Por que a certificação HTTPS / SSL godaddy é muito mais barata que a digicert, thawte e verisign?

Sou iniciante em HTTPS / SSL, mas a GoDaddy cobra US $ 12,99 e a Digicert, thawte e a Verisign cobram US $ 100-1000 + por certificados SSL.

Devo estar faltando algo na qualidade da criptografia ou algo assim. Alguém pode explicar algumas das diferenças básicas que levam a esses preços dramaticamente diferentes?

Atualizar US $ 12,99 é um preço de venda. Normalmente, os certificados SSL custam US $ 89,99 no GoDaddy. Aqui está um link no Godaddy, que faz a mesma comparação que esta pergunta faz: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

obrigado,

tim

Além das ofertas não sérias, você pode distinguir entre certificados SSL validados por domínio mais baratos e os certificados SSL de validação estendida (EV) mais caros .

Ambos os certificados são tecnicamente os mesmos (a conexão é criptografada), mas os certificados validados por domínio são mais baratos, porque o vendedor precisa apenas verificar o domínio. Os certificados EV também exigem informações sobre o proprietário do domínio e o vendedor deve verificar se essas informações estão corretas (mais esforço administrativo).

Normalmente você pode ver a diferença ao visitar o site com um navegador. O Firefox, por exemplo, destacará o domínio em azul para SSL validado por domínio e verde em SSL para validação estendida.

Dois exemplos:

• https://accounts.google.com/ (validado por domínio)
• https://www.postfinance.ch/ (validação estendida)

Na maioria dos casos, o certificado validado pelo domínio é bom, o usuário não terá desvantagens e os certificados EV são realmente (muito) caros.

No site da GoDaddy:

Aproveite o apoio de padrões estabelecidos da indústria. Não há DIFERENÇA TÉCNICA entre nossos certificados e qualquer outra grande autoridade de certificação.

Fonte: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

O preço às vezes é uma coisa engraçada. Embora eu não tenha idéia do porquê da GoDaddy precificar seus produtos da mesma forma que algumas empresas buscam mais clientes a um preço mais baixo, enquanto outras pagam um preço mais alto e atraem menos clientes.

Como uma comparação simples, a Empresa 1 pode atrair mais clientes oferecendo seus produtos a um preço mais barato. No entanto, a empresa 2 pode oferecer seus produtos a um custo mais alto, o que poderia compensar um número menor de clientes.

Empresa 1: 100 clientes pagando US $ 20 / mês = US $ 24.000 / ano

Empresa 2: 200 clientes pagando US $ 10 / mês = US $ 24.000 / ano

Portanto, como você pode ver nessa comparação MUITO SIMPLES, ambos os modelos acabaram com a mesma receita anual, no entanto, uma empresa ofereceu seu produto pelo dobro da outra.

Para ser sincero. não há absolutamente nenhuma diferença quando se trata de certificados SSL. O único fator contribuinte são as tags EV / não EV / curinga.

EV == Validação estendida: significa que o site é "pingado" ativamente pela autoridade de certificação no IP fornecido do domínio; em seguida, um script do lado do servidor compara o endereço IP da resposta de ping da CA e o endereço IP VOCÊ estão visitando. Isso NÃO garante que não haja um ataque intermediário ou envenenamento de DNS em toda a rede. Isso apenas garante que o site que você está visualizando seja o mesmo que a CA vê.

Não-EV == ninguém está verificando ativamente o IP do domínio em relação a um IP registrado / fornecido por motivos de segurança.

Os caracteres curinga == * .domain.com são frequentemente usados ​​quando as pessoas têm uma infinidade de subdomínios ou um conjunto de subdomínios em constante mudança, mas ainda precisam de criptografia SSL válida.

A verdade por trás dos certificados SSL.

Você pode fazer o seu próprio. Eles não são menos seguros do que qualquer outro certificado. A diferença de ser um certificado "autoassinado" não é "comprovada" por terceiros.

O problema com os certificados SSL é que eles são extremamente caros para o que são. Não há absolutamente nenhuma garantia de que o site que você está visitando pertence a quem está listado no certificado como proprietário / local etc. Isso anula o objetivo do modelo de cadeia de confiança de terceiros que o SSL foi desenvolvido para uso.

TODAS as autoridades de certificação conhecidas como CAs que vendem seus certificados, desejam que o usuário acredite que seu certificado é de alguma forma melhor. Na verdade, eles nunca verificam as informações fornecidas para o certificado, a menos que haja um problema que possa custar-lhes receita. Essa prática também anula o objetivo do modelo de cadeia confiável SSL.

Eu conheço apenas uma autoridade de certificação que realmente valida seus certificados. Este é o CACert.org.

Para que eles possam emitir um certificado "completo" (nome da empresa, nome, endereço, telefone etc.), você deve conhecer um dos FACE-TO-FACE de seu segurador !.

Contudo. a maioria dos navegadores não usa o CACert.org devido a pressões adicionadas a eles por mega corporações como Thawte, Comodo e Verisign.

Então .. para resumir tudo.

As únicas diferenças entre os certificados são o comportamento da CA. Não é possível confiar realmente nos certificados para verificar se a conexão ao site está usando criptografia.

No final do dia, as pessoas pensam que pagar de US $ 100 a US $ 1000 equivale a confiabilidade. Este não é o caso. Significa apenas que você lida com bandidos menos sofisticados ou menos estabelecidos.

O que vale mais, uma referência minha ou de Bill Gates? Você deve se lembrar que os certificados são mais do que uma solução técnica, eles são alguém que atesta a você e as empresas podem definir o preço que acharem que sua reputação vale.

Acabei de descobrir que o GoDaddy não permite certificados "duplicados" para seus caracteres curinga SSL. (ao contrário, GlobalSign, DigiCert, que permitem, e número ilimitado deles)

É uma pena, pois isso geralmente é usado quando você gerencia um farm de servidores e cada um tem sua própria chave privada / csr.

Eu estava trabalhando para uma empresa terceirizada em um projeto na web para uma grande empresa de tecnologia. Usamos um certificado SSL da GoDaddy e descobrimos que essa CA foi rejeitada nas redes internas da empresa.

A empresa naquela época (2 anos atrás) não aceitava automaticamente o GoDaddy como uma autoridade confiável. Foi apenas com muita persuasão que nosso certificado foi aceito.

Se tivéssemos usado uma marca premium como a Thawte, não haveria problema. Não sei por que a corporação adotou essa política, mas talvez o preço do certificado tenha feito com que pareçam menos confiáveis.

Essa é a única diferença no mundo real entre os certificados do GoDaddy e de outras grandes CAs que encontrei.

Tecnicamente, não há diferença. A maioria das autoridades de certificação oferece produtos semelhantes, validação padrão ou validação estendida, onde a organização / empresa e domínio do proprietário são verificados e curingas.

O que diferencia o preço é:

1. Branding
2. garantia
3. Qualidade de serviço
4. Quantidade

Para a marca, o melhor exemplo seria a Digicert - eles emitiram certificados para marcas como Twitter, Facebook e até StackExchange. Para conseguir esse tipo de cliente, é preciso um pouco de persuasão e orçamento de marca, não há provas de que eles tenham melhor tecnologia do que qualquer outra pessoa.

Garantia é algo como seguro. Geralmente, é uma quantia entre 0 e milhões de dólares; basicamente, diz-lhe qual é o nível de garantia da CA ao vender o certificado, se algo como uma transação fraudulenta de cartão de crédito acontecer e se o erro for deles, eles cobrirão os custos até altura da garantia. Com os certificados SSL padrão, a maioria é vendida para a empresa da CA, para que eles possam cobrar mais do proprietário, porque a tecnologia e a segurança de criptografia são as mesmas, com a garantia dos certificados EV pode ter alguma utilidade, mas geralmente quando você lê os termos e condições, você ri e ver a ironia de tudo.

Qualidade de serviço é algo que geralmente é muito subjetivo e depende do cliente pagador. Algumas CAs têm sistemas para seus grandes clientes que podem ajudá-lo a acompanhar seus certificados adquiridos. Se você possui ou gerencia mais de cem certificados, você pode realmente pagar um pouco mais e ter um melhor gerenciamento de software, painel, opções mais amplas de cobrança de cartão de crédito, ferramentas para manutenção de certificados, ferramentas de relatório, algumas autoridades de certificação até oferecem dicas de segurança para a implementação do servidor.

A quantidade reduz os preços. Como a CA, se você vende mais, seus preços são mais baixos; como cliente, quando você compra mais, você pode pedir preços melhores.