'più lento e può richiedere fino a un paio di giorni. Questo tipo di sicurezza SSL è richiesto per i siti Web e le organizzazioni di e-commerce di grandi dimensioni che memorizzano dati sensibili dell'utente. In genere questi certificati offrono un sigillo dinamico del sito e offrono una garanzia superiore fino a $ 1.500.000 a seconda dell'emittente.

3. Convalida estesa

Si tratta dei certificati più affidabili e trasformerà la barra degli indirizzi nel browser in verde contenente il nome dell'organizzazione. Di gran lunga il processo di validazione più lento fino a una settimana, a seconda del corpo esterno che verifica i tuoi dati. Dovrai fornire all'Autorità SSL documenti giustificativi come la costituzione di una società, ecc. E la passeranno a terzi per verificarne la validità. Una volta completato con successo questo processo, avrai la massima fiducia e garanzia fino a $ 2.000.000 a seconda dell'emittente.

Quale certificato acquistare

Questo dipende tutto da te. Ci sono molte autorità di certificazione che offrono molto per ogni esigenza. Per me il punto principale è non spendere a meno che non sia necessario. Il certificato SSL di base farà praticamente lo stesso del SSL più costoso sul mercato.

Ecco alcuni link utili

Autorità di certificazione

Alcuni dei rivenditori più economici

2
Pancho

DV dovrebbe essere sufficiente per la maggior parte dei browser

L'articolo " Comprensione dei rischi ed evitare FUD " on Rischio non mitigato menziona tre livelli di affidabilità dei certificati firmati da un'autorità di certificazione. A questi tre aggiungerò due livelli di garanzia inferiori possibili senza un certificato firmato dalla CA. Ciò considera un totale di cinque livelli di sicurezza HTTP da considerare:

  1. Nessun TLS (http:)
  2. TLS con un certificato autofirmato o da un emittente altrimenti sconosciuto
  3. TLS con certificato DV (domain-validated) da un emittente noto (organizzazione non parte del certificato)
  4. TLS con certificato convalidato dall'organizzazione (OV) di un emittente noto (nome dell'organizzazione nel certificato)
  5. TLS con certificato di convalida estesa di un emittente EV noto (nome dell'organizzazione e indirizzo nel certificato)

I certificati acquistati da una CA commerciale saranno 3, 4 o 5. La maggior parte dei browser Web consente a tutti tranne 2 senza alcun avviso interstiziale, anche se 2 è migliore di 1 in resistenza agli attacchi passivi. La logica comunemente espressa è che un https: L'URI con una CA sconosciuta dà un falso senso di sicurezza, in particolare contro un uomo nel mezzo, mentre un http: L'URI dà un vero senso di insicurezza.

Ma DV può spaventare gli utenti di Comodo Dragon

Ma una minoranza di utenti utilizza un browser Web che avvisa anche su 3. Quando un utente di Comodo Dragon visita un sito HTTPS che utilizza un certificato DV, viene visualizzato un icona con lucchetto diverso con un triangolo di avvertimento, che ricorda l'icona "contenuto passivo misto". Visualizza anche un schermata di avviso interstiziale prima di visualizzare il sito. Questo avviso ricorda ciò che i browser visualizzano per un certificato autofirmato e il suo testo inizia come segue:

Potrebbe non essere sicuro scambiare informazioni con questo sito

Il certificato di sicurezza (o SSL) per questo sito Web indica che l'organizzazione che lo gestisce potrebbe non essere stata sottoposta a convalida di terze parti attendibile che si tratta di un'azienda legittima.

Questo ha lo scopo di fermare gli aggressori che registrano un dominio bankofamerrica.example per "Banko Famer Rica", crea contenuti coloritamente legittimi sul Costa Rica, ottieni un certificato DV per quel dominio e poi cambialo in un sito che rappresenti Bank of America. Ha anche lo scopo di fermare un utente malintenzionato che compromette un dominio, aggiunge un sottodominio che controlla e ottiene un certificato DV per quel sottodominio. no di questi casi è accaduto a dicembre 2015, una volta che il DV CA Let's Encrypt gratuito è entrato in vigore. Ma è stato visto per visualizzare questo messaggio anche per Facebook .

Per non spaventare gli utenti di Dragon, è necessario evitare i certificati DV. Ma non è necessario acquistare un certificato EV. Basta fare un elenco di CA disposte a vendere alla propria organizzazione un certificato OV il cui certificato radice è presente in tutti i principali browser. Quindi non c'è motivo di sicurezza tecnica per non acquistare quello più economico.

Se gestisci il tuo blog come individuo, potresti non essere idoneo per un certificato OV da qualsiasi CA. In questo caso, devi solo convivere con l'avvertimento in Dragon e puoi semplicemente andare con un certificato DV economico come quello offerto dalle offerte StartSSL, WoSign o Let's Encrypt.

2
Damian Yerrick

Vorrei aggiungere che mentre la tecnologia è la stessa con la crittografia a 256 bit, si paga anche per i seguenti fattori:

Livello di validazione - questa è la quantità di controlli che l'emittente farà per verificare la tua azienda o il tuo sito web

Numero di domini - per quanti domini questo certificato sarà valido

livello di affidabilità - come membri sopra menzionati, puoi pagare per diversi tipi di convalida con "fiducia" in più da parte degli utenti, quindi la differenza di prezzo

0
DomainsFeatured