¿Son seguros los certificados SSL gratuitos?

11

¿Cómo es que algunos certificados SSL son gratuitos? Qué significa eso? ¿Son seguros o no?

https security-certificate

— aneuryzm
fuente

5

La única razón por la cual las empresas cobran por los certificados SSL es que dedican tiempo y esfuerzo a crear el certificado y esperan que se les pague por su trabajo (con un beneficio, por supuesto). Pero no tienen que cobrar si no quieren, como lo puede hacer cualquier proveedor de servicios gratuito. Lo que importa con los certificados SSL es si los principales fabricantes de navegadores reconocen a los emisores de certificados como confiables o no. Si lo hacen, el navegador mostrará el sitio tan seguro como lo haría con cualquier otro proveedor reconocido. Si no lo hacen, cualquier usuario que intente acceder a una página web protegida por el certificado no reconocido verá una advertencia que le informará que el certificado no es reconocido y le advertirá que no continúe.

Entonces, la verdadera pregunta es, "¿qué ofertas gratuitas son reconocidas por los principales fabricantes de navegadores como autorizadas?

— John Conde
fuente

En otras palabras, son certificados seguros, simplemente no "verificados" por un proveedor de certificados emisor, ya que es un certificado de creación propia. Me hace preguntarme por qué el servidor web no puede verificar el certificado. Pero, de nuevo, supongo que no harían $$$ de esa manera, ¿verdad?

— Talvi Watia

Es su navegador el que determina la validez del certificado que presenta el servidor. Un certificado autofirmado creará una conexión segura, pero no validará que el servidor es propiedad de la persona que dice ser, para eso están las autoridades de certificación y cobran por el proceso de verificación y certificación de los certificados. El servidor está presentando.

— danivovich

2

@Talvi: ¡Buena broma! ... espera, eso fue una broma, ¿verdad? El certificado se utiliza para verificar la identidad del servidor, entre otras cosas. Pedir un certificado es como pedirle la identificación a alguien: "¿Cómo te llamas? Joe Blow. ¿Puedes mostrarme alguna identificación? Claro". Luego el chico toma un pedazo de papel, escribe "Joe Blow" y te lo da. Ahí está mi identificación. Entonces lo miras y dices "Ah, está bien. Si está en una hoja de papel, debe ser cierto ... Un servidor que produce su propio certificado es casi lo mismo". ¿Eres el servidor adecuado para mi banco? "" Sí. Estos no son los droides que estás buscando "

— Sylver

2

@Sylver ¿Qué alternativa crees que hay? Es solo una cuestión de dónde deposita su confianza: "¿Cuál es su nombre? Joe Blow. ¿Puede mostrarme alguna identificación? Claro". El chico presenta a su amigo, Very Sign, quien toma un trozo de papel, escribe "Joe Blow" y te lo da. Ahí está mi identificación. Entonces lo miras y dices "Ah, está bien. Si está en una hoja de papel, debe ser cierto ... Las propiedades de identificación de un certificado son realmente un beneficio adicional de la técnica de cifrado. Ve y verifica quien firma el certificado para verisign.com

— robertc

1

@robert: Exactamente, excepto que Veri Sign no es amigo de Joe Blow. Verisign es una compañía regulada cuyo negocio principal es dar fe de la identidad de las personas. Un pasaporte o una tarjeta de identificación es solo una impresión elegante en papel elegante, pero lo aceptamos porque creemos que fue emitido por una agencia confiable que verificó la identidad del solicitante, porque existen sanciones graves por falsificación y porque no son fáciles de falsificar en primer lugar. Para obtener un certificado de Verisign, primero verificarán que usted sea legítimo. ...

— Sylver

4

Echa un vistazo a Wikipedia para una buena comparación de los servicios SSL. Parece que Startcom tiene un servicio de certificado SSL gratuito reconocido por IE, FF y Safari.

Sospecho que hay otros servicios similares alrededor. El problema principal es encontrar proveedores que sean compatibles con los navegadores modernos. Tener un navegador que advierta al usuario que el certificado no es confiable es peor que no tener un certificado, desde el punto de vista de conversión y ventas.

— Sylver
fuente

Los principales navegadores ya no confían en los certificados StartCom

— Stephen Ostermiller

Se elimina el sitio web de Wikipedia. ¿Puedes agregar uno nuevo allí?

— Léo Léopold Hertz 준영

0

La infraestructura de clave pública depende de un tercero de confianza que verificará y luego podrá respaldar su identidad.

Cuando le paga a una autoridad de certificación importante como Verisign por un certificado, está pagando por su reputación como un tercero confiable y de confianza que puede respaldar la validez de su identidad y su certificado. Desde un punto de vista práctico, eso significa que los principales navegadores vienen preconfigurados para confiar en los certificados firmados por esas autoridades.

Puedo crear un certificado para usted de forma gratuita, pero será relativamente inútil, porque nadie sabe quién soy y, por lo tanto, mi respaldo no les da ninguna confianza.

— lukecyca
fuente

0

Incluso las principales autoridades certificadoras como verisign, globalsign, COMODO ofrecen una versión gratuita del período de prueba del certificado SSL porque nos brindan la oportunidad de confiar y valorar su producto.

— marca
fuente