Bagaimana cara memutuskan di mana membeli sertifikat SSL wildcard?

63

Baru-baru ini saya perlu membeli sertifikat SSL wildcard (karena saya perlu mengamankan sejumlah subdomain), dan ketika saya pertama kali mencari tempat untuk membeli satu, saya kewalahan dengan jumlah pilihan, klaim pemasaran, dan kisaran harga. Saya membuat daftar untuk membantu saya melihat melewati gimmick pemasaran yang sebagian besar dari Plester Otoritas Sertifikat (CA) di seluruh situs mereka. Pada akhirnya kesimpulan pribadi saya adalah bahwa satu-satunya hal yang penting adalah harga dan kesenangan situs web CA.

Pertanyaan: Selain harga dan situs web yang bagus, adakah yang patut saya pertimbangkan dalam memutuskan tempat untuk membeli sertifikat SSL wildcard?

user664833
sumber
3
Salah satu kriteria yang tidak boleh mendorong keputusan Anda adalah keamanan CA. Dan penting untuk memahami alasannya. Alasannya adalah bahwa CA mana pun yang tidak melakukan bisnis dengan Anda dapat membahayakan keamanan Anda semudah yang Anda lakukan dengan bisnis. Ada dua cara keamanan yang buruk dari CA dapat membahayakan Anda. Jika mereka mendapatkan nomor kartu kredit Anda, mereka bisa membocorkannya (ini tidak berbeda dengan transaksi online lainnya). Dan jika mereka melakukan sesuatu yang sangat buruk sehingga browser berhenti mempercayai mereka, Anda perlu mendapatkan sertifikat baru dari CA yang berbeda dalam waktu singkat.
kasperd

Jawaban:

49

Saya percaya bahwa sehubungan dengan memutuskan di mana membeli sertifikat SSL wildcard, satu-satunya faktor yang penting adalah biaya tahun pertama sertifikat SSL, dan kesenangan situs web penjual (yaitu pengalaman pengguna) untuk pembelian dan pengaturan sertifikat. .

Saya mengetahui hal-hal berikut:

  • Klaim tentang jaminan (mis. $ 10 ribu, $ 1,25 juta) adalah tipuan pemasaran - jaminan ini melindungi pengguna situs web yang diberikan terhadap kemungkinan CA mengeluarkan sertifikat kepada penipu (mis. Situs phishing) dan pengguna kehilangan uang sebagai hasilnya ( tetapi, tanyakan pada diri sendiri: apakah seseorang menghabiskan / kehilangan $ 10 ribu atau lebih di situs penipuan Anda? oh tunggu, Anda bukan penipu? tidak ada gunanya.)

  • Diperlukan untuk menghasilkan kunci pribadi 2048-bitCSR ( permintaan penandatanganan sertifikat ) untuk mengaktifkan sertifikat SSL Anda. Menurut standar keamanan modern menggunakan kode CSR dengan ukuran kunci pribadi kurang dari 2048 bit tidak diperbolehkan. Pelajari lebih lanjut di sini dan di sini .

  • Klaim 99+%, 99.3%atau 99.9%browser / kompatibilitas perangkat.

  • Klaim penerbitan cepat dan pemasangan mudah .

  • Sangat menyenangkan memiliki jaminan kepuasan uang kembali (15 dan 30 hari adalah umum).

Daftar harga dasar sertifikat wildcard SSL (bukan penjualan) dan otoritas penerbit dan pengecer diperbarui pada 30 Mei 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Perhatikan bahwa DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity, dan SSL2BUY, adalah pengecer, bukan Otoritas Sertifikat.

Namecheap menawarkan pilihan Comodo / PostiveSSL dan Comodo / EssentialSSL (meskipun tidak ada perbedaan teknis antara keduanya, hanya branding / pemasaran - Saya bertanya kepada Namecheap dan Comodo tentang ini - sedangkan EssentialSSL harganya beberapa dolar lebih banyak (USD $ 100 vs $ 94)) ). DNSimple menjual kembali EssentialSSL Comodo, yang, sekali lagi, secara teknis identik dengan Comodo PositiveSSL.

Perhatikan bahwa SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap, dan DNSimple tidak hanya memberikan sertifikat wildcard SSL termurah, tetapi mereka juga memiliki tipuan pemasaran paling sedikit dari semua situs yang saya ulas; dan DNSimple tampaknya tidak memiliki hal menarik perhatian sama sekali. Berikut ini tautan ke sertifikat 1 tahun termurah (karena saya tidak dapat menautkannya pada tabel di atas):

Pada Maret 2018 Let's Encrypt mendukung sertifikat wildcard . DNSimple mendukung sertifikat Mari Enkripsi.

user664833
sumber
1
Lihatlah harga per instance - misalnya saya dapat memiliki server 100000000000000 dan membayar ke CA saya hanya 1 harga. Banyak CA menginginkan uang untuk setiap server!
Arek B.
1
Mungkin saya melewatkannya, tapi saya tidak melihat referensi harga per contoh di situs CA yang saya lihat. Saya hosting di Heroku, di mana aplikasi saya berjalan di beberapa dino ( wadah Unix yang divirtualisasi ), dan dokumentasi endoku SSL Heroku tidak menyebutkan apa pun tentang instance atau dinamika - jadi saya kira harga per instance tidak sesuai dengan kebutuhan khusus saya .. meskipun tentu saja orang lain mungkin menganggap komentar Anda berwawasan luas. Bagaimanapun, terima kasih!
user664833
2
Harga per server tidak masuk akal. Setelah Anda memiliki sertifikat, Anda benar-benar bebas untuk mengekspornya dari komputer dan mengimpornya di yang lain.
Massimo
@ Massimo lisensi Per-server dulu cukup umum. Ditegakkan sama seperti Anda akan menegakkan lisensi Windows yang lebih lama - kontrak dan sistem kehormatan.
ceejayoz
@ceejayoz Ok, maksud saya tidak ada batasan teknis untuk menginstal sertifikat yang sama di beberapa server (dan memang ada skenario di mana ini merupakan persyaratan, server web dengan beban yang seimbang). Tentu saja, kontrak dapat mengatakan sebaliknya.
Massimo
11

Hal lain yang perlu dipertimbangkan adalah penerbitan ulang sertifikat .

Saya tidak benar-benar mengerti apa artinya ini sampai serangga yang sakit hati datang. Saya berasumsi itu berarti mereka akan memberi Anda salinan kedua dari sertifikat asli Anda, dan saya bertanya-tanya bagaimana harusnya seseorang yang tidak teratur membutuhkan layanan itu. Tetapi diketahui bahwa itu tidak berarti bahwa: setidaknya beberapa vendor dengan senang hati akan memberi stempel kunci publik yang baru selama itu terjadi selama masa berlakunya sertifikat asli. Saya kira mereka kemudian menambahkan sertifikat asli Anda ke beberapa CRL, tapi itu hal yang baik.

Alasan Anda ingin melakukan ini adalah karena Anda telah merusak atau kehilangan kunci pribadi asli Anda, atau melalui beberapa cara telah kehilangan kendali eksklusif terhadap kunci itu, dan tentu saja penemuan bug di seluruh dunia dalam OpenSSL yang memungkinkan privasi Anda kunci diekstraksi oleh pihak yang bermusuhan.

Post-heartbleed, saya menganggap ini sebagai hal yang pasti baik, dan sekarang mengawasi untuk itu dalam pembelian sertifikat masa depan.

MadHatter
sumber
2

Sementara harga mungkin merupakan masalah utama, masalah lainnya adalah kredibilitas penyedia , penerimaan browser dan, tergantung pada tingkat kompetensi Anda, dukungan untuk proses instalasi (masalah yang lebih besar daripada yang muncul, terutama ketika terjadi kesalahan).

Perlu dicatat bahwa sejumlah penyedia dimiliki oleh pemain top-end yang sama - misalnya Thawte dan Geotrust dan saya percaya Verisign semuanya dimiliki oleh Symantec - sertifikat Thawte, bagaimanapun, jauh lebih mahal daripada Geotrust tanpa memaksa. alasan.

Di sisi lain, sebuah sertifikat yang dikeluarkan oleh StartSSL (yang saya tidak tahu, saya pikir model mereka keren), tidak didukung dengan baik di browser dan tidak memiliki tingkat kredibilitas yang sama dengan para pemain besar. Jika Anda ingin memplester "plasebo keamanan" di situs Anda, kadang-kadang layak untuk pemain yang lebih besar - meskipun ini mungkin jauh lebih penting untuk sertifikat wildcard daripada yang berlaku untuk EV Certs.

Seperti orang lain tunjukkan, perbedaan lain mungkin adalah "tempayan sampah" yang terkait dengan sertifikat - Saya tahu Thawte EV Certs yang sebelumnya saya perintahkan untuk mendapatkan hanya diizinkan untuk digunakan pada server tunggal , sedangkan Geotrust memastikan saya nanti meyakinkan manajemen untuk menggantikan mereka dengan tidak hanya lebih murah tetapi tidak memiliki batasan ini - batasan yang sepenuhnya sewenang-wenang yang diberlakukan oleh Thawte.

davidgo
sumber
4
Kredibilitas penyedia cukup tidak berarti. Jika punya ikon gembok, pengguna tidak peduli. Jika Anda bekerja dengan perusahaan Fortune 500 dengan tim keamanan, mereka mungkin memerlukan vendor tertentu, tetapi sebaliknya ... siapa yang peduli? Adapun StartSSL, mereka tampaknya didukung secara luas: "semua browser utama termasuk dukungan untuk StartSSL" - en.wikipedia.org/wiki/StartCom
ceejayoz
1
Jika penyedia yang mengenakan biaya untuk pencabutan sehubungan dengan heartbleed dan mereka yang diretas tidak membuat perbedaan, dan jam downtime untuk regenerasi sertifikat tidak merusak kredibilitas perusahaan maka Startssl Anda benar tentang kredibilitas (saya suka startsl, tapi itu topik yang berbeda). Meskipun penerimaan browser mereka sangat tinggi, ini lebih rendah daripada penyedia lainnya - lihat forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
Menurut Anda, berapa banyak pengguna akhir yang) a) memeriksa untuk melihat siapa yang mengeluarkan sertifikat dan b) tahu tentang pengisian StartSSL untuk pencabutan Heartbleed? Sial, saya tidak memeriksa siapa yang mengeluarkan SSL. Apa yang mereka lakukan menyebalkan . Jumlah orang yang akan Anda hilangkan dengan menggunakan sertifikat mereka mungkin angka dalam satu digit adalah semua yang saya katakan.
ceejayoz
Perhatikan bahwa StartSSL tidak akan lagi dipercaya oleh Google Chrome. Lihat security.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - tentu saja, startssl tidak lagi menjadi perusahaan ketika saya menulis komentar ini. Wosign mendapatkannya - diam-diam - pada November 2015.
davidgo
1

Anda harus memilih sertifikat SSL Wildcard berdasarkan kebutuhan keamanan Anda.

Sebelum membeli Sertifikat SSL Wildcard, Anda harus mengetahui beberapa faktor yang disebutkan di bawah ini

  1. Tingkat Reputasi & Kepercayaan Merek: Sesuai survei W3Tech terbaru tentang otoritas sertifikat SSL, Comodo mengambil alih Symantec dan menjadi CA paling tepercaya dengan 35,4% pangsa pasar.

  2. Jenis Fitur atau Wildcard SSL: Otoritas Sertifikat SSL seperti Symantec, GeoTrust dan Thawte menawarkan Wildcard SSL Certificate dengan validasi bisnis. Yang menarik lebih banyak pengunjung dan meningkatkan faktor kepercayaan pelanggan juga. Sedangkan CA lainnya, Comodo dan RapidSSL menawarkan Wildcard SSL dengan validasi domain saja.

Symantec's Wildcard SSL juga dilengkapi dengan penilaian kerentanan harian yang memindai setiap sub-domain tunggal terhadap ancaman jahat.

Wildcard dengan validasi Bisnis menampilkan nama organisasi di bidang URL.

  1. Harga SSL: Karena Symantec menawarkan beberapa fitur bersama dengan wildcard, harganya tinggi dibandingkan dengan Comodo dan RapidSSL.

Jadi, Jika Anda ingin mengamankan situs web dan sub-domain Anda dengan validasi bisnis, Anda harus memilih Symantec, GeoTrust atau Thawte dan untuk validasi domain Anda bisa menggunakan Comodo atau RapidSSL. Dan jika Anda ingin menginstal keamanan multi-layer dengan penilaian kerentanan harian, Anda dapat menggunakan Solusi Wildcard Symantec.

Jake Adley
sumber
5
Terima kasih atas jawaban Anda, namun saya tidak setuju bahwa pangsa pasar menyiratkan kepercayaan. Comodo mungkin memiliki pangsa pasar terbesar karena pemilik situs web lebih suka sertifikat yang lebih murah, bukan karena mereka mempercayai Comodo lebih dari Symantec. Cukup mengejutkan untuk menyimpulkan bahwa Comodo paling dipercaya ketika pangsa pasarnya hanya di 3.3%depan Symantec; juga, jika seseorang melihat bahwa suatu situs menggunakan sertifikat Verizon, akankah kepercayaan mereka sesuai dengan pangsa pasar sertifikat SSL Verizon 0.7%? - Tidak. Validasi bisnis adalah sentuhan yang bagus, namun saya mempertanyakan apa bedanya bagi orang awam.
user664833
Saya setuju dengan komentar di atas. Comodo telah diretas lebih dari sekali dan kunci masuk mereka dicuri. Transkrip dari peretas masih beredar di web hingga hari ini (cari ZF0 dan Comodo). Mereka sangat ceroboh dalam menangani sertifikat penandatanganan mereka.
Aaron