Je suis un novice sur HTTPS/SSL, mais GoDaddy facture 12,99 $ et Digicert, thawte et Verisign facturent plus de 100 à 1 000 $ pour les certificats SSL.
Je dois manquer quelque chose sur la qualité du cryptage ou quelque chose. Quelqu'un peut-il expliquer certaines des différences fondamentales qui conduisent à ces prix extrêmement différents?
Mettre à jour 12,99 $ est un prix de vente. Les certificats SSL coûtent généralement 89,99 $ sur GoDaddy. Voici un lien sur Godaddy qui fait la comparaison que cette question pose à propos de: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c
merci,
tim
Outre les offres peu sérieuses, vous pouvez distinguer les certificats SSL moins chers validés par le domaine des validations étendues plus chères Certificats SSL (EV).
Les deux certificats sont techniquement identiques (la connexion est cryptée), mais les certificats validés par domaine sont moins chers, car le vendeur doit uniquement vérifier le domaine. Les certificats EV nécessitent également des informations sur le propriétaire du domaine. Le vendeur doit vérifier si ces informations sont correctes (davantage d’efforts administratifs).
Normalement, vous pouvez voir la différence lorsque vous visitez le site avec un navigateur. Firefox, par exemple, mettra en évidence le domaine en bleu pour le SSL validé par le domaine et le vert pour le SSL à validation étendue.
Deux exemples:
Dans la plupart des cas, le certificat validé par le domaine est correct, l'utilisateur ne présente aucun inconvénient et les certificats EV sont vraiment (trop) coûteux.
Pour être tout à fait honnête. il n'y a absolument aucune différence en ce qui concerne les certificats SSL. Les seuls facteurs contributifs sont les balises EV/non EV/Wildcard.
EV == Validation étendue: Cela signifie que le site est activement "interrogé" par l'autorité de certification sur l'adresse IP fournie du domaine, puis un script côté serveur compare l'adresse IP de la réponse au ping de l'autorité de certification et l'adresse IP VOUS. sont en train de visiter. Cela ne garantit PAS qu’il n’y ait pas d’attaque par interférence ni d’empoisonnement par DNS dans l’ensemble du réseau. Cela garantit simplement que le site que vous consultez est le même que celui que voit l'autorité de certification.
Non-EV == personne ne vérifie activement l'adresse IP du domaine par rapport à une adresse IP enregistrée/fournie à des fins de sécurité.
Les certificats basés sur des caractères génériques == * .domain.com sont souvent utilisés lorsque les utilisateurs possèdent une multitude de sous-domaines ou un ensemble de sous-domaines en constante évolution, tout en nécessitant un cryptage SSL valide.
La vérité derrière les certificats SSL.
Vous pouvez faire le vôtre. Ils ne sont pas moins sécurisés que tout autre certificat. La différence d'être un certificat "auto-signé" n'est pas "certifiée" par un tiers.
Le problème avec les certificats SSL est qu'ils sont extrêmement hors de prix pour ce qu'ils sont. Il n'y a absolument AUCUNE GARANTIE que le site que vous visitez appartient à celui qui est répertorié sur le certificat en tant que propriétaire/emplacement, etc. Cela va à l'encontre de l'objectif du modèle de chaîne de confiance tiers mis au point par SSL.
TOUTES les autorités de certification connues sous le nom d'AC qui vendent leurs certificats veulent que l'utilisateur croie que leur certificat est en quelque sorte meilleur. En fait, ils ne vérifient jamais les informations fournies pour le certificat, sauf en cas de problème pouvant entraîner une perte de revenus. Cette pratique va également à l'encontre de l'objectif du modèle de chaîne de confiance SSL.
Je ne connais qu'une seule autorité de certification qui valide ses certificats. C'est CACert.org.
Pour pouvoir émettre un certificat "complet" (nom commercial, nom, adresse, téléphone, etc.), vous devez rencontrer l'un des visages FACE-TO-FACE de leur assureur!.
Toutefois. la plupart des navigateurs n'utilisent pas CACert.org en raison de pressions supplémentaires exercées par des méga entreprises comme Thawte, Comodo et Verisign.
Alors .. pour résumer le tout.
Le comportement de l'autorité de certification est la seule différence entre les certificats. On ne peut pas vraiment faire confiance aux certificats pour vérifier autre chose que la connexion au site utilise le cryptage.
Au bout du compte, les gens pensent que payer entre 100 et 1 000 dollars équivaut en quelque sorte à être digne de confiance. Ce n'est pas le cas. Cela signifie simplement que vous traitez avec des escrocs moins sophistiqués ou moins établis.
Sur le site Web de GoDaddy:
Profitez du soutien des normes établies de l'industrie. Il n'y a AUCUNE DIFFÉRENCE TECHNIQUE entre nos certificats et toute autre autorité de certification majeure.
Source: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039
La tarification est parfois drôle. Bien que je ne sache pas pourquoi GoDaddy attribue à ses produits le même prix, certaines entreprises optent pour plus de clients à un tarif inférieur, tandis que d'autres optent pour un prix plus élevé et attirent moins de clients.
À titre de comparaison simple, la société 1 peut attirer davantage de clients en proposant ses produits à un prix inférieur. Toutefois, la société 2 peut proposer ses produits à un coût plus élevé, ce qui pourrait compenser un nombre inférieur de clients.
Société 1: 100 clients payant 20 $/mois = 24 000 $/an
Société 2: 200 clients payant 10 $/mois = 24 000 $/an
Comme vous pouvez le constater dans cette comparaison TRÈS SIMPLE, les deux modèles se sont soldés par le même chiffre d’affaires annuel, mais une entreprise a offert son produit deux fois plus cher que l’autre.
Je venais de constater que GoDaddy n'autorisait pas les certificats "en double" pour vos caractères génériques SSL. (à la différence de GlobalSign, DigiCert, qui les autorise et nombre illimité d’entre eux)
C'est dommage car cela est souvent utilisé lorsque vous gérez une batterie de serveurs et que chacun possède sa propre clé privée/CSR.
Lequel vaut le plus, une référence de ma part ou une référence de Bill Gates? N'oubliez pas que les certificats sont plus qu'une solution technique, ils sont une garantie pour vous et les entreprises peuvent fixer le prix qui leur semble être à la hauteur de leur réputation.
Je travaillais pour une entreprise tierce sur un projet Web pour une grande entreprise de technologie. Nous avons utilisé un certificat SSL GoDaddy et avons constaté que cette autorité de certification avait été rejetée sur les réseaux internes de l'entreprise.
La société à cette époque (il y a 2 ans) n'acceptait pas automatiquement GoDaddy en tant qu'autorité de confiance. Ce n’est qu’avec beaucoup de persuasion que notre certificat a été accepté.
Si nous avions utilisé une marque haut de gamme telle que Thawte, il n'y aurait eu aucun problème. Je ne sais pas pourquoi la société appliquait cette politique, mais le prix du certificat leur a semblé moins fiable.
C’est la seule différence réelle entre les certificats de GoDaddy et d’autres CA de grande taille que j’ai rencontrés.
Techniquement, il n'y a pas de différence. La plupart des autorités de certification proposent des produits similaires, une validation standard ou une validation étendue, dans laquelle l'organisation/la société et le domaine du propriétaire sont vérifiés et remplacés par des caractères génériques.
Ce qui rend le prix différent est:
Pour ce qui est de la stratégie de marque, Digicert serait le meilleur exemple: ils ont délivré des certificats à des marques telles que Twitter, Facebook et même StackExchange. Pour attirer ce type de clients, il faut un peu de persuasion et un budget de marque, rien ne prouve qu'ils disposent d'une meilleure technologie que quiconque.
La garantie est quelque chose comme une assurance. Il s’agit généralement d’un montant compris entre 0 et des millions de dollars. Il indique essentiellement le montant de l’assurance CA lorsque vous vendez le certificat, si quelque chose comme une transaction frauduleuse sur carte de crédit se produit et que ce soit leur erreur, ils couvriront les coûts jusqu’à concurrence du. hauteur de la garantie. Avec les certificats SSL standard, il s’agit généralement d’une vente jusqu’à CA, qui peut donc facturer davantage au propriétaire, car la technologie de cryptage et la sécurité sont les mêmes. La garantie des certificats EV peut avoir une certaine utilité, mais en général, lorsque vous lisez les conditions générales, vous rirez et voir l'ironie de tout cela.
La qualité du service dépend généralement du client qui paie. Certains CA ont des systèmes pour leurs gros clients qui peuvent vous aider à garder une trace de vos certificats achetés. Si vous possédez ou gérez plus d'une centaine de certificats, vous pouvez payer un peu plus et avoir un meilleur logiciel de gestion, un tableau de bord, des options plus larges de facturation par carte de crédit, outils de maintenance des certificats, outils de création de rapports, certaines autorités de certification offrent même des conseils de sécurité pour la mise en œuvre de serveurs.
La quantité fait baisser les prix. En tant que CA, si vous vendez plus, vos prix sont plus bas. En tant que client, lorsque vous achetez plus, vous pouvez demander de meilleurs prix.