memilih sertifikat SSL yang tepat

18

Kami sedang mencari untuk membeli beberapa sertifikat SSL untuk mengamankan halaman login situs ecommerce. Tidak diperlukan untuk mengamankan proses pembayaran yang sebenarnya karena ini dilindungi oleh pihak ketiga dengan sertifikat verisign-nya sendiri. rapidSSL terlihat seperti pilihan yang baik (dan murah) tetapi seorang tenaga penjualan mengatakan kepada saya bahwa mereka hanya cocok untuk "situs uji" dan merekomendasikan agar kami menggunakan satu yang harganya 4 kali lipat. Adakah yang bisa membuat rekomendasi tentang apa yang harus kita cari dan apa yang harus kita pertimbangkan?

Terima kasih.

ssl ssl-certificate merampok
sumber

Jawaban:

17

Sertifikat, terlepas dari apa yang dikatakan orang-orang penjualan, secara objektif hampir sama dengan yang berkaitan dengan enkripsi. Mereka semua mengaktifkan enkripsi 'cukup baik', yang sangat tergantung pada konfigurasi server web, dan agak pada kemampuan browser. Larangan AS untuk mengekspor enkripsi yang kuat telah dicabut beberapa tahun yang lalu, jadi hari ini hampir semua browser akan mendukung 128-bit Twofish atau enkripsi AES, jika server mengusulkan ini. (Anehnya banyak server masih menggunakan DES 56bit, RC4 atau skema lemah lainnya, karena ketidaktahuan sysadmin, atau untuk menurunkan beban CPU di server.)

Masalah hubungan perwalian sertifikat daisy-dirantai panjang juga cukup banyak hilang. Sebagian besar browser saat ini memiliki satu set CA tepercaya yang telah diinstal cukup lengkap. Buka browser cert cert UI Anda untuk melihat milik Anda (Firefox 3: Tools> Options> Advanced> Encryption> View Certificates).

Dari waktu ke waktu Anda dapat menemukan promosi di mana pengecer menawarkan Comodo, Digicert atau sertifikat serupa seharga ~ 20 USD atau lebih.

Tingkat 'kepercayaan' yang diinspirasikan situs Anda pada pelanggan dapat menjadi pertimbangan . Dapat diperdebatkan, segel situs Verisign dan bilah Validasi Diperpanjang hijau di browser yang sesuai lebih baik daripada enkripsi 128 bit sederhana dengan sertifikat dari GoDaddy. Sulit untuk mengatakan, itu akan sangat tergantung pada demografi pengguna Anda, usia, kemampuan komputer dan sebagainya.

Satu hal: Akan bermanfaat jika informasi DNS Whois Anda tetap akurat, karena ini adalah bagian besar dari cara CA memverifikasi Anda sebelum mengeluarkan sertifikat. Saya membayangkan bahwa mendapatkan sertifikat dari seseorang yang sudah berbisnis dengan Anda, seperti host web / pencatat DNS Anda, lebih mudah daripada diverifikasi oleh Comodo, Thawte dll.

Jadi proposal saya adalah untuk menilai pengguna Anda, dan apakah branding yang lebih 'dapat dipercaya' pada segel situs akan menghasilkan lebih banyak penjualan. Dan kemudian lakukan salah satu dari yang berikut:

  • Dapatkan sertifikat 128 bit termurah yang Anda bisa dari reseller / pencatat DNS / siapa pun yang sudah memiliki akun. Mungkin selidiki secara singkat siapa yang menandatangani Cert, dan apa root CA itu, tetapi jangan berkeringat kecuali jika itu adalah rantai CA yang cukup kabur.
  • Dapatkan Verisign atau sertifikat SSL terkenal yang terkenal (dan sangat mahal) dengan nilai merek yang bagus, dan tampilkan cap situs mereka dengan jelas. Pertimbangkan untuk mengajukan sertifikat Validasi Diperpanjang.

Sertifikat " Diperpanjang Validasi " menambahkan beberapa nilai IMHO, karena browser secara visual meyakinkan pengguna bahwa semuanya OK dengan bilah alamat hijau, nama perusahaan terkemuka dll. Sayangnya, sertifikat ini juga mahal, dan lebih menjengkelkan untuk divalidasi.

Jesper M
sumber
terima kasih banyak, ini adalah keputusan yang saya ambil. Saya pikir kita mungkin akan pergi untuk sertifikat thawte entry level karena mereka memiliki kompromi yang baik antara harga bagus dan merek rekonsiliasi.
robjmills
Bahkan jika checkout Anda dihosting oleh pihak ketiga, letakkan bilah EV hijau di situs Anda segera setelah pelanggan menunjukkan minat serius dalam membuka dompet mereka (tambahkan ke keranjang, daftar, dll.) Dan Anda akan melihat ROI, bahkan di sertifikat EV paling mahal, jika situs Anda mendapatkan jumlah lalu lintas yang wajar. Faktor "Di Internet, tidak ada yang tahu bahwa Anda (bukan) anjing" sangat besar.
Terence Johnson
@TerenceJohnson Saya menjalankan gateway pembayaran e-niaga yang cukup besar dengan sekitar 3k pembayaran / hari. Bulan lalu kami membuat keputusan untuk menjatuhkan sertifikat EV demi yang lama. Sampai sekarang, tidak ada satu pun pembayar yang mengeluhkan hal ini dan lalu lintas belum menyusut.
kubanczyk
5

Saya pasti bisa mengerti kebingungan Anda karena ini sedikit membingungkan. Seperti yang orang lain katakan di sini, umumnya sertifikat adalah sertifikat dan memberikan tingkat perlindungan yang sama dan terlihat sama bagi pengguna akhir. Namun ada perbedaan, sebagian besar mengenai tingkat verifikasi.

Tingkat Verifikasi

Ada tiga tingkat dasar verifikasi: hanya domain, domain dan bisnis, dan bisnis domain dan identitas perwakilan. Domain saja sebenarnya otentikasi yang cukup lemah ketika Anda memikirkannya, itu tidak membuktikan bahwa Anda adalah orang yang Anda katakan atau Anda memiliki hak untuk menggunakan merek. Namun bagi sebagian besar pengguna akhir mereka tidak akan tahu bedanya dan mereka akan melihat ikon yang terkunci. Domain dan bisnis biasanya disediakan, dan mereka biasanya memerlukan sesuatu yang sepele seperti kartu kredit perusahaan untuk memverifikasi Anda adalah bisnis yang dipermasalahkan.

Diperpanjang Verifikasi adalah standar baru yang memerlukan langkah-langkah tambahan oleh CA untuk memverifikasi Anda sebenarnya siapa Anda mengatakan Anda dan adalah badan hukum yang diizinkan untuk berdagang dengan nama itu. Lihat entri wikipedia untuk detail lebih lanjut. Di Firefox, sertifikat EV akan ditampilkan sebagai Kotak Hijau sedikit di sebelah kiri URL itu sendiri dengan nama perusahaan.

Ganti rugi

Setiap penyedia SSL akan memberikan asuransi ganti rugi yang berbeda jika Anda orang lain secara curang menggunakan sertifikat Anda atau domain Anda yang berasal dari CA yang sama. Saya pikir itu sangat jarang bahwa orang benar-benar harus menempuh jalan ini

Cakupan di seluruh browser

Biasanya semua penyedia SSL utama akan didukung pada semua OS utama di luar kotak langsung. Beberapa mungkin mengharuskan Anda untuk melayani bundel rantai perantara, yang dapat merepotkan.

Pencabutan

Tidak semua CA mendukung kemampuan untuk mencabut sertifikat - yang mengejutkan bagi saya ketika saya terakhir kali melihat ini hanya segelintir yang memiliki url pencabutan sertifikat terdaftar. Jika Anda serius tentang keamanan Anda pilih satu yang memang memiliki URL pencabutan.

Ringkasan

Kebutuhan Anda terdengar mendasar dan sederhana, saya sarankan Anda membeli sesuatu yang murah. RapidSSL, InstantSSL, GoDaddy atau pemain besar lainnya baik-baik saja.

hellomynameisjoel
sumber
2

Saya mendapat sertifikat rapidssl yang saya beli melalui www.rapidsslonline.com. Tidak pernah punya masalah dengan itu. Juga mendapat sertifikat godaddy.com, tidak pernah punya masalah dengan itu juga. Sebagian besar browser akan mengenali keduanya.

Verisign dll hanya buang-buang uang kecuali ada kebutuhan khusus untuk menunjukkan logo verisign atau sesuatu.

KristoferA
sumber
1
rapidSSL adalah sertifikat root tunggal yang harus cukup dan saya sudah pada titik membelinya sampai penjual memberikan komentar tentang situs pengujian. Saya kira pertanyaannya adalah apakah merek yang kurang dikenal akan memiliki masalah negatif
robjmills
juga telah merekomendasikan SSL123 oleh thawte - yang juga merupakan sertifikat tingkat entri tetapi memiliki merek yang lebih baik imo thawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
accoring untuk Thawte diri mereka SSL123 hanya cocok untuk server internal atau alamat IP
robjmills
1
Sertifikat RapidSSL termurah dapat diperoleh dari namecheap.com - $ 10 / tahun saat Anda membeli dua atau tiga tahun.
TRS-80