Les différents types de certificats SSL sont-ils un peu une arnaque?

39

Je cherche à obtenir quelques certificats SSL pour les domaines suivants:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Les certificats génériques sont trop chers, je vais donc acheter un seul certificat pour chaque sous-domaine (j'ai suffisamment d'adresses IP pour faire le tour).

Ma question est la suivante: en quoi un certificat de 10 $ est-il meilleur qu’un certificat de 100 $?

Prenons, par exemple, la gamme de produits GeoTrust . Je sais ce qu’est un VE (je n’en ai pas besoin) et je sais ce qu’est un sceau sécurisé (nos utilisateurs nous font déjà confiance, alors n’avez pas besoin de cela).

Mais pourquoi devrais-je opter pour un QuickSSL à 69 $ alors que je peux obtenir un RapidSSL à 10 $? La seule différence est la "reconnaissance de la marque" (modérée à moyenne) et l'assurance.

Quelqu'un peut-il éclairer ce qu'il entend par "reconnaissance de la marque"? Nos utilisateurs font déjà confiance à notre site Web public et les deux autres sous-domaines sont uniquement destinés à Outlook Anywhere (et ne seront donc pas affichés dans un navigateur).

Nouvelle question pertinente postée à l' adresse https://serverfault.com/questions/82039/difference-between-ssl-products

https  security-certificate 
Mark Henderson
source
1
Si vous avez acheté un certificat SSL coûteux, vous avez aidé Shuttleworth à aller dans l'espace. Comment cela peut-il être une arnaque?
4
Dans le bon vieux temps d'Internet, il était peut-être coûteux de fournir ces services. Ils ont dit que vous payez pour le service afin de vérifier votre identité. D'après mon expérience, la recherche de certificats autres que du commerce électronique est triviale et fallacieuse. Désolé, je méprise tout ce secteur SSL. Je souhaite que quelqu'un crée un but non lucratif qui fournirait les mêmes services.
citadelgrad
1
JasonBirch
C'est fondamentalement comme les enfants les plus cools à la fête disant "ce mec est légitime" quand un navigateur leur demande de vous. Vous payez pour que ces enfants cools acceptent et parlent hautement de vous. Si vous voulez qu'ils disent "ce mec est TOTALEMENT EPIQUE" , vous pouvez alors dépenser plus d'argent. Tant que son SHA-256 ou similaire, la validation importe peu. Il y a peut-être 0,01% de visiteurs qui vérifient l'autorité de validation. Tout ce qui compte pour eux, c’est qu’ils voient un verrou vert, qu’il s’agisse d’un verrou de 10 $ ou de 1 000 $.
dhaupin
@citadelgrad, ils ont fait un but non lucratif. Ca s'appelle CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Réponses:

27

"Ma question est, qu'est-ce qui fait qu'un certificat de 10 $ est meilleur qu'un certificat de 100 $?"

Généralement, plus le certificat est cher, plus la société de certification est âgée. Étant donné que la liste des utilisateurs de confiance est livrée avec le navigateur, les anciens navigateurs peuvent ne pas avoir confiance en leurs certificats.

Par exemple, un certificat de 10 USD n'est peut-être pas approuvé par IE5.

Mais c'est à peu près tout.

Thomas Bonini
source
8
De plus, l'utilisateur d'un tel morceau de # & * $ :) +1
Tim Post
En outre, pour certains types de certificat, la société émettrice s'efforce davantage de vérifier les coordonnées de la personne / de la société qui en fait la demande ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Si le navigateur indique qu'un certificat est EV et que l'utilisateur le remarque, il peut avoir plus de confiance. IMHO ils ne remarqueront pas.
Paulmorriss
Vous avez manqué le point, si un certificat est plus cher, alors vous êtes plus couvert, si votre site web est piraté, un certificat de 100 $ peut vous rapporter jusqu'à 1 million de dollars alors qu'un certificat de 10 $ peut ne rien vous payer.
Discours prononcé
@SSpoke, je serais surpris qu'il n'y ait pas de friction lorsque vous essayez de réclamer le " 1,5 million de dollars US ". Ces chiffres ne concernent que les grands garçons, pas l'utilisateur moyen. Imaginez qu'ils aient eu une brèche et qu'ils aient dû débourser 300 000 utilisateurs, ce qui totalise 450 milliards. Soyez assuré que vos utilisateurs ne pourront pas obtenir 1 million de dollars chacun. Voir également les conditions générales sur positivessl.com/ssl-warranty.php
Pacerier
6

L’ autre jour, j’ai demandé la même chose à DigiCert : pourquoi beaucoup de certificats sont-ils tellement moins chers que les vôtres (environ 25 USD par rapport à 100 USD par an)? Voici la réponse qu'ils m'ont donnée (dans mes mots):

Les autres sociétés vérifient uniquement votre nom de domaine (que la personne qui obtient le certificat est propriétaire du nom de domaine), tandis que DigiCert (et d'autres) vérifie la société derrière le nom de domaine.

Cela signifie qu'ils doivent consulter le registre des sociétés de votre pays pour vérifier que votre société existe et que vous êtes lié à la société. Cela nécessite souvent un appel téléphonique et d'autres vérifications. Sans cette vérification, il suffit d'un ordinateur pour vérifier l'enregistrement whois avec les informations saisies.

Donc, à mon avis, si vous utilisez le certificat sur un site où le client paie pour quelque chose ou entre ses informations personnelles, un certificat plus onéreux est préférable. Si vous utilisez uniquement le site en interne (au sein de l'entreprise), un certificat moins cher est probablement tout ce dont vous avez besoin.

Darryl Hein
source
DigiCert a une alerte de conflit d’intérêts extrême (voir également security.stackexchange.com/questions/13453/… ). Le personnel de support déforme la question en comparant les certificats DV d'autres certificats CA aux certificats EV. Mais d’autres CA proposent également des licences d’EV à un prix beaucoup plus réduit que le leur.
Pacerier
4

"Ma question est la suivante: Qu'est-ce qui fait qu'un certificat de 10 $ est meilleur qu'un certificat de 100 $?"

La réponse est rien. Un cert est un cert est un cert (puisque vous ne vous souciez pas de la "reconnaissance de la marque"), donc sans packages EV, un cert n'est qu'un produit. Ceci explique assez bien l'histoire.

Cependant, je pense que la reconnaissance de la marque pourrait être importante pour certains utilisateurs, mais si vous êtes certain d'être une source fiable, alors je ne m'inquiéterais pas pour cela.

plntxt
source
2

Il existe également le problème suivant: certains navigateurs sélectionnent un grand nombre de certificats SSL parfaits et les définissent comme potentiellement dangereux. Cela est dû en partie aux propos de Darryl (diligence accrue du vendeur de SSL pour confirmer votre identité). Ce n'est pas que la sécurité elle-même soit vraiment différente, elle a simplement pour but de fournir un meilleur niveau de confiance.

Il existe également des fonctionnalités telles que la capacité de gestion (je peux émettre et réémettre des certs à mon coeur sans délai, ce qui est très pratique lorsque les noms de domaine changent soudainement), ainsi que d’autres avantages susceptibles d’améliorer votre expérience. Mais si la version à 10 $ répond à vos besoins et si vos clients se soucient peu de savoir de qui provient le certificat, faites-le.

À mesure que le temps passe, vous constaterez peut-être que vous changez de fournisseur, tout simplement parce que le paysage de votre présence sur le Web est en train de changer. Il est donc important de prendre en compte cet aspect maintenant.

Milner
source
2

À la mi-2015, je n'ai trouvé aucune étude indépendante, ni même une preuve anecdotique, selon laquelle les certificats EV augmenteraient le taux de conversion ou les ventes. J'ai développé cela dans ma réponse aux certificats SSL EV - est-ce que quelqu'un s'en soucie? .

Ce qui a semblé réduire le nombre d'abandons dans le panier, ce sont les sceaux de confiance et les badges . Ces sceaux de confiance viennent avec l'achat d'un véhicule électrique. Incidemment, nous sommes aujourd'hui le 4 juillet et Comodo a vendu des certificats EV pour 100 USD au lieu de 500 USD, ce qui a motivé cette recherche. Je ne suis toujours pas totalement convaincu d'une manière ou d'une autre.

Dan Dascalescu
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.