Como decidir onde comprar um certificado SSL curinga?

Recentemente, precisei comprar um certificado SSL curinga (porque preciso proteger vários subdomínios) e, quando procurei pela primeira vez onde comprar um, fiquei impressionado com o número de opções, declarações de marketing e faixa de preço. Criei uma lista para me ajudar a ver os truques de marketing que a grande maioria das Autoridades de Certificação (CAs) colam em seus sites. No final, minha conclusão pessoal é que praticamente as únicas coisas que importam são o preço e o prazer do site da CA.

Pergunta: Além do preço e de um site legal, há algo digno de minha consideração ao decidir onde comprar um certificado SSL curinga?

Acredito que, no que diz respeito à decisão de onde comprar um certificado SSL curinga, os únicos fatores importantes são o custo do primeiro ano de um certificado SSL e a agradável qualidade do site do vendedor (ou seja, experiência do usuário) para a compra e configuração do certificado. .

Estou ciente do seguinte:

• Reivindicações sobre garantias (por exemplo, US $ 10 mil e US $ 1,25 milhão) são truques de marketing - essas garantias protegem os usuários de um determinado site contra a possibilidade de a CA emitir um certificado para um fraudador (por exemplo, site de phishing) e o usuário perder dinheiro como resultado ( mas, pergunte a si mesmo: alguém está gastando / perdendo US $ 10 mil ou mais em seu site fraudulento? oh, espere, você não é um fraudador?

• É necessário gerar uma chave privada 2048-bitCSR ( solicitação de assinatura de certificado ) para ativar seu certificado SSL. De acordo com os modernos padrões de segurança, não é permitido o uso de códigos CSR com tamanho de chave privada menor que 2048 bits. Saiba mais aqui e aqui .

• Reivindicações de 99+%, 99.3%ou 99.9%compatibilidade de navegador / dispositivo.

• Reivindicações de emissão rápida e fácil instalação .

• É bom ter uma garantia de devolução do dinheiro (15 e 30 dias são comuns).

A lista a seguir de preços base do certificado SSL curinga (não de vendas), autoridades emissoras e revendedores foi atualizada em 30 de maio de 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Observe que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity e SSL2BUY são revendedores, não autoridades de certificação.

A Namecheap oferece uma escolha de Comodo / PostiveSSL e Comodo / EssentialSSL (embora não exista diferença técnica entre os dois, apenas branding / marketing - perguntei à Namecheap e Comodo sobre isso - enquanto o EssentialSSL custa alguns dólares a mais (US $ 100 vs US $ 94) ) O DNSimple revende o EssentialSSL da Comodo, que, novamente, é tecnicamente idêntico ao PositiveSSL da Comodo.

Observe que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap e DNSimple fornecem não apenas os certificados SSL curinga mais baratos, mas também os menos artifícios de marketing de todos os sites que revi; e DNSimple parece não ter nenhum tipo de truque. Aqui estão os links para os certificados de 1 ano mais baratos (como não posso vincular a eles na tabela acima):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

Em março de 2018, o Let's Encrypt suporta certificados curinga . O DNSimple suporta certificados Let's Encrypt.

Outro ponto a considerar é a reemissão de certificados .

Eu realmente não entendi o que isso significava até que o inseto com o coração apareceu. Eu supus que isso significava que eles lhe dariam uma segunda cópia do seu certificado original e me perguntei o quão desorganizado deveria ser para precisar desse serviço. Mas parece que isso não significa que: pelo menos alguns fornecedores carimbam com prazer uma nova chave pública , desde que isso aconteça durante a validade do certificado original. Presumo que eles adicionem seu certificado original a alguma CRL, mas isso é uma coisa boa.

Os motivos pelos quais você deseja fazer isso são que você corrompeu ou perdeu sua chave privada original ou, de alguma forma, perdeu o controle exclusivo dessa chave e, é claro, a descoberta de um bug mundial no OpenSSL que torna provável que sua propriedade privada A chave foi extraída por uma parte hostil.

Pós-sincero, considero isso uma coisa boa definitiva, e agora fique de olho nas futuras compras de certificados.

Embora o preço seja provavelmente uma questão fundamental, as outras questões são a credibilidade do provedor , a aceitação do navegador e, dependendo do seu nível de competência, o suporte ao processo de instalação (um problema maior do que parece, especialmente quando algo dá errado).

Vale a pena notar que vários provedores são de propriedade dos mesmos players de ponta - por exemplo, Thawte e Geotrust e acredito que a Verisign são de propriedade da Symantec - os certificados da Thawte são, no entanto, muito, muito mais caros do que a Geotrust, sem nenhuma necessidade Razão, motivo.

Por outro lado, um certificado emitido pelo StartSSL (que eu não estou batendo, acho o modelo deles legal), não é tão bem suportado no navegador e não tem o mesmo nível de credibilidade que os grandes players. Se você deseja colocar "placebos de segurança" em seu site, às vezes vale a pena procurar um player maior - embora isso provavelmente importe muito menos para certificados curinga do que para Certificados EV.

Como alguém apontou, outra diferença pode ser o "lixo do lixo" associado ao certificado - eu sei que os Thawte EV Certs que eu fui instruído anteriormente a serem permitidos apenas para uso em um único servidor , enquanto os Geotrust certs mais tarde persuadir a gerência a substituí-los não era apenas mais barato, mas não tinha essa limitação - uma limitação totalmente arbitrária imposta por Thawte.

Você deve selecionar o certificado SSL curinga com base em suas necessidades de segurança.

Antes de comprar o certificado SSL curinga, você deve conhecer alguns fatores mencionados abaixo

1. Nível de reputação e confiança da marca: conforme pesquisa recente da W3Techs sobre autoridades de certificação SSL, a Comodo ultrapassou a Symantec e se tornou a CA mais confiável, com 35,4% de participação de mercado.

2. Tipos Recursos ou SSL curinga: autoridades de certificação SSL como Symantec, GeoTrust e Thawte estão oferecendo certificado SSL curinga com validação comercial. Atrai mais visitantes e aumenta também o fator de confiança do cliente. Enquanto outros CA, Comodo e RapidSSL estão oferecendo SSL curinga apenas com validação de domínio.

O SSL Wildcard da Symantec também oferece uma avaliação diária da vulnerabilidade, que verifica cada subdomínio em busca de ameaças maliciosas.

O curinga com validação comercial exibe o nome da organização no campo URL.

3. Preço do SSL: como a Symantec oferece vários recursos juntamente com o curinga, seu preço é alto em comparação com o Comodo e o RapidSSL.

Portanto, se você deseja proteger seu site e subdomínios com a validação comercial, escolha Symantec, GeoTrust ou Thawte e, para a validação do domínio, use o Comodo ou o RapidSSL. E se você deseja instalar a segurança multicamadas com a avaliação diária da vulnerabilidade, pode usar a Wildcard Solution da Symantec.