Différence entre les produits SSL

10

Je cherche à obtenir quelques certificats SSL pour les domaines afin de couvrir les points suivants:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Les certificats génériques sont trop chers, donc je vais acheter un seul certificat pour chaque sous-domaine (j'ai suffisamment d'adresses IP pour faire le tour).

Ma question est la suivante: qu'est-ce qui rend un certificat de 10 $ meilleur qu'un certificat de 100 $?

Prenons par exemple la gamme de produits GeoTrust . Je sais ce qu'est un véhicule électrique (je n'en ai pas besoin) et je sais ce qu'est un sceau sécurisé (nos utilisateurs nous font déjà confiance, donc nous n'en avons pas besoin).

Mais pourquoi devrais-je opter pour un QuickSSL pour 69 $ alors que je peux obtenir un RapidSSL pour 10 $? La seule différence est la «reconnaissance de la marque» (modérée à moyenne) et l'assurance.

Quelqu'un peut-il faire la lumière sur ce qu'il entend par «reconnaissance de la marque»? Notre site Web public est déjà bien approuvé par nos utilisateurs, et les deux autres sous-domaines sont uniquement pour Outlook Anywhere (et ne seront donc pas affichés dans un navigateur).

ssl 
Mark Henderson
source
tous ne fonctionnent pas sur tous les navigateurs, en particulier les navigateurs mobiles. vérifiez cela. startssl sont plutôt bons.
Neil McGuigan

Réponses:

10

Du point de vue typique des utilisateurs finaux, il n'y a effectivement aucune différence entre la plupart des certificats. Certains appellent même le système SSL une arnaque . Même les certificats EV ne font pas grand-chose pour l'utilisateur final typique par rapport à un certificat bon marché. Tant que le navigateur ne se plaint pas, la plupart des utilisateurs sont satisfaits.

À moins que vous ne dirigiez une banque ou que vous ayez un grand nombre de professionnels de la sécurité hautement paranoïaques en tant que clients, je vous suggère d'obtenir le certificat le moins cher possible.

Zoredache
source
1
Une arnaque hey? Eh bien, cela a beaucoup de sens, car je ne pouvais rien voir d'autre que l'assurance et les différences graphiques entre eux. Et 50 $ / an / certificat s'ajoute à peu près étant donné que notre SSL ne couvrira aucun truc financier ...
Mark Henderson
1
@MarkHenderson: C'est pourquoi les gens ont besoin de Let's Encrypt
Viet
6

C'est vraiment un peu une question complexe pour répondre correctement ...

Lorsque vous achetez un certificat SSL, vous achetez essentiellement de la «confiance», qui n'est évidemment pas un produit particulièrement facile à transformer en marchandise.

Permettez-moi de développer un peu. Que déduit un certificat SSL à la fin de la journée?

Pour moi, cela signifie qu'une organisation dans l'éther a pris le temps de vérifier que vous êtes bien qui vous vous dites et de garantir votre authenticité.

C'était toujours la prémisse derrière SSL et historiquement, lorsque vous vouliez obtenir un certificat SSL, il n'y avait que quelques autorités de certification (autorités de certification) capables de fournir ce service. Ils passeraient par un certain nombre de contrôles tout à fait de vérifier qu'ils ont fourni le certificat SSL à l'entité correcte (soit le propriétaire ou l' administrateur du domaine) et que l'organisation en utilisant le domaine ont été légitimement liés au nom de l' organisation / entreprise. Naturellement, ils offraient ce service à un prix très élevé ... Et pourquoi pas? Ils mettaient leur nom et leur réputation derrière l'authenticité des entreprises qu'ils vérifiaient.

Au fil du temps, de plus en plus d'entreprises ont réussi à se lancer dans l'action et à regrouper leurs certificats racine dans le cadre de navigateurs couramment distribués. Comme c'est le cas avec la concurrence, certaines de ces entreprises ont tenté de se différencier en baissant leur pantalon sur les prix. Dans le cadre de cela, certaines autorités de certification racine ont commencé à offrir des certificats "chaînés" à d'autres sociétés plus loin sur la ligne qui pourraient ensuite vendre des certificats chaînés aux certificats racine ... achevés par les fournisseurs de prix réduits étaient en cours de réduction. Ces jours-ci, je serais surpris si de nombreux certificats SSL rapides / instantanés / rapides / etc font l'objet de TOUTES vérifications. De toute évidence, étant donné que ces vérifications et vérifications ne sont pas effectuées, la valeur d'avoir l'une de ces sociétés qui se porte garante pour vous est quelque peu diminuée (ou inexistante) ... mais les utilisateurs finaux le réalisent-ils même? s'en soucient-ils?

La plupart du temps, probablement pas.

Comme vous l'avez souligné cependant, vous avez déjà la confiance de vos utilisateurs de toute façon ... donc en supposant que vous n'obtenez aucune erreur dans vos applications clientes, je choisirais simplement les certificats les moins chers.

D'un autre côté, si je dirigeais une banque avec des milliers d'utilisateurs .. je paierais le prix fort pour cette vérification.

HTH.

Keiran Holloway
source
Intéressant. Je sais que j'ai dû remettre la preuve que nous possédons certains domaines et ainsi de suite lorsque nos gars les ont commandés pour nos chantiers - c'est ma première aventure par moi-même. Quoi qu'il en soit, nos utilisateurs nous font déjà confiance implicitement et le SSL est juste pour leur propre tranquillité d'esprit, donc je pense que je vais en acheter un bon marché. Merci pour le fond!
Mark Henderson
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.