Diferença entre produtos SSL

10

Estou procurando obter alguns certificados SSL para domínios para cobrir o seguinte:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Os certificados curinga são muito caros, então vou comprar um único certificado para cada subdomínio (tenho endereços IP suficientes para circular).

Minha pergunta é: o que torna um certificado de US $ 10 melhor que um certificado de US $ 100?

Veja, por exemplo, a linha de produtos GeoTrust . Eu sei o que é um EV (não precisa dele) e sei o que é um Secure Seal (nossos usuários já confiam em nós, portanto não precisam disso).

Mas por que eu compraria um QuickSSL por US $ 69 quando posso obter um RapidSSL por US $ 10? A única diferença é "Reconhecimento de marca" (moderado a médio) e seguro.

Alguém pode esclarecer o que eles querem dizer com "reconhecimento da marca"? Nosso site público já é bastante confiável por nossos usuários, e os outros dois subdomínios são apenas para o Outlook em Qualquer Lugar (e, portanto, não serão exibidos em um navegador).

ssl 
Mark Henderson
fonte
nem todos eles funcionam em todos os navegadores, especialmente navegadores móveis. verifique isso. O beginsl é muito bom.
Neil McGuigan

Respostas:

10

Da perspectiva típica dos usuários finais, não há efetivamente nenhuma diferença entre a maioria dos certificados. Alguns até chamam o sistema SSL de uma farsa . Mesmo os certificados EV realmente não fazem muito para o usuário final típico com um certificado barato. Enquanto o navegador não se queixar, a maioria dos usuários ficará feliz.

A menos que você esteja administrando um banco ou possua um grande número de profissionais de segurança altamente paranóicos como clientes, sugiro que você obtenha o certificado mais barato possível.

Zoredache
fonte
1
Um golpe, ei? Bem, isso faz muito sentido, porque eu não via nada além de seguros e diferenças gráficas entre eles. E US $ 50 / ano / certificado acrescenta-se a um pouco considerando a nossa SSL não vai cobrir qualquer coisa financeira ...
Mark Henderson
1
@ MarkHenderson: É por isso que as pessoas precisam Vamos Criptografar
Viet
6

Esta é realmente uma pergunta um pouco complexa para responder adequadamente ...

Quando você compra um certificado SSL, basicamente compra "confiança", o que obviamente não é um produto particularmente fácil de se transformar em mercadoria.

Permita-me elaborar um pouco. O que um certificado SSL infere no final do dia?

Para mim, isso significa que alguma organização lá fora, no éter, reservou um tempo para verificar se você é quem diz ser e atestar sua autenticidade.

Essa sempre foi a premissa por trás do SSL e, historicamente, quando você queria obter um certificado SSL, havia apenas algumas CAs (autoridades de certificação) por aí que eram capazes de fornecer esse serviço. Eles passavam por várias verificações para verificar se estavam fornecendo o certificado SSL para a entidade correta (ou seja, o proprietário ou administrador do domínio) e se a organização que usava o domínio estava legitimamente vinculada ao nome da organização / empresa. Naturalmente, eles estavam prestando esse serviço com um prêmio absoluto ... E por que não? Eles estavam colocando seu nome e reputação por trás da autenticidade das empresas que estavam verificando.

Com o passar do tempo, mais empresas conseguiram entrar em ação e tiveram seus certificados raiz agrupados como parte dos navegadores comumente distribuídos. Como é o caso da concorrência, algumas dessas empresas tentaram se diferenciar derrubando as calças nos preços. Como parte disso, algumas autoridades de certificação raiz começaram a oferecer certificados "encadeados" a outras empresas mais adiante, que poderiam então vender certificados acorrentados aos certificados raiz ... Como resultado de cobrar menos obviamente a qualidade dos cheques que estavam sendo concluídas pelos fornecedores de redução de preço estavam sendo reduzidas. Atualmente, eu ficaria surpreso se muitos dos certificados SSL rápidos / instantâneos / rápidos / etc estão sujeitos a QUALQUER verificação. Obviamente, considerando que essas verificações e verificações não estão sendo feitas, o valor de ter uma dessas empresas atestando para você é um pouco diminuído (ou inexistente) ... mas os usuários finais percebem isso? eles se importam?

Na maioria das vezes, provavelmente não.

Como você apontou, porém, você já tem a confiança de seus usuários de qualquer maneira ... então, supondo que você não esteja recebendo nenhum erro em seus aplicativos clientes, eu pessoalmente procuraria os certificados mais baratos.

Por outro lado, se eu estivesse administrando um banco com milhares de usuários, pagaria o valor máximo por essa verificação.

HTH.

Keiran Holloway
fonte
Interessante. Sei que tive que entregar provas de que possuímos determinados domínios e outros enfeites quando nossos funcionários os encomendaram para nossos locais de trabalho - esse é meu primeiro empreendimento por conta própria. De qualquer forma, nossos usuários já confiam em nós de forma implícita, e o SSL é apenas para sua própria paz de espírito, então acho que vou pegar um barato. Obrigado pelo fundo!
Mark Henderson
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.