Question:
Y a-t-il une raison de sécurité technique de ne pas acheter le certificat SSL le moins cher que vous puissiez trouver?
Luke Sheppard
2012-08-15 00:19:08 UTC
view on stackexchange narkive permalink

En achetant un certificat SSL de base pour mon blog, j'ai constaté que de nombreuses autorités de certification les plus connues avaient un certificat d'entrée de gamme (avec une validation moins stricte de l'identité de l'acheteur) pour environ 120 $ et plus. Mais ensuite, j'ai découvert que Network Solutions propose l'un de ces certificats bas de gamme pour 29,99 $ (il y a 12 heures, c'était 12,95 $) avec un contrat de 4 ans.

Y a-t-il une raison de sécurité technique dont je devrais être conscient de cela pourrait me faire regretter d'avoir acheté le certificat le plus bas de gamme? Ils promettent tous des choses comme la reconnaissance du navigateur à 99%, etc. Je ne pose pas cette question sur SE pour comparer des choses comme la qualité du support de l'AC (ou son absence) ou quelque chose comme ça. Je veux savoir s'il y a une raison cryptographique ou PKI alors évitez un certificat qui coûte si peu. Il dit, comme d'autres, qu'il offre "un cryptage jusqu'à 256 bits".

Pertinente - http://security.stackexchange.com/questions/13453/are-all-ssl-certificates-equal
"_ il offre" un cryptage jusqu'à 256 bits_ ", ce n'est pas le cas de l'autorité de certification ou du certificat! ** Votre serveur TLS le fait. **
Si vous décidez toujours de choisir le `` moins cher '', n'oubliez pas que vous pouvez les obtenir gratuitement (http://startssl.com étant l'un de ces fournisseurs)
Parler de cryptage 256 bits dans le contexte des certificats n'a aucun sens. Cette partie de SSL est complètement indépendante des certificats.
Parce que Godaddy est un douchenozzle? Il existe de nombreuses autres options moins chères, rapidssl, geotrust, etc.
Notez qu'à partir d'aujourd'hui, vous pouvez simplement obtenir un bon et fiable certificat SSL / TLS gratuitement à partir d'un projet soutenu par Mozilla et EFF.Jetez un œil à https://letsencrypt.org
mise à jour: à la fin de 2016, StartCom alias ** StartSSL ** a été acheté par ** WoSign ** qui a été surpris en train d'émettre et d'antidater des certificats en violation des règles CABforum, et qui sont ** maintenant largement méfiés **;voir https://security.stackexchange.com/questions/18919/are-there-technical-disadvantages-in-using-free-ssl-certificates (et https://security.stackexchange.com/questions/91292/how-do-i-report-a-security-vulnerability-about-a-trusted-certificate-authority!)
Dûment noté.Merci pour la mise à jour sur StartSSL.En l'occurrence, j'utilise maintenant une autre autorité de certification, mais pas pour cette raison particulière.
Quatorze réponses:
Tim Brigham
2012-08-15 00:36:15 UTC
view on stackexchange narkive permalink

Pour les besoins de cette discussion, il n'y a que quelques différences entre les certificats de signature Web:

  1. Validation étendue et validation standard (barre verte).
  2. Nombre de bits dans une demande de certificat (1024/2048/4096).
  3. Chaîne de certificats.

Il est plus facile de mettre en place des certificats avec une chaîne de confiance plus courte, mais il existe des certificats peu coûteux avec une chaîne profonde directe ou à un seul niveau. Vous pouvez également obtenir les certificats 2048 et 4096 bits plus volumineux à moindre coût.

Tant que vous n'avez pas besoin de la validation étendue, il n'y a vraiment aucune raison d'opter pour les certificats plus chers.

Le fait de travailler avec un fournisseur plus important présente un avantage spécifique: plus le fournisseur est principal, moins il est susceptible de voir sa confiance révoquée en cas de violation.
Par exemple, DigiNotar est un petit fournisseur qui a eu la malchance de voir sa confiance révoquée en septembre 2011.

"_Plus le fournisseur est principal, moins il est susceptible de voir sa confiance révoquée en cas de violation._" correct, mais le principe "trop ​​gros pour échouer" pue! :(
@MrGlass Ce n'est pas tant la confiance dans l'AC que ** la confiance que la très grande CA ne sera jamais punie pour avoir fait de mauvaises choses ** parce que cela punirait aussi ses clients. C'est vrai et ça pue.
@Tim, Existe-t-il même des CA qui vendent des certificats de 4096 bits?
@Pacerier Si votre CSR (demande de signature de certificat) a une clé de 4096 bits, la plupart des autorités de certification l'accepteront de la même manière qu'un CSR avec seulement 2048 bits.À propos, Let's Encrypt (https://letsencrypt.org/) est une autorité de certification gratuite à but non lucratif qui émet des certificats de validation de domaine standard.
curiousguy
2012-08-15 06:21:23 UTC
view on stackexchange narkive permalink

De bonnes choses dans d'autres réponses, permettez-moi d'ajouter quelques remarques sur le comportement approprié de l'autorité de certification.

Si l'autorité de certification a un historique

  • de manque de sécurité application des règles,
  • de la violation de l'accord "Autorité de certification approuvée par le navigateur",
  • de la signature de noms non DNS en utilisant leur certificat racine officiel (comme des adresses IP ou des noms DNS inexistants, par exemple bosscomputer.private),
  • de manque de transparence à propos son comportement et ses revendeurs,

et l'utilisateur final (comme moi) inspecte votre certificat, et le sait, cela pourrait avoir une mauvaise image de vous. Surtout toute autorité de certification qui est une subdivision d'une entreprise également dans le domaine de l'interception de connexion .

Quand je vois USERtrust ou COMODO ou Verisign dans une chaîne de certificats, je ne suis pas positivement impressionné .

Pouvez-vous suggérer des moyens permettant à un client potentiel d'identifier les CA qui ont des antécédents du genre de comportement inapproprié que vous mentionnez? (Google pour les mentions dans la presse?)
Qu'est-ce que Comodo et Verisign ont fait de mal?
Ouais… S'il vous plaît, développez cette dernière phrase «Quand je vois USERtrust ou COMODO ou Verisign dans une chaîne de certificats, je ne suis pas positivement impressionné.». Il s'avère qu'un de mes amis a vu un certificat émis par COMODO lors de la vérification de l'identité du site Web de sa banque dans son navigateur, et maintenant je commence à me demander s'il est suspect…
Peut-être qu'il n'est pas impressionné par les incidents avec [Comodo] (https://en.wikipedia.org/wiki/Comodo_Group#Controversies) et [Versign] (https://en.wikipedia.org/wiki/Verisign#Controversies)? Les certificats USERtrust n'ont pas été correctement émis par Comodo (comme [expliqué ici] (http://askubuntu.com/questions/497923/fake-usertrust-com-certificates-in-chrome))
@curiousguy, ** Quel CA auriez-vous ** choisi?GeoTrust, celui que Google utilise?
tylerl
2012-08-15 11:27:29 UTC
view on stackexchange narkive permalink

D'un point de vue technique, la seule chose qui compte est la reconnaissance du navigateur. Et toutes les autorités de confiance ont une couverture très proche de 100%.

Je pourrais en dire plus, mais pour éviter de dupliquer les efforts, voici une question presque identique avec beaucoup de réponses bien raisonnées: Sont tous Certificats SSL égaux?

LateralFractal
2013-10-15 16:44:08 UTC
view on stackexchange narkive permalink

À la lumière des dernières révélations de la NSA, je dirais que tout le concept des autorités de certification racine commerciales est fondamentalement imparfait et vous devriez simplement acheter auprès de l'autorité de certification la moins chère dont la racine Le certificat est installé dans les chaînes de confiance du navigateur et du système d'exploitation.

En pratique, nous avons besoin de chaînes de confiance de certificats multi-racines au lieu des chaînes de confiance de certificats mono-racine actuelles. chaînes de confiance. De cette façon, au lieu d'ignorer le pouvoir réel des gouvernements de "contraindre" les fournisseurs commerciaux, vous obtiendrez simplement votre certificat signé par plusieurs gouvernements (de préférence antagonistes). Par exemple, faites signer votre site Web de correspondance de cage Bronies vs Juggalos par les États-Unis, la Russie, la Chine, l'Islande et le Brésil. Ce qui pourrait coûter plus cher mais réduirait vraiment la probabilité de collusion.

Pourquoi ne pas utiliser une chaîne de blocs DLT comme Bitcoin pour faire signer un certificat dans le cadre d'une transaction?
@JonGrah Cela pourrait fonctionner.Mais le problème n'est pas de savoir comment le certificat est sécurisé électroniquement, mais plutôt que nous acceptons une seule source de confiance dans la vie réelle au lieu de plusieurs sources de confiance avec une immunité souveraine peu susceptible de collusion ou d'être forcée.
D.W.
2012-08-15 00:45:05 UTC
view on stackexchange narkive permalink

Pour un certificat de validation de domaine, la seule chose qui compte est de savoir si les navigateurs acceptent le certificat comme approuvé. Alors, prenez le certificat le moins cher qui est approuvé par tous les navigateurs (ou tous les navigateurs qui vous intéressent). Il n'y a aucune raison cryptographique significative de préférer un fournisseur à un autre.

(Vous devrez bien sûr payer plus pour un certificat de validation étendu, mais c'est une classe de certificat entièrement différente. Je pense que vous le savez déjà .)

"_le certificat le moins cher auquel tous les navigateurs font confiance_" et n'a pas de mauvaises choses associées à son nom de fournisseur?
R.. GitHub STOP HELPING ICE
2014-09-17 22:28:20 UTC
view on stackexchange narkive permalink

Quelle que soit l'autorité de certification avec laquelle vous optez, l'assurance de vos utilisateurs qu'ils communiquent réellement avec votre site et non un attaquant est seulement aussi bonne que la pire autorité de certification de leur navigateur à laquelle leur navigateur fait confiance - un attaquant qui veut forger un certificat peut acheter une autorité de certification avec de mauvaises pratiques. Je ne vois donc aucun argument plausible selon lequel votre choix de l'autorité de certification affecte la sécurité de votre site, à moins que vous ne choisissiez une autorité de certification qui génère des clés privées pour vous plutôt que de signer une clé que vous fournissez, ou qui n'autorise pas les grandes tailles de clés.

À part cela, comme d'autres l'ont dit, c'est probablement une bonne idée d'éviter les CA dont le mélange de mauvaises pratiques et de petite taille rend plausible que leur confiance puisse être révoquée par un ou plusieurs navigateurs, car cela aurait un impact sur l'accessibilité (et perception publique) de votre site.

C'est une excellente réponse, rendue d'autant plus excellente par votre prise en compte de la perception des utilisateurs. La perception est un aspect omniprésent, bien que malvenu, de la posture de sécurité de tout système d'information.
@R.Cette réponse est trompeuse et erronée car l'utilisateur lui-même ** pourrait avoir ** vérifié votre chaîne de certificats à partir de l'interface utilisateur du navigateur s'il le souhaite.Donc, si acheter une meilleure chaîne, votre utilisateur le saurait et donc lui attribuerait plus de «confiance».(En supposant qu'ils [savent comment]) (http://security.stackexchange.com/questions/18666/is-there-any-technical-security-reason-not-to-buy-the-cheapest-ssl-certificate-y# comment219196_23186) bien sûr ...)
@Pacerier: C'est une grande hypothèse que vous faites.Et du point de vue du site (pas d'un utilisateur individuel), c'est plutôt hors de propos.Peu importe pour la sécurité du * site * que quelques utilisateurs ultra-techniquement enclins puissent évaluer eux-mêmes la chaîne de confiance, juste que le bad-CA-shopping fonctionne pour un attaquant qui veut tromper certains / la plupart de vos utilisateurs.
WoJ
2015-10-20 13:26:21 UTC
view on stackexchange narkive permalink

Vous pourrez bientôt obtenir des certificats pour le faible coût de zéro € avec Let's Encrypt.

Ils sont techniquement aussi bons que tous les autres (validation non étendue, essentiellement sans la barre verte sur vos navigateurs), le principal étant la capacité des navigateurs à le reconnaître comme fiable (ils le feront sont).

Le seul inconvénient est qu'il y a un rappel de Lets 'Encrypt vers votre site ou DNS, ce qui rend la génération de certificat pénible (voire impossible) pour les utilisateurs internes sites (non Internet).

Ils sont: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html
@DeerHunter: correct, j'ai lu cela faire la queue pour le déjeuner il y a un instant. Réponse mise à jour, merci.
Si je comprends bien maintenant, pour obtenir un certificat de confiance de letsencrypt, vous devez mettre votre domaine sur la liste blanche dans leur programme bêta (qui est un peu sursouscrit).
@PeterGreen: ils sont actuellement en version bêta privée (les certificats fournis fonctionnent très bien), la [bêta publique commence le 3 décembre 2015] (https://letsencrypt.org/2015/11/12/public-beta-timing.html).
@WoJ, Btw des clauses de non-responsabilité?Êtes-vous un membre du personnel ou une «partie intéressée»?
@Pacerier hein?personnel comme dans "crypter le personnel"?Non. "Partie intéressée"?** bien sûr ** je suis une partie intéressée.Intéressé par ce service GRATUIT et soutenant avec tout mon cœur de gars de la sécurité un moyen GRATUIT si utile pour chacun d'améliorer sa sécurité (non pas parce que c'est un certificat mais parce que cela oblige les gens à réfléchir à ce qu'ils font et à ce qui les protège de quel risque).
theonlylos
2012-08-15 03:55:08 UTC
view on stackexchange narkive permalink

En général, les deux choses que vous pouvez probablement transmettre sont l'EV (puisque ce n'est que le gimmick de la barre verte) et SGC ne fournit pas vraiment de réel avantage aujourd'hui (puisqu'il ne s'applique qu'aux navigateurs de l'époque d'IE5 et avant)

Ce site fournit un bon aperçu des raisons pour lesquelles éviter SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

"_Comodo puisqu'ils sont une marque bien connue_" bien connue pour ses scandales!
Tim X
2012-10-26 03:01:33 UTC
view on stackexchange narkive permalink

En ignorant les aspects techniques du chiffrement des certificats, le problème à prendre en compte est la confiance et la réputation. Si vous ne vous souciez que du chiffrement du trafic, vous pouvez utiliser un simple certificat auto-signé. D'un autre côté, si ce que vous voulez atteindre est de fournir un niveau de confiance que vous ou votre site êtes vraiment qui / ce qu'il prétend être, alors vous avez besoin d'un certificat d'une autorité de certification à laquelle les gens font confiance.

L'AC atteint ce niveau de confiance en vérifiant les personnes à qui elle vend des certificats. De nombreux fournisseurs de certificats moins chers atteignent leurs prix plus bas en réduisant leurs frais généraux d'exploitation, ce qui est souvent fait grâce à des processus de vérification moins rigoureux.

La question ne doit pas être "Qui est le fournisseur de certificat le moins cher", mais plutôt "Quel fournisseur de certificat a la réputation et le niveau de confiance nécessaires que les utilisateurs ou utilisateurs potentiels de mon service accepteront".

P.S. Malheureusement, dans une certaine mesure, tout le modèle est cassé de toute façon. Peu d'utilisateurs vérifient même qui est l'autorité de certification qui a émis le certificat et ont peu de connaissances ou de compréhension de la chaîne d'autorité impliquée.

J'irais jusqu'à dire que presque aucun utilisateur ne vérifiera jamais l'émetteur et même s'ils le faisaient, ils n'auraient aucune idée de qui était bon / mauvais / indifférent.
Les certificats auto-signés pour son propre site Web personnel sont une DOULEUR. Certains systèmes d'exploitation (certaines versions d'Android, par exemple), je n'ai pas pu installer de certificat, même devoir le faire pour chaque appareil que j'utilise régulièrement me gaspille beaucoup de temps, et je dois cliquer au-delà d'un avertissement sur 20 onglets différents lorsque chrome le redémarrage est aussi une douleur.
@R®ryMcCune, j'irais jusqu'à dire que presque aucun utilisateur ne saurait ** savoir ** comment vérifier l'émetteur.
@Pacerier: J'irais même plus loin: que la plupart des utilisateurs ne savent même pas ** qu'ils peuvent ** vérifier un certificat.
Rory McCune
2012-10-26 03:16:15 UTC
view on stackexchange narkive permalink

D'un point de vue pragmatique pour un site avec des utilisateurs de type standard, le seul critère qui compte pour un certificat SSL est "est-il pris en charge par les navigateurs que mes utilisateurs utiliseront pour accéder au site". Tant que c'est le cas, vous êtes d'accord avec le fait qu'il soit aussi bon marché que possible.

Il y a quelque temps, un différenciateur potentiel était de savoir si le certificat était EV SSL ou non, mais pour être honnête, je n'ai pas vu grand les utilisateurs en sont conscients, il est donc peu probable que cela en vaille la peine.

Jason Parms
2014-06-23 16:18:41 UTC
view on stackexchange narkive permalink

Le certificat SSL est utilisé à deux fins.

  • La première consiste à sécuriser les transactions en ligne et les informations privées qui sont transmises entre un navigateur Web et un serveur Web.
  • Deuxièmement, la confiance, SSL est utilisé pour accroître la confiance des clients. SSL prouve une session sécurisée de votre site Web, cela signifie la confiance de vos clients sur votre site Web.

Chaque certificat a son propre processus de validation et en suivant ce processus, l'autorité de certification valide la fiabilité de votre entreprise et envoie un certificat pour votre site Web.

Un certificat SSL basique bon marché ne valide que votre autorité de domaine et authentifié à l'aide du système de vérification des e-mails de l'approbateur. L'approbateur peut facilement obtenir ce certificat en quelques minutes avec une adresse e-mail générique.

Certificats SSL OV et EV avec la confiance du client et grâce à son processus d'authentification strict, il offre le plus haut niveau de confiance. EV SSL valide de nombreux composants d'identification de votre domaine et des informations commerciales. Il suit le processus de vérification manuelle et pendant ce processus, le système ne parvient pas à vérifier ou à systématiser les défendeurs de votre entreprise pour une éventuelle fausse action, puis votre commande peut être alignée pour un examen manuel.

La principale différence dans le facteur de confiance et la réputation de la marque, alors que vos clients voient la barre d'adresse verte dans votre navigateur, ils se sentent plus en sécurité et encouragent à effectuer des transactions. Sinon, certaines différences entre d'autres fonctionnalités telles que le cryptage, la compatibilité du navigateur, la longueur de la clé, les supports mobiles, etc.

Sinon, la garantie des certificats explique les différences. Les autorités de certification offrent une garantie prolongée (1 000 USD à 1,75 M USD) contre la mauvaise émission d'un certificat SSL qui explique la valeur de votre investissement pour la sécurité du site Web.

Bien que nous nous concentrions sur le prix d'un certificat, peu importe où acheter votre certificat - autorité de certification ou revendeur agréé. Le revendeur agréé propose les mêmes produits SSL, les mêmes fonctionnalités de sécurité, un meilleur support à un prix raisonnable.

Jason Parm est affilié à SSL2BUY (revendeur SSL mondial)

Merci pour votre réponse et bienvenue sur Security.SE! Étant donné que vous êtes employé chez un revendeur SSL agréé et que votre réponse mentionne favorablement l'utilisation de revendeurs, puis-je vous encourager à inclure votre affiliation dans votre réponse, par prudence? Je sais que vous ne faites la promotion d'aucun produit en particulier, c'est donc une zone grise, mais c'est quelque chose dans lequel votre employeur a un intérêt financier, il est préférable de divulguer le biais potentiel juste pour être sûr. (Voir également http://security.stackexchange.com/help/behavior pour la politique officielle, ou http://meta.stackexchange.com/a/145588/160917.)
En bref, je me demande s'il est même possible de [** collecter ** la garantie de 1,5 million de dollars américains] (http://webmasters.stackexchange.com/questions/372/are-the-different-types-of-ssl-certificate-a-bit-of-a-scam / 547 # comment114497_547).Comment cette «garantie» fonctionnerait-elle si 300 000 clients commençaient tous à la réclamer?
Damian Yerrick
2014-12-02 22:29:37 UTC
view on stackexchange narkive permalink

DV devrait suffire pour la plupart des navigateurs

L'article " Comprendre les risques et éviter les FUD" sur Risque non atténué mentionne trois niveaux d'assurance des certificats signés par une autorité de certification. À ces trois, j'ajouterai deux niveaux d'assurance inférieurs possibles sans certificat signé par une autorité de certification. Cela fait un total de cinq niveaux de sécurité HTTP à prendre en compte:

  1. Pas de TLS ( http: )
  2. TLS avec un certificat qui est auto -signé ou d'un émetteur inconnu
  3. TLS avec certificat de domaine validé (DV) d'un émetteur connu (organisation ne faisant pas partie du certificat)
  4. TLS avec organisation validée (OV) certificat d'un émetteur connu (nom de l'organisation dans le certificat)
  5. TLS avec certificat de validation étendue d'un émetteur de VE connu (nom de l'organisation et adresse dans le certificat)

Certificats que vous acheter auprès d'une autorité de certification commerciale sera de 3, 4 ou 5 La plupart des navigateurs Web autorisent tous sauf 2 sans avertissement interstitiel, même si 2 est meilleur que 1 pour la résistance aux attaques passives. La justification généralement exprimée est qu'un https : URI avec une CA inconnue donne un faux sentiment de sécurité, en particulier contre un homme au milieu, tandis qu'un http: URI donne un vrai sentiment d'insécurité.

Mais DV peut effrayer Comodo Drago n utilisateurs

Mais une minorité d'utilisateurs utilise un navigateur Web qui avertit également sur 3. Lorsqu'un utilisateur de Comodo Dragon visite un site HTTPS qui utilise un certificat DV, il affiche une icône de verrouillage différente avec un triangle d'avertissement, qui ressemble à l'icône "contenu passif mixte". Il affiche également un écran d'avertissement interstitiel avant de consulter le site. Cet avertissement ressemble à ce que les navigateurs affichent pour un certificat auto-signé , et son texte commence comme suit:

Il peut ne pas être sûr d'échanger des informations avec ce site

Le certificat de sécurité (ou SSL) pour ce site Web indique que l'organisation qui l'exploite n'a peut-être pas fait l'objet d'une validation par un tiers de confiance indiquant qu'il s'agit d'une entreprise légitime.

Ceci est destiné à empêcher les attaquants qui enregistrent un domaine bankofamerrica.example pour "Banko Famer Rica", mettez en place un contenu de couleur légitime sur le Costa Rica, obtenez un certificat DV pour ce domaine, puis changez-le en un site qui se fait passer pour Bank of America. Il est également destiné à arrêter un attaquant qui compromet un domaine, ajoute un sous-domaine qu'il contrôle et obtient un certificat DV pour ce sous-domaine. Un de ces cas s'est produit en décembre 2015, une fois que le DV CA gratuit Let's Encrypt a été mis en ligne. même pour Facebook.

Pour ne pas effrayer les utilisateurs de Dragon, vous devez éviter les certificats DV. Mais vous n'avez pas besoin d'acheter un certificat EV. Faites simplement une liste des autorités de certification souhaitant vendre à votre organisation un certificat OV dont le certificat racine se trouve dans tous les principaux navigateurs. Il n'y a alors aucune raison de sécurité technique de ne pas acheter le moins cher.

Si vous gérez votre blog en tant qu'individu, vous ne pouvez pas prétendre à un certificat OV d'une autorité de certification. Dans ce cas, il vous suffit de vivre avec l'avertissement de Dragon, et vous pouvez simplement utiliser un certificat DV bon marché comme celui proposé par StartSSL, WoSign ou Let's Encrypt.

Je suis sûr que tout cela est techniquement vrai, mais parler de vos 5 niveaux de sécurité auto-inventés ne répond pas à la question. Et la divulgation serait utilisée lorsque vous êtes un revendeur de certificats, pas lorsque vous (comme la plupart des gens ici je pense) avez un site Web avec un certificat (espérons-le signé).
@Luc Les niveaux ne sont que des informations de base pour fournir un moyen de comparer cinq situations possibles, dont trois résultent de l'achat d'un certificat. J'ai corrigé la réponse pour mener avec la version tl; dr.
Je n'aime pas cette réponse car elle implique que quelque chose appelé "Comodo Dragon" est pertinent pour le processus d'achat de certificats. Si je code un navigateur ce week-end et que j'avertis sur tout sauf 5, cela ne signifie pas que cela compte pour OP puisque personne n'utilisera mon navigateur comme personne n'utilise le navigateur de Comodo. Je ne voterai pas à la baisse parce que je pense que vous avez répondu de bonne foi et que cette réponse a une certaine valeur.
@TomDworzanski J'ai saisi les nouvelles récentes comme une opportunité pour ajouter une clarification sur la part de marché (manque de) de Dragon.
@DamianYerrick, Combien d'utilisateurs a de toute façon Comodo Dragon?
Je n'ai jamais entendu parler de Comodo Dragon, mais en lisant leur description * "Comodo Dragon est un navigateur basé sur la technologie Chromium qui vous offre toutes les fonctionnalités de Chrome PLUS le niveau inégalé de sécurité et de confidentialité que vous obtenez uniquement de Comodo." * Je sais queJe n'utiliserai jamais ça.Tout ce qui prétend avoir une sécurité inégalée appelle généralement l'attention.
Pancho
2015-10-20 04:18:15 UTC
view on stackexchange narkive permalink

Il est un peu tard, mais pour d'autres comme moi, ils cherchent sur le Web quel certificat SSL acheter et voici le résultat de mes recherches:

Sur le plan technique, les certificats SSL coûteux offrent un sceau dynamique qui signifie une image dynamique affichée sur un site Web qui montre l'heure et la date actuelles de chargement de la page Web, ce qui indique que le sceau est valide pour le domaine sur lequel il est installé et qu'il est actuel et non expiré. Lorsque vous cliquez sur l'image, elle affichera des informations de l'autorité de certification sur le profil du site Web qui valide la légitimité du site Web. Cela donnera aux visiteurs du site Web une confiance accrue dans la sécurité du site.

Un sceau statique est simplement une image graphique statique qui peut être placée sur le site Web pour indiquer d'où le certificat numérique a été obtenu, mais il y a aucune validation de clic du site Web et l'image n'affiche pas l'heure et la date actuelles.

De plus, si vous achetez un SSL plus cher, vous obtiendrez plus d'argent en garantie de fraude pour vos visiteurs, mais uniquement en cas si l'Autorité a délivré un certificat à un fraudeur et qu'un visiteur a perdu son argent en pensant que le site Web est légitime. Si vous n'êtes pas un fraudeur, il n'y a aucune raison d'opter pour un certificat coûteux à moins que vous ne souhaitiez afficher la barre d'adresse verte et augmenter la confiance de vos visiteurs.

Techniquement, il n'y a pas d'autre différence

Il existe 3 types principaux de certificats SSL

Domaine unique

  • Sécurise les versions www et non www de votre domaine
  • Exemples: RapidSSL, Comodo Esential etc.

Wildcard

  • Sécurise tous les sous-domaines pour un seul domaine, y compris www et non-www
  • Exemples Comodo Wildcard SSL, RapidSSL Wildcard etc.

Multi Domain

  • La plupart des autorités de certification proposent de 3 à 5 domaines avec leur plan tarifaire de base
  • Vous devez payer par domaine supplémentaire. Généralement entre 15 $ et 20 $ / an par domaine
  • Exemples Comodo Positive Multi Domain SSL

Aussi 3 types de vérification de domaine

Afin d'obtenir votre certificat SSL émis, l'autorité de certification doit vérifier que vous êtes bien celui que vous avez dit être lorsque vous lui avez demandé le certificat. Voici 3 des processus de vérification que vous devez suivre pour obtenir un SSL

1. Validation du domaine

Vous devez valider votre domaine. Cela se produit généralement via un lien URL envoyé à l'un des e-mails de votre domaine ou avec le téléchargement de fichiers sur votre serveur. C'est de loin le SSL le plus rapide, le plus simple et le moins cher. La garantie contre la fraude avec ce type de validation peut aller jusqu'à 10 000 $.

2. Validation de l'organisation

Pour obtenir l'un de ces certificats, vous devez fournir des pièces justificatives sur votre organisation. Ce processus est un peu plus lent et peut prendre jusqu'à quelques jours. Ce type de sécurité SSL est requis pour les grands sites Web de commerce électronique ou les organisations qui stockent des données utilisateur sensibles. En règle générale, ces certificats offrent un sceau de site dynamique et offrent une garantie plus élevée allant jusqu'à 1 500 000 $ selon l'émetteur.

3. Validation étendue

Ce sont les certificats les plus fiables et transformeront la barre d'adresse de votre navigateur en vert contenant le nom de votre organisation. De loin le processus de validation le plus lent, jusqu'à une semaine, selon l'organisme externe qui vérifie vos coordonnées. Vous devrez fournir à l'autorité SSL des documents justificatifs tels que la constitution d'une société, etc. et ils les transmettront à un tiers pour vérifier sa validité. Une fois ce processus terminé avec succès, vous bénéficierez de la plus grande confiance et d'une garantie allant jusqu'à 2 000 000 USD selon l'émetteur.

Quel certificat acheter

Tout dépend de vous. Il existe de nombreuses autorités de certification offrant beaucoup pour chaque besoin. Pour moi, le point principal est de ne pas dépenser sauf si vous devez le faire. Le certificat SSL de base fera à peu près la même chose que le SSL le plus cher du marché.

Voici quelques liens utiles

Autorités de certification

Certains des revendeurs les moins chers

Je ne suis pas sûr que cela réponde à la question.
Pouvez-vous modifier cette question pour qu'elle réponde plus directement à la question?
@Pancho, Comment cette soi-disant «garantie» fonctionne-t-elle de toute façon?Cela n'a pas de sens.Voir http://security.stackexchange.com/questions/18666/is-there-any-technical-security-reason-not-to-buy-the-cheapest-ssl-certificate-y/61691#comment219206_61691.1,5 million par utilisateur multiplié par 850 000 utilisateurs vous coûterait déjà ** 12 billions de dollars **.
@Pacerier la garantie est au cas où un client / visiteur de votre site Web est affecté par un certificat SSL mal émis, et il est payé au visiteur et non à vous.C'est difficile à expliquer, mais en termes simples si vous obtenez un certificat pour votre site Web et que le nom de domaine est proche du site Web de la banque ou autre et que vous commencez à l'utiliser pour pêcher, voler des comptes d'utilisateurs et des mots de passe, voler de l'argent, etc.payer jusqu'à concurrence du montant que ce certificat est couvert par sa garantie pour chaque partie concernée.L'AC ne doit pas délivrer de certificat aux domaines qui pourraient induire en erreur les visiteurs, etc. s'ils le font, ils paieront.
DomainsFeatured
2016-06-09 00:08:32 UTC
view on stackexchange narkive permalink

Je voudrais ajouter que même si la technologie est la même avec le cryptage 256 bits, vous payez également pour les facteurs suivants:

Niveau de validation - c'est le nombre de vérifications que l'émetteur effectuera pour vérifier votre entreprise ou votre site Web

Nombre de domaines - combien de domaines ce certificat sera valide pour

Niveau de confiance - comme les membres mentionnés ci-dessus, vous pouvez payer pour différents types de validation avec plus de «confiance» des utilisateurs, d'où la différence de prix



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...