Pourquoi la certification godaddy HTTPS / SSL est-elle tellement moins chère que digicert, thawte et verisign?


32

Je suis un novice sur HTTPS / SSL mais GoDaddy facture 12,99 $ et Digicert, thawte et Verisign facturent plus de 100 000 à plus de certificats SSL.

Je dois manquer quelque chose sur la qualité du cryptage ou quelque chose. Quelqu'un peut-il expliquer certaines des différences fondamentales qui conduisent à ces prix extrêmement différents?

Mettre à jour 12,99 $ est un prix de vente. Les certificats SSL coûtent généralement 89,99 $ sur GoDaddy. Voici un lien sur Godaddy qui fait la comparaison que cette question pose à propos de: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Merci,

Tim


1
Je viens de vérifier le site GoDaddy et ils listaient les certs pour 69,99 $ CAD.
Vol Sherwin

2
startssl en offre même un gratuitement!
Rana Prathap

Réponses:


33

Outre des offres peu sérieuses, vous pouvez faire la distinction entre des certificats SSL valides par domaine moins chers et des certificats SSL (EV) à validation étendue plus coûteux .

Les deux certificats sont techniquement identiques (la connexion est cryptée), mais les certificats validés par domaine sont moins chers, car le vendeur doit uniquement vérifier le domaine. Les certificats EV nécessitent également des informations sur le propriétaire du domaine, et le vendeur doit vérifier si ces informations sont correctes (effort administratif supplémentaire).

Normalement, vous pouvez voir la différence lorsque vous visitez le site avec un navigateur. Firefox, par exemple, mettra en évidence le domaine en bleu pour le SSL validé par le domaine et le vert pour le SSL à validation étendue.

Deux exemples:

Dans la plupart des cas, le certificat validé par le domaine est correct, l'utilisateur ne présente aucun inconvénient et les certificats EV sont vraiment (trop) coûteux.


1
merci, je ne connaissais pas la différence entre validation de domaine et validation étendue, merci pour cette clarification!
Tim Peterson

1
Une personne doit vérifier l'adresse physique de l'entreprise pour obtenir un certificat avec validation étendue.
ZippyV

1
Je pense que certains CA offrent également une forme d’assurance, en cas de problème (mais on ne sait pas exactement ce qui est couvert). (J'ai écrit une réponse relativement longue sur les différences entre ces types de certificats si cela présente un intérêt.) L'essentiel est que le choix de l'AC et du type de certificat ne comptent que pour le client. À condition que le certificat soit approuvé par défaut, cela dépend uniquement de la mesure dans laquelle l'utilisateur est disposé à vérifier des détails supplémentaires (visuellement, via l'interface utilisateur).
Bruno

8

Sur le site Web de GoDaddy:

Profitez du soutien des normes établies de l'industrie. Il n'y a AUCUNE DIFFÉRENCE TECHNIQUE entre nos certificats et toute autre autorité de certification majeure.

Source: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

La tarification est parfois drôle. Bien que je ne sache pas pourquoi GoDaddy attribue à ses produits le même prix, certaines entreprises optent pour plus de clients à un tarif inférieur, tandis que d'autres optent pour un prix plus élevé et attirent moins de clients.

À titre de comparaison simple, la société 1 peut attirer davantage de clients en proposant ses produits à un prix inférieur. Toutefois, la société 2 peut proposer ses produits à un coût plus élevé, ce qui pourrait compenser un nombre inférieur de clients.

Société 1: 100 clients payant 20 $ / mois = 24 000 $ / an

Société 2: 200 clients payant 10 $ / mois = 24 000 $ / an

Comme vous pouvez le constater dans cette comparaison TRÈS SIMPLE, les deux modèles se sont soldés par le même chiffre d’affaires annuel, mais une entreprise a offert son produit deux fois plus cher que l’autre.


3
N'oubliez pas le facteur "Marque" - certains produits ont tout simplement un supplément de prix simplement parce qu'ils sont étiquetés avec le nom de l'entreprise largement connu et reconnu.
LazyOne

@LazyOne, c'est pareil avec les universités ...
Pacerier Le

8

Pour être tout à fait honnête. il n'y a absolument aucune différence en ce qui concerne les certificats SSL. Les seuls facteurs contributifs sont les balises EV / non EV / Wildcard.

EV == Validation étendue: Cela signifie que le site est activement "interrogé" par l'autorité de certification sur l'adresse IP fournie du domaine, puis un script côté serveur compare l'adresse IP de la réponse au ping de l'autorité de certification et l'adresse IP VOUS. sont en train de visiter. Cela ne garantit PAS qu’il n’y ait pas d’attaque par interception, ni d’empoisonnement par DNS dans l’ensemble du réseau. Cela garantit simplement que le site que vous consultez est le même que celui que voit l'autorité de certification.

Non-EV == personne ne vérifie activement l'adresse IP du domaine par rapport à une adresse IP enregistrée / fournie à des fins de sécurité.

Les certificats basés sur des caractères génériques == * .domain.com sont souvent utilisés lorsque les utilisateurs possèdent une multitude de sous-domaines ou un ensemble de sous-domaines en constante évolution, tout en nécessitant un cryptage SSL valide.

La vérité derrière les certificats SSL.

Vous pouvez faire le vôtre. Ils ne sont pas moins sécurisés que tout autre certificat. La différence étant un certificat "auto-signé" n'est pas "garanti" par un tiers.

Le problème avec les certificats SSL est qu'ils sont extrêmement hors de prix pour ce qu'ils sont. Il n'y a absolument AUCUNE GARANTIE que le site que vous visitez appartient à celui qui est répertorié sur le certificat en tant que propriétaire / emplacement, etc. Cela va à l'encontre de l'objectif du modèle de chaîne de confiance tiers mis au point par SSL.

TOUTES les autorités de certification connues sous le nom d'AC qui vendent leurs certificats veulent que l'utilisateur croie que leur certificat est meilleur. En fait, ils ne vérifient jamais les informations fournies pour le certificat, sauf en cas de problème pouvant entraîner une perte de revenus. Cette pratique va également à l'encontre de l'objectif du modèle de chaîne de confiance SSL.

Je ne connais qu'une seule autorité de certification qui valide ses certificats. C'est CACert.org.

Pour pouvoir émettre un certificat "complet" (nom commercial, nom, adresse, téléphone, etc.), vous devez rencontrer l'un des visages FACE-TO-FACE de leur assureur!.

Toutefois. la plupart des navigateurs n'utilisent pas CACert.org en raison des pressions supplémentaires exercées par des méga sociétés comme Thawte, Comodo et Verisign.

Alors .. pour résumer le tout.

Le comportement de l'autorité de certification est la seule différence entre les certificats. On ne peut pas vraiment faire confiance aux certificats pour vérifier autre chose que la connexion au site utilise le cryptage.

Au bout du compte, les gens pensent que payer entre 100 et 1 000 dollars équivaut en quelque sorte à être digne de confiance. Ce n'est pas le cas. Cela signifie simplement que vous traitez avec des escrocs moins sophistiqués ou moins établis.


1
L'inclusion de CACert dans au moins Mozilla a été annulée par CACert lui-même: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118

@ user34262, oui, l'argent est un facteur important dans l'ensemble du marché de l'autorité de certification ( semi-corrompu ). Discussion connexe: 1) sur webmasters.SE , 2) sur security.SE , 3) sur security.SE
Pacerier

@ user2428118, Cet article date d' il y a 10 ans. Quelle est la mise à jour?
Pacerier

@ user34262, Btw, quelles sont certaines de ces "pressions" de CA dont vous parlez?
Pacerier

Il existe généralement trois niveaux de certificats: certificats validés par domaine, validés par organisation et validés étendus. Très peu de contrôles sont effectués avec les certificats DV (en général, contrôle de contrôle de domaine et de courrier électronique automatisé uniquement), mais ces deux derniers types doivent être conformes aux directives sur les audits et les pratiques d'émission publiées par CA / B Forum . Les navigateurs qui n'autorisent pas les autorités de certification à émettre un certificat du type respectif ne répondent pas aux exigences définies dans la recommandation.
Lie Ryan

3

Lequel vaut le plus, une référence de ma part ou une référence de Bill Gates? N'oubliez pas que les certificats sont plus qu'une solution technique, ils sont une garantie pour vous et que les entreprises peuvent fixer le prix qui leur semble être à la hauteur de leur réputation.


2
La référence de Bill Gates est boiteuse, bien que je sois heureux pour la Khan Academy.
Tim Peterson

@timpeterson, il fait référence à l'erreur de en.wikipedia.org/wiki/Argument_from_authority
Pacerier

1
@ Pacerier non, je ne le suis pas. Cela n'a rien à voir avec des personnes qui se portent garantes de l'identité des organisations.
JamesRyan

@ JamesRyan, comment est-ce pas? Que signifie " une référence de ma part ou une référence de Bill Gates "? Est-ce que "Bill Gates" signifie "autorité" ici?
Pacerier

3

Je venais de constater que GoDaddy n'autorisait pas les certificats "en double" pour vos caractères génériques SSL. (par opposition à GlobalSign, DigiCert, qui les autorise et nombre illimité d’entre eux)

C'est dommage car cela est souvent utilisé lorsque vous gérez une batterie de serveurs et que chacun a sa propre clé privée / csr.


1
Cela semble une information assez critique. Si vous deviez acheter plusieurs certificats de GoDaddy et un seul de Verisign, etc., il semblerait que l'on puisse corriger toute différence de prix. Pouvez-vous fournir des références de liens GoDaddy dans votre réponse?
Tim Peterson

2
Non, GoDaddy ne vous laissera pas acheter plusieurs certificats pour le même caractère générique. Ils ne vous en laisseront qu'un, que vous devrez donc utiliser sur tous vos serveurs.
Mike Scott

1

Je travaillais pour une entreprise tierce sur un projet Web pour une grande entreprise de technologie. Nous avons utilisé un certificat SSL GoDaddy et avons constaté que cette autorité de certification avait été rejetée sur les réseaux internes de l'entreprise.

La société à cette époque (il y a 2 ans) n'acceptait pas automatiquement GoDaddy en tant qu'autorité de confiance. Ce n’est qu’avec beaucoup de persuasion que notre certificat a été accepté.

Si nous avions utilisé une marque haut de gamme telle que Thawte, il n'y aurait eu aucun problème. Je ne sais pas pourquoi la société appliquait cette politique, mais le prix du certificat leur a semblé moins fiable.

C’est la seule différence réelle entre les certificats de GoDaddy et d’autres CA de grande taille que j’ai rencontrés.


1
Hmm, Godaddy est-il le seul cert qu'ils rejettent?
Pacerier

0

Techniquement, il n'y a pas de différence. La plupart des autorités de certification proposent des produits similaires, une validation standard ou une validation étendue, dans laquelle l'organisation / la société et le domaine du propriétaire sont vérifiés et remplacés par des caractères génériques.

Ce qui rend le prix différent est:

  1. l'image de marque
  2. garantie
  3. Qualité de service
  4. Quantité

Pour ce qui est de la stratégie de marque, Digicert serait le meilleur exemple: ils ont délivré des certificats à des marques telles que Twitter, Facebook et même StackExchange. Pour attirer ce type de clients, il faut un peu de persuasion et un budget de marque, rien ne prouve qu'ils disposent d'une meilleure technologie que quiconque.

La garantie est quelque chose comme une assurance. Il s’agit généralement d’un montant compris entre 0 et des millions de dollars. Il indique essentiellement le montant de l’assurance CA lorsque vous vendez le certificat, si quelque chose comme une transaction frauduleuse sur carte de crédit se produit et que ce soit leur erreur, ils couvriront les coûts jusqu’à concurrence du. hauteur de la garantie. Avec les certificats SSL standard, il s’agit généralement d’une vente jusqu’à CA, qui peut donc facturer davantage au propriétaire, car la technologie de cryptage et la sécurité sont identiques, avec la garantie des certificats EV, mais la plupart du temps, la garantie des certificats EV peut être utile. et voir l'ironie de tout cela.

La qualité du service dépend généralement du client qui paie. Certains CA disposent de systèmes pour leurs gros clients qui peuvent vous aider à garder une trace de vos certificats achetés. Si vous possédez ou gérez plus d'une centaine de certificats, vous pouvez payer un peu plus et disposer d'un meilleur logiciel de gestion, d'un tableau de bord, d'options de facturation plus larges pour les cartes de crédit, outils de maintenance des certificats, outils de création de rapports, certaines autorités de certification offrent même des conseils de sécurité pour la mise en œuvre de serveurs.

La quantité fait baisser les prix. En tant que CA, si vous vendez plus, vos prix sont plus bas. En tant que client, lorsque vous achetez plus, vous pouvez demander de meilleurs prix.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.