Mengapa sertifikasi HTTPS / SSL GoDad jauh lebih murah daripada digicert, thawte, dan verisign?

32

Saya seorang pemula di HTTPS / SSL tetapi GoDaddy mengenakan biaya $ 12,99 dan Digicert, thawte, dan Verisign mengenakan biaya $ 100-1000 + untuk sertifikat SSL.

Saya harus kehilangan sesuatu pada kualitas enkripsi atau sesuatu. Dapatkah seseorang menjelaskan beberapa perbedaan mendasar yang menyebabkan harga yang berbeda secara dramatis ini?

Pembaruan $ 12,99 adalah harga jual. Biasanya sertifikat SSL berharga $ 89,99 di GoDaddy. Berikut ini tautan pada Godaddy yang membuat perbandingan yang ditanyakan oleh pertanyaan ini: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Terima kasih,

tim

https godaddy security-certificate tim peterson
sumber
1
Saya baru saja memeriksa situs GoDaddy dan mereka mendaftar sertifikat untuk $ 69,99 CAD.
Penerbangan Sherwin
2
Startsl bahkan menawarkan satu gratis!
Rana Prathap

Jawaban:

33

Terlepas dari penawaran yang tidak serius, Anda dapat membedakan antara sertifikat SSL yang divalidasi domain yang lebih murah dan sertifikat SSL (EV) perpanjangan-validasi yang lebih mahal .

Kedua sertifikat secara teknis sama (koneksi dienkripsi), tetapi sertifikat yang divalidasi domain lebih murah, karena penjual hanya perlu memeriksa domain. Sertifikat-EV juga memerlukan informasi tentang pemilik domain, dan penjual harus memeriksa, apakah informasi ini benar (upaya administratif lebih lanjut).

Biasanya Anda dapat melihat perbedaannya ketika Anda mengunjungi situs dengan browser. Firefox misalnya akan menyorot domain dengan warna biru untuk SSL yang divalidasi domain, dan hijau untuk SSL yang diperpanjang-validasi.

Dua contoh:

Dalam kebanyakan kasus, sertifikat yang divalidasi domain baik-baik saja, pengguna tidak akan memiliki kerugian dan sertifikat EV benar-benar (terlalu) mahal.

martinstoeckli
sumber
1
terima kasih, tidak tahu tentang perbedaan antara validasi domain vs diperpanjang, terima kasih atas klarifikasi itu!
tim peterson
1
Seseorang perlu memeriksa alamat fisik perusahaan untuk mendapatkan sertifikat dengan validasi yang diperpanjang.
ZippyV
1
Saya pikir beberapa CA juga menawarkan beberapa bentuk asuransi, jika terjadi kesalahan (tetapi tidak jelas apa yang dicakup persis). (Saya telah menulis sebagai jawaban yang relatif panjang tentang perbedaan antara jenis-jenis sertifikat jika itu menarik.) Poin utamanya adalah bahwa pilihan CA dan jenis sertifikat hanya penting sejauh menyangkut klien. Asalkan sertifikat tepercaya secara default, hanya bergantung pada seberapa jauh pengguna bersedia untuk memeriksa rincian lebih lanjut (secara visual, melalui UI).
Bruno
8

Dari situs web GoDaddy:

Nikmati dukungan dari standar industri yang ditetapkan. Tidak ada perbedaan teknis antara sertifikat kami dan otoritas sertifikasi utama lainnya.

Sumber: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

Kadang-kadang harga adalah hal yang lucu. Meskipun saya tidak tahu mengapa GoDaddy memberi harga pada produk mereka dengan cara yang mereka lakukan, beberapa perusahaan mencari lebih banyak pelanggan dengan harga lebih murah, sedangkan yang lain pergi dengan harga lebih tinggi dan menarik lebih sedikit pelanggan.

Sebagai perbandingan sederhana, Perusahaan 1 dapat menarik lebih banyak pelanggan dengan menawarkan produk mereka dengan harga lebih murah. Namun Perusahaan 2 dapat menawarkan produk mereka dengan biaya lebih tinggi, yang dapat mengimbangi jumlah pelanggan yang lebih rendah.

Perusahaan 1: 100 pelanggan membayar $ 20 / bulan = $ 24.000 / tahun

Perusahaan 2: 200 pelanggan membayar $ 10 / bulan = $ 24.000 / tahun

Jadi seperti yang Anda lihat dalam perbandingan SANGAT SEDERHANA ini, kedua model berakhir dengan pendapatan tahunan yang sama, namun satu perusahaan menawarkan produk mereka dua kali lebih banyak dari yang lain.

Penerbangan Sherwin
sumber
3
Jangan lupa faktor "Merek" - beberapa produk hanya memiliki harga tambahan hanya karena diberi label dengan nama perusahaan yang dikenal luas dan diakui.
LazyOne
@LazyOne, Ini sama dengan universitas ...
Pacerier
8

Sejujurnya. sama sekali TIDAK ada perbedaan ketika datang ke sertifikat SSL. Satu-satunya faktor yang berkontribusi adalah tag EV / non EV / Wildcard.

EV == Validasi Diperpanjang: Ini berarti situs secara aktif "ping" oleh Otoritas Sertifikat pada IP domain yang disediakan, kemudian skrip sisi server membandingkan alamat IP dari respons ping dari CA, dan alamat IP ANDA sedang berkunjung. Ini TIDAK menjamin bahwa tidak ada serangan manusia di tengah, atau keracunan DNS di seluruh jaringan. Ini hanya memastikan bahwa situs yang Anda lihat adalah sama dengan CA.

Non-EV == tidak ada yang secara aktif memeriksa IP domain terhadap IP yang dicatat / diberikan untuk tujuan keamanan.

Sertifikat berbasis Wildcard == * .domain.com sering digunakan ketika orang memiliki banyak subdomain, atau sekumpulan subdomain yang selalu berubah, tetapi masih membutuhkan enkripsi SSL yang valid.

Kebenaran di balik Sertifikat SSL.

Anda bisa membuatnya sendiri. Mereka tidak kalah aman dari sertifikat lainnya. Perbedaan menjadi sertifikat yang ditandatangani sendiri tidak "dijamin" oleh pihak ketiga mana pun.

Masalah dengan Sertifikat SSL adalah harganya sangat mahal untuk apa adanya. Sama sekali TIDAK ADA Garentee bahwa situs yang Anda kunjungi adalah milik siapa pun yang terdaftar pada sertifikat sebagai pemilik / lokasi, dll. Ini mengalahkan tujuan model rantai kepercayaan pihak ketiga yang dikembangkan untuk digunakan oleh SSL.

SEMUA Otoritas Sertifikat yang dikenal sebagai CA yang menjual sertifikat mereka, ingin agar pengguna percaya bahwa sertifikat mereka entah bagaimana lebih baik. Padahal, mereka tidak pernah mengecek informasi yang disediakan untuk sertifikat kecuali ada masalah yang mungkin membebani pendapatan mereka. Praktik ini juga mengalahkan tujuan model rantai kepercayaan SSL.

Saya tahu hanya SATU CA yang memang memvalidasi sertifikatnya. Ini adalah CACert.org.

Bagi mereka untuk mengeluarkan sertifikat "lengkap" (nama bisnis, nama, alamat, telepon, dll.) Anda harus memenuhi salah satu FACE-TO-FACE penanggung jawab mereka !.

Namun. sebagian besar browser tidak menggunakan CACert.org karena tekanan ditambahkan ke mereka oleh perusahaan besar seperti Thawte, Comodo, dan Verisign.

Jadi .. untuk meringkaskan semuanya.

Satu-satunya perbedaan antara sertifikat adalah perilaku CA. Sertifikat tidak dapat dipercaya untuk memverifikasi selain koneksi ke situs yang menggunakan enkripsi.

Pada akhirnya, orang berpikir membayar $ 100 - $ 1000, entah bagaimana, setara dengan kepercayaan. Ini bukan kasusnya. Ini berarti Anda berurusan dengan penjahat yang kurang canggih atau kurang mapan.

pengguna34262
sumber
1
Dimasukkannya CACert dalam setidaknya Mozilla dibatalkan oleh CACert sendiri: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262, Ya, uang adalah faktor besar di seluruh pasar CA ( semi-korup ) ini. Utas terkait: 1) di webmaster.SE , 2) keamanan.SE , 3) keamanan.SE
Pacerier
@ user2428118, Posting itu dari 10 tahun yang lalu. Apa pembaruannya?
Pacerier
@ user34262, Btw apa "tekanan" CA yang Anda bicarakan?
Pacerier
Secara umum ada tiga tingkatan sertifikat: Domain divalidasi, Organisasi divalidasi, dan Sertifikat divalidasi Diperpanjang. Ada sangat sedikit pemeriksaan yang dilakukan dengan sertifikat DV (umumnya hanya email otomatis dan kontrol domain), tetapi dua jenis yang terakhir diharuskan untuk mematuhi audit dan pedoman praktik penerbitan yang diterbitkan oleh CA / B Forum . CA yang tidak lulus persyaratan yang ditetapkan dalam pedoman tidak dipercaya oleh browser untuk mengeluarkan sertifikat dari masing-masing tipe.
Lie Ryan
3

Mana yang lebih berharga, referensi dari saya atau referensi dari gerbang Bill? Anda harus ingat bahwa sertifikat lebih dari solusi teknis, mereka adalah seseorang yang menjamin Anda dan perusahaan dapat menetapkan harga berapa pun yang menurut mereka reputasi mereka pantas.

JamesRyan
sumber
2
referensi dari gerbang Bill timpang, meskipun saya senang untuk Khan Academy.
tim peterson
@timpeterson, Dia merujuk pada fallacy dari en.wikipedia.org/wiki/Argument_from_authority
Pacerier
1
@Pacerier tidak, saya tidak. Itu tidak ada hubungannya dengan orang-orang yang secara harfiah menjamin identitas organisasi.
JamesRyan
@ JamesRyan, Bagaimana tidak? Apa artinya " referensi dari saya atau referensi dari gerbang Bill "? Apakah "Bill Gates" berarti "otoritas" di sini?
Pacerier
3

Saya baru saja menemukan bahwa GoDaddy tidak mengizinkan sertifikat "duplikat" untuk wildcard SSL Anda. (Berbeda dengan mengatakan, GlobalSign, DigiCert, yang memungkinkan mereka, dan jumlah mereka yang tidak terbatas)

Sayang sekali karena ini sering digunakan ketika Anda mengelola ladang server dan masing-masing memiliki kunci pribadi / csr.

Frédéric Beuserie
sumber
1
Ini sepertinya informasi yang sangat penting. Tampaknya akan mengoreksi perbedaan harga jika Anda harus membeli beberapa sertifikat dari GoDaddy dan hanya satu dari Verisign, dll. Bisakah Anda memberikan referensi tautan GoDaddy dalam jawaban Anda?
tim peterson
2
Tidak, GoDaddy juga tidak akan membiarkan Anda membeli beberapa sertifikat untuk wildcard yang sama. Mereka hanya akan membiarkan Anda memilikinya, yang karenanya harus Anda gunakan di semua server Anda.
Mike Scott
1

Saya bekerja untuk perusahaan pihak ketiga pada proyek web untuk perusahaan teknologi besar. Kami menggunakan sertifikat SSL GoDaddy dan menemukan bahwa CA ini ditolak di jaringan internal perusahaan.

Korporasi pada waktu itu (2 tahun yang lalu) tidak secara otomatis menerima GoDaddy sebagai otoritas tepercaya. Hanya dengan bujukan bahwa sertifikat kami diterima.

Jika kita menggunakan merek premium seperti Thawte tidak akan ada masalah. Saya tidak yakin mengapa perusahaan memiliki kebijakan ini, tetapi mungkin titik harga sertifikat membuat mereka tampak kurang dipercaya.

Ini adalah satu-satunya perbedaan dunia nyata antara sertifikat dari GoDaddy dan CA besar lainnya yang saya temui.

Sihir Mangga
sumber
1
Hmm, apakah Godaddy satu-satunya sertifikat yang mereka tolak?
Pacerier
0

Secara teknis tidak ada perbedaan. Sebagian besar otoritas sertifikasi menawarkan produk serupa, validasi standar, atau validasi diperpanjang di mana organisasi / perusahaan dan domain pemilik diperiksa dan wildcard.

Apa yang membuat harga berbeda adalah:

  1. Branding
  2. Jaminan
  3. Kualitas pelayanan
  4. Kuantitas

Untuk branding, contoh terbaik adalah Digicert - mereka mengeluarkan sertifikat untuk merek seperti Twitter, Facebook, bahkan StackExchange. Untuk mendapatkan klien semacam ini, dibutuhkan beberapa bujukan dan anggaran branding, tidak ada bukti bahwa mereka memiliki teknologi yang lebih baik daripada orang lain.

Garansi adalah sesuatu seperti asuransi. Biasanya jumlah antara 0 dan jutaan dolar, pada dasarnya memberitahu Anda seberapa tinggi CA diasuransikan ketika menjual Anda sertifikat, jika sesuatu seperti transaksi kartu kredit penipuan terjadi dan itu akan menjadi kesalahan mereka, mereka akan menanggung biaya hingga tinggi garansi. Dengan sertifikat SSL standar, sebagian besar penjualannya atas perusahaan CA sehingga mereka dapat membebankan biaya lebih banyak kepada pemilik, karena teknologi dan keamanan enkripsi sama, dengan garansi sertifikat EV mungkin ada gunanya, tetapi biasanya ketika Anda membaca syarat dan ketentuan, Anda akan tertawa dan melihat ironi dari semuanya.

Kualitas layanan adalah sesuatu yang biasanya sangat subjektif tergantung pada klien yang membayar. Beberapa CA memiliki sistem untuk klien besar mereka yang dapat membantu Anda melacak sertifikat yang dibeli, jika memiliki atau mengelola lebih dari seratus sertifikat, Anda mungkin sebenarnya membayar sedikit lebih banyak dan memiliki perangkat lunak pengelolaan yang lebih baik, dasbor, opsi penagihan kartu kredit yang lebih luas, alat untuk pemeliharaan sertifikat, alat pelaporan, beberapa CA bahkan menawarkan tips keamanan untuk implementasi server.

Kuantitas membuat harga turun. Sebagai CA jika Anda menjual lebih banyak, harga Anda lebih rendah, sebagai klien ketika Anda membeli lebih banyak, Anda dapat meminta harga yang lebih baik.

Mike
sumber