¿Cómo decidir dónde comprar un certificado SSL comodín?

Recientemente necesitaba comprar un certificado SSL comodín (porque necesito asegurar una cantidad de subdominios), y cuando busqué por primera vez dónde comprar uno, me sentí abrumado por la cantidad de opciones, reclamos de marketing y rango de precios. Creé una lista para ayudarme a ver los trucos de marketing que la mayoría de las Autoridades de Certificación (CA) cubren en sus sitios. Al final, mi conclusión personal es que prácticamente las únicas cosas que importan son el precio y la simpatía del sitio web de CA.

Pregunta: Además del precio y un buen sitio web, ¿hay algo digno de mi consideración al decidir dónde comprar un certificado SSL comodín?

Creo que con respecto a decidir dónde comprar un certificado SSL comodín, los únicos factores que importan son el costo del primer año de un certificado SSL y la comodidad del sitio web del vendedor (es decir, la experiencia del usuario) para la compra y configuración del certificado .

Soy consciente de lo siguiente:

• Las reclamaciones sobre garantías (por ejemplo, $ 10K, $ 1.25M) son trucos de marketing : estas garantías protegen a los usuarios de un sitio web determinado contra la posibilidad de que la CA emita un certificado a un estafador (por ejemplo, un sitio de phishing) y el usuario pierda dinero como resultado ( pero pregúntese: ¿alguien está gastando / perdiendo $ 10K o más en su sitio fraudulento? Oh, espera, usted no es un estafador? no tiene sentido).

• Es necesario generar una clave privada 2048-bitCSR ( solicitud de firma de certificado ) para activar su certificado SSL. De acuerdo con los estándares de seguridad modernos, no se permite el uso de códigos CSR con un tamaño de clave privada inferior a 2048 bits. Obtenga más información aquí y aquí .

• Reclamaciones de 99+%, 99.3%o 99.9%compatibilidad del navegador / dispositivo.

• Reclamaciones de emisión rápida y fácil instalación .

• Es bueno tener una garantía de satisfacción de devolución de dinero (15 y 30 días son comunes).

La siguiente lista de precios base de certificados SSL comodín (no ventas) y autoridades emisoras y revendedores se actualizó el 30 de mayo de 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Tenga en cuenta que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity y SSL2BUY son revendedores, no Autoridades de certificación.

Namecheap ofrece una opción de Comodo / PostiveSSL y Comodo / EssentialSSL (aunque no hay diferencia técnica entre los dos, solo la marca / marketing; pregunté a Namecheap y Comodo sobre esto, mientras que EssentialSSL cuesta unos pocos dólares más (USD $ 100 frente a $ 94) ) DNSimple revende EssentialSSL de Comodo, que, de nuevo, es técnicamente idéntico al PositiveSSL de Comodo.

Tenga en cuenta que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap y DNSimple proporcionan no solo los certificados SSL de comodín más baratos, sino que también tienen los menos trucos de marketing de todos los sitios que revisé; y DNSimple parece no tener ningún tipo de truco. Aquí hay enlaces a los certificados de 1 año más baratos (ya que no puedo vincularlos en la tabla anterior):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

A partir de marzo de 2018 Let's Encrypt admite certificados comodín . DNSimple admite los certificados Let's Encrypt.

Otro punto a considerar es la reemisión de certificados .

Realmente no entendí lo que esto significaba hasta que apareció el insecto sangrado . Supuse que eso significaba que le darían una segunda copia de su certificado original, y me pregunté cuán desorganizado debía ser uno para necesitar ese servicio. Pero se deduce que no significa eso: al menos algunos proveedores estamparán felizmente una nueva clave pública siempre que suceda durante la vigencia del certificado original. Supongo que luego agregan su certificado original a alguna CRL, pero eso es algo bueno.

Las razones por las que desearía hacer esto son que haya corrompido o perdido su clave privada original o, de alguna manera, haya perdido el control exclusivo de esa clave y, por supuesto, el descubrimiento de un error mundial en OpenSSL que hace probable que su clave privada La clave fue extraída por una parte hostil.

Después de una hemorragia cardíaca, considero que esto es definitivamente algo bueno, y ahora esté atento en futuras compras de certificados.

Si bien el precio es probablemente un problema clave, los otros problemas son la credibilidad del proveedor , la aceptación del navegador y, dependiendo de su nivel de competencia, el soporte para el proceso de instalación (un problema mayor de lo que parece, especialmente cuando las cosas salen mal).

Vale la pena señalar que varios proveedores son propiedad de los mismos jugadores de alta gama, por ejemplo, Thawte y Geotrust y creo que Verisign son propiedad de Symantec. Sin embargo, los certificados de Thawte son mucho más caros que Geotrust por no ser convincentes. razón.

En el otro extremo, un certificado emitido por StartSSL (a quien no estoy llamando, creo que su modelo es genial), no es tan compatible con el navegador y no tiene el mismo nivel de credibilidad que los grandes jugadores. Si desea colocar "placebos de seguridad" en su sitio, a veces vale la pena ir a un jugador más grande, aunque esto probablemente sea mucho menos importante para los certificados comodín que para los EV Certs.

Como alguien más señaló, otra diferencia puede ser la "basura" que está asociada con el certificado: conozco los Thawte EV Certs que se me indicó anteriormente que solo se me permitía usar en un solo servidor , mientras que Geotrust certifica que más tarde persuadió a la gerencia para que los reemplazara no solo eran más baratos sino que no tenían esta limitación, una limitación totalmente arbitraria impuesta por Thawte.

Debe seleccionar el certificado SSL comodín según sus necesidades de seguridad.

Antes de comprar el certificado SSL comodín, debe conocer algunos de los factores mencionados a continuación

1. Reputación y nivel de confianza de la marca: según una encuesta reciente de W3Techs sobre las autoridades de certificación SSL, Comodo superó a Symantec y se convirtió en la CA más confiable con una participación de mercado del 35,4%.

2. Tipos Características o Wildcard SSL: las autoridades de certificación SSL como Symantec, GeoTrust y Thawte están ofreciendo Wildcard SSL Certificate con validación comercial. Atrae a más visitantes y aumenta el factor de confianza del cliente también. Mientras que otros CA, Comodo y RapidSSL están ofreciendo Wildcard SSL solo con validación de dominio.

El SSL comodín de Symantec también ofrece una evaluación de vulnerabilidad diaria que analiza cada subdominio en busca de amenazas maliciosas.

El comodín con validación empresarial muestra el nombre de la organización en el campo URL.

3. Precio SSL: como Symantec ofrece múltiples funciones junto con comodines, su precio es alto en comparación con Comodo y RapidSSL.

Entonces, si desea asegurar su sitio web y subdominios con validación comercial, debe elegir Symantec, GeoTrust o Thawte y para la validación de dominio puede elegir Comodo o RapidSSL. Y si desea instalar seguridad multicapa con evaluación de vulnerabilidad diaria, puede optar por la Solución comodín de Symantec.