Apakah berbagai jenis sertifikat SSL sedikit scam?

39

Saya mencari beberapa sertifikat SSL untuk domain untuk mencakup yang berikut:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Sertifikat wildcard terlalu mahal, jadi saya akan membeli satu sertifikat untuk setiap subdomain (saya punya cukup alamat IP untuk berkeliling).

Pertanyaan saya adalah, apa yang membuat sertifikat $ 10 lebih baik daripada sertifikat $ 100?

Ambil contoh, rangkaian produk GeoTrust . Saya tahu apa itu EV (tidak membutuhkannya), dan saya tahu apa itu Seal Aman (pengguna kami sudah mempercayai kami, jadi tidak perlu itu).

Tetapi mengapa saya memilih QuickSSL seharga $ 69 ketika saya bisa mendapatkan RapidSSL seharga $ 10? Satu-satunya perbedaan adalah "Pengakuan Merek" (Sedang ke Menengah) dan asuransi.

Adakah yang bisa menyebar terang tentang apa yang mereka maksud dengan "Pengakuan Merek"? Situs web publik kami sudah dipercaya oleh pengguna kami, dan dua subdomain lainnya hanya untuk Outlook Anywhere (dan karenanya tidak akan ditampilkan di browser).

Diposting ulang pertanyaan yang relevan dari https://serverfault.com/questions/82039/difference-between-ssl-products

https security-certificate Mark Henderson
sumber
1
Jika Anda telah membeli sertifikat SSL yang mahal, Anda telah membantu Shuttleworth ke luar angkasa. Bagaimana itu bisa menjadi penipuan?
4
Kembali di masa lalu yang baik dari internet, mungkin mahal untuk menyediakan layanan tesis ini. Mereka mengatakan Anda membayar layanan untuk memverifikasi identitas Anda. Investigasi untuk sertifikat non-niaga dalam pengalaman saya sepele dan palsu. Maaf, saya membenci seluruh industri SSL ini. Saya berharap seseorang akan menciptakan nirlaba yang akan menyediakan layanan yang sama.
citadelgrad
1
Ada beberapa pertanyaan terkait dengan sertifikat EV di sini: webmasters.stackexchange.com/questions/2214/… webmasters.stackexchange.com/questions/3836/… webmasters.stackexchange.com/questions/3134/ssl-versus-ev-ssl
JasonBirch
Pada dasarnya seperti anak-anak paling keren di pesta mengatakan "Bung ini sah" ketika browser bertanya kepada mereka tentang Anda. Anda membayar anak-anak keren itu untuk menerima dan sangat memuji Anda. Jika Anda ingin mereka mengatakan "pria ini BENAR-BENAR EPIC" , maka Anda dapat menghabiskan lebih banyak uang. Selama SHA-256 atau yang serupa, validasinya tidak masalah. Mungkin ada .01% pengunjung yang memeriksa otoritas validasi. Yang penting bagi mereka adalah bahwa mereka melihat kunci hijau apakah kunci $ 10 atau $ 1000.
dhaupin
@citadelgrad, Mereka telah menghasilkan nirlaba. Itu disebut CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Jawaban:

27

"Pertanyaan saya adalah, apa yang membuat sertifikat $ 10 lebih baik daripada sertifikat $ 100?"

Biasanya semakin mahal sertifikat, semakin tua pula perusahaan sertifikasi. Karena daftar penandatangan tepercaya dikirimkan bersama browser, sertifikat dari perusahaan yang lebih baru mungkin tidak dapat dipercaya oleh browser lama.

Misalnya, mungkin sertifikat $ 10 tidak dipercaya oleh IE5.

Tapi itu saja.

Thomas Bonini
sumber
8
Dan kekacauan berantakan yang ditampilkan IE5 setelah menampilkan situs web yang memenuhi standar modern juga tidak dipercaya oleh pengguna seperti sepotong # & * $ :) +1
Tim Post
Juga, untuk jenis sertifikat tertentu, perusahaan penerbit lebih berupaya memverifikasi rincian orang / perusahaan yang memintanya ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Jika browser menunjukkan bahwa sertifikat adalah EV dan pengguna memperhatikannya, mereka mungkin lebih percaya diri. IMHO mereka tidak akan melihat.
paulmorriss
Anda melewatkan intinya, jika sertifikat lebih mahal maka Anda dilindungi lebih banyak, jika situs web Anda diretas sertifikat $ 100 dapat membayar Anda hingga 1 juta dolar sedangkan sertifikat $ 10 mungkin tidak membayar apa pun kepada Anda.
SSpoke
@Spoke, saya akan terkejut jika tidak ada gesekan saat Anda mencoba mengklaim " $ 1,5 juta USD ". Angka-angka ini hanya untuk diklaim anak laki-laki besar, bukan pengguna rata-rata. Bayangkan mereka mengalami pelanggaran dan harus membayar 300.000 pengguna, totalnya mencapai 450 miliar. Yakinlah bahwa pengguna Anda tidak akan bisa mendapatkan 1 juta dolar masing-masing. Lihat juga syarat dan ketentuan di positivessl.com/ssl-warranty.php
Pacerier
13

Saya pikir kartel adalah kata yang Anda cari

Aiden Bell
sumber
6

Saya bertanya hal yang sama dari DigiCert tempo hari: mengapa banyak sertifikat jauh lebih murah daripada milik Anda (~ $ 25 vs ~ $ 100 per tahun)? Inilah jawaban yang mereka berikan kepada saya (dalam kata-kata saya):

Perusahaan lain hanya memverifikasi nama domain Anda (bahwa orang yang mendapatkan sertifikat memiliki nama domain) sedangkan DigiCert (dan lainnya) memverifikasi perusahaan di belakang nama domain.

Ini berarti mereka perlu memeriksa registri perusahaan di negara Anda untuk memverifikasi bahwa perusahaan Anda ada dan bahwa Anda terkait dengan perusahaan. Ini seringkali juga memerlukan panggilan telepon dan beberapa pemeriksaan lainnya. Tanpa pemeriksaan ini, semua yang diperlukan adalah komputer untuk memverifikasi catatan whois dengan informasi yang dimasukkan.

Jadi, dalam penilaian saya, jika Anda akan menggunakan sertifikat di situs tempat pelanggan membayar sesuatu atau memasukkan informasi pribadi mereka, maka sertifikat yang lebih mahal lebih baik. Jika Anda hanya menggunakan situs secara internal (di dalam perusahaan), mungkin diperlukan sertifikat yang lebih murah.

Darryl Hein
sumber
DigiCert memiliki konflik ekstrem pada peringatan minat (juga lihat security.stackexchange.com/questions/13453/… ). Staf pendukung memutar pertanyaan dengan membandingkan sertifikat DV CA lainnya dengan sertifikat EV mereka. Tetapi CA lain juga menawarkan sertifikat EV dengan harga yang jauh lebih murah dari milik mereka.
Pacerier
4

"Pertanyaan saya adalah, apa yang membuat sertifikat $ 10 lebih baik daripada sertifikat $ 100?"

Jawabannya bukan apa-apa. Sertifikat adalah sertifikat adalah sertifikat (karena Anda tidak peduli tentang "Pengakuan Merek"), jadi tanpa paket EV, sertifikat hanyalah komoditas. Ini menjelaskan sejarah dengan cukup baik.

Namun saya berpikir bahwa pengenalan merek bisa penting bagi beberapa pengguna, tetapi jika Anda yakin Anda adalah sumber tepercaya, maka saya tidak akan khawatir tentang hal itu.

plntxt
sumber
2

Ada juga masalah di mana beberapa browser memilih banyak sertifikat SSL yang sangat bagus dan menandainya sebagai berpotensi tidak aman. Hal ini sebagian disebabkan oleh apa yang dikatakan Darryl (peningkatan ketekunan pada bagian dari vendor SSL untuk mengkonfirmasi siapa Anda). Bukannya keamanan itu sendiri benar-benar berbeda, itu hanya dimaksudkan untuk memberikan lapisan kepercayaan yang lebih baik.

Ada juga hal-hal seperti kemampuan manajemen (saya dapat menerbitkan dan menerbitkan kembali sertifikat ke konten hati saya tanpa penundaan, yang telah sangat berguna ketika nama domain tiba-tiba menjadi berbeda), dan fasilitas lainnya yang dapat meningkatkan pengalaman Anda. Tetapi jika versi $ 10 melakukan apa yang Anda butuhkan, dan pelanggan Anda tidak peduli dari siapa sertifikasinya, maka lakukanlah.

Seiring berjalannya waktu, Anda mungkin menemukan bahwa Anda mengubah vendor hanya karena lanskap keberadaan web Anda berubah, jadi pertimbangkan bahwa sekarang sebelum Anda mulai adalah penting.

Milner
sumber
2

Pada pertengahan 2015, saya belum menemukan studi independen, atau bahkan bukti anekdotal, bahwa sertifikat EV akan meningkatkan tingkat konversi atau penjualan. Saya telah memperluas hal itu dalam jawaban saya untuk EV SSL Certificates - apakah ada yang peduli? .

Apa yang tampaknya mengurangi pengabaian keranjang belanja adalah segel kepercayaan dan lencana . Segel perwalian semacam itu memang datang dengan pembelian EV. Kebetulan, hari ini adalah tanggal 4 Juli dan Comodo memiliki penjualan sertifikat EV seharga $ 100 bukannya $ 500, yang mendorong penelitian ini. Saya masih belum sepenuhnya yakin dengan satu atau lain cara.

Dan Dascalescu
sumber