Récemment, j'ai dû acheter un certificat SSL générique (car je dois sécuriser un certain nombre de sous-domaines), et lorsque j'ai recherché pour la première fois où en acheter un, j'ai été submergé par le nombre de choix, les allégations marketing et la fourchette de prix. J'ai créé une liste pour m'aider à voir passer les astuces de marketing qui la plus grande majorité du plâtre des autorités de certification (AC) partout sur leurs sites. En fin de compte, ma conclusion personnelle est que les seules choses qui importent sont le prix et l'agrément du site Web de l'AC.
Question: Outre le prix et un site Web de Nice, y a-t-il quelque chose qui mérite mon attention pour décider où acheter un certificat SSL générique?
Je crois qu'en ce qui concerne la décision d'achat d'un certificat SSL générique, les seuls facteurs qui importent sont le coût de la première année d'un certificat SSL et l'agrément du site Web du vendeur (c'est-à-dire l'expérience utilisateur) pour l'achat et la configuration du certificat. .
Je suis conscient de ce qui suit:
Les réclamations concernant les garanties (par exemple 10 000 $, 1,25 million de dollars) sont des gadgets marketing - ces garanties protègent les utilisateurs d'un site Web donné contre la possibilité que l'AC délivre un certificat à un fraudeur (par exemple, un site de phishing) et le l'utilisateur perd de l'argent en conséquence (mais demandez-vous: quelqu'un dépense-t-il/perd-il 10 000 $ ou plus sur votre site frauduleux? oh, attendez, vous n'êtes pas un fraudeur? pas la peine.)
Il est nécessaire de générer un 2048-bit
CSR ( demande de signature de certificat ) clé privée pour activer votre certificat SSL. Selon les normes de sécurité modernes, l'utilisation de codes CSR avec une taille de clé privée inférieure à 2048 bits n'est pas autorisée. En savoir plus ici et ici .
Réclamations de 99+%
, 99.3%
, ou 99.9%
compatibilité navigateur/appareil.
Revendications de émission rapide et installation facile.
Il est agréable d'avoir une garantie de satisfaction de remboursement (15 et 30 jours sont communs).
La liste suivante des prix de base des certificats SSL génériques (pas les ventes) et des autorités émettrices et revendeurs a été mise à jour le 30 mai 2018:
price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
$0 | DNSimple / Let's Encrypt *
$49 | SSL2BUY / AlphaSSL (GlobalSign) *
$68 | CheapSSLSecurity / PositiveSSL (Comodo) *
$69 | CheapSSLShop / PositiveSSL (Comodo) *
$94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
$95 | sslpoint / AlphaSSL (GlobalSign) *
$100 | DNSimple / EssentialSSL (Comodo) *
|
$150 | AlphaSSL (GlobalSign) *
$208 | Gandi
$250 | RapidSSL
$450 | Comodo
|
$500 | GeoTrust
$600 | Thawte
$600 | DigiCert
$609 | Entrust
$650 | Network Solutions
$850 | GlobalSign
|
$2,000 | Symantec
*
Notez que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity et SSL2BUY sont des revendeurs et non des autorités de certification.
Namecheap offre un choix de Comodo/PostiveSSL et Comodo/EssentialSSL (bien qu'il n'y ait pas de différence technique entre les deux, juste une image de marque/marketing - j'ai demandé à Namecheap et Comodo à ce sujet - tandis que EssentialSSL coûte quelques dollars de plus (100 $ US contre 94 $)) ). DNSimple revend l'EssentialSSL de Comodo, qui, encore une fois, est techniquement identique à PositiveSSL de Comodo.
Notez que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap et DNSimple fournissent non seulement les certificats SSL génériques les moins chers, mais ils ont également le moins de gadgets marketing de tous les sites que j'ai examinés; et DNSimple ne semble avoir aucun truc de fantaisie. Voici les liens vers les certificats d'un an les moins chers (car je ne peux pas les lier dans le tableau ci-dessus):
Depuis mars 2018 Let's Encrypt prend en charge les certificats génériques . DNSimple prend en charge les certificats Let's Encrypt.
Un autre point à considérer est la réémission des certificats .
Je n'ai pas vraiment compris ce que cela signifiait jusqu'à ce que le bug de cœur arrive. J'avais supposé que cela signifiait qu'ils vous donneraient une deuxième copie de votre certificat d'origine, et je me demandais à quel point il fallait être désorganisé pour avoir besoin de ce service. Mais il s'avère que cela ne signifie pas que: au moins certains fournisseurs tamponneront volontiers une nouvelle clé publique tant que cela se produit pendant la durée de validité du certificat d'origine. Je suppose qu'ils ajoutent ensuite votre certificat d'origine à une liste CRL, mais c'est une bonne chose.
Les raisons pour lesquelles vous voudriez faire cela sont que vous avez corrompu ou perdu votre clé privée d'origine, ou que vous avez, par certains moyens, perdu le contrôle exclusif de cette clé, et bien sûr la découverte d'un bogue mondial dans OpenSSL qui rend probable que votre privé la clé a été extraite par une partie hostile.
Post-heartbleed, je considère cela comme une bonne chose, et maintenant gardez un œil sur cela lors de futurs achats de certificats.
Bien que le prix soit probablement un problème clé, les autres problèmes sont le crédibilité du fournisseur, acceptation du navigateur et, selon votre niveau de compétence, support pour l'installation processus (un problème plus important qu'il n'y paraît, surtout lorsque les choses tournent mal).
Il convient de noter qu'un certain nombre de fournisseurs appartiennent aux mêmes acteurs haut de gamme - par exemple, Thawte et Geotrust et je crois que Verisign appartiennent tous à Symantec - les certificats Thawte sont cependant beaucoup, beaucoup plus chers que Geotrust car ils ne sont pas convaincants. raison.
À l'autre extrême, un certificat délivré par StartSSL (à qui je ne frappe pas, je pense que leur modèle est cool), n'est pas aussi bien pris en charge dans le navigateur et n'a pas le même niveau de crédibilité que les grands joueurs. Si vous souhaitez plâtrer des "placebos de sécurité" sur votre site, cela vaut parfois la peine d'aller à un plus grand joueur - bien que cela importe probablement beaucoup moins pour les certificats génériques que pour les certificats EV.
Comme quelqu'un l'a fait remarquer, une autre différence peut être le "crock of junk" qui est associé au certificat - je connais les Thawte EV Certs qu'on m'a précédemment demandé d'obtenir uniquement pour une utilisation sur un serveur unique , alors que les certificats Geotrust, j'ai persuadé plus tard la direction de les remplacer par, étaient non seulement moins chers mais n'avaient pas cette limitation - une limitation entièrement arbitraire imposée par Thawte.
Vous devez sélectionner le certificat SSL Wildcard en fonction de vos besoins de sécurité.
Avant d'acheter un certificat SSL Wildcard, vous devez connaître quelques facteurs mentionnés ci-dessous
Niveau de réputation et de confiance de la marque: Selon le récent enquête auprès de W3Techs sur les autorités de certification SSL, Comodo a dépassé Symantec et est devenu l'autorité de certification la plus fiable avec 35,4% de part de marché.
Types Fonctionnalités ou SSL Wildcard: Les autorités de certification SSL telles que Symantec, GeoTrust et Thawte proposent un certificat SSL Wildcard avec validation d'entreprise. Le attire plus de visiteurs et augmente également le facteur de confiance des clients. Tandis que d'autres CA, Comodo et RapidSSL proposent uniquement des SSL Wildcard avec validation de domaine.
Le SSL Wildcard de Symantec propose également une évaluation quotidienne de la vulnérabilité qui analyse chaque sous-domaine unique contre les menaces malveillantes.
Le caractère générique avec validation d'entreprise affiche le nom de l'organisation dans le champ URL.
Donc, si vous souhaitez sécuriser votre site Web et vos sous-domaines avec une validation commerciale, vous devez choisir Symantec, GeoTrust ou Thawte et pour la validation de domaine, vous pouvez opter pour Comodo ou RapidSSL. Et si vous souhaitez installer une sécurité multicouche avec une évaluation quotidienne des vulnérabilités, vous pouvez opter pour la solution Wildcard de Symantec.