¿Por qué la certificación godaddy HTTPS / SSL es mucho más barata que digicert, thawte y verisign?

Soy un novato en HTTPS / SSL, pero GoDaddy cobra $ 12.99 y Digicert, thawte y Verisign cobran $ 100-1000 + por los certificados SSL.

Debo estar perdiendo algo en la calidad del cifrado o algo así. ¿Alguien puede explicar algunas de las diferencias básicas que conducen a estos precios dramáticamente diferentes?

La actualización de $ 12.99 es un precio de venta. Por lo general, los certificados SSL cuestan $ 89.99 en GoDaddy. Aquí hay un enlace en Godaddy que hace la comparación de esta pregunta: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Gracias,

tim

Además de las ofertas poco serias, puede distinguir entre los certificados SSL con validación de dominio más baratos y los certificados SSL (EV) de validación extendida más caros .

Ambos certificados son técnicamente iguales (la conexión está encriptada), pero los certificados validados por dominio son más baratos, porque el vendedor solo tiene que verificar el dominio. Los certificados EV también requieren información sobre el propietario del dominio, y el vendedor debe verificar si esta información es correcta (más esfuerzo administrativo).

Normalmente puede ver la diferencia cuando visita el sitio con un navegador. Firefox, por ejemplo, resaltará el dominio en azul para SSL con validación de dominio y en verde para SSL de validación extendida.

Dos ejemplos:

• https://accounts.google.com/ (dominio validado)
• https://www.postfinance.ch/ (extendido-validado)

En la mayoría de los casos, el certificado validado por el dominio está bien, el usuario no tendrá inconvenientes y los certificados EV son realmente (demasiado) caros.

Desde el sitio web de GoDaddy:

Disfrute del respaldo de los estándares establecidos de la industria. NO HAY DIFERENCIA TÉCNICA entre nuestros certificados y cualquier otra Autoridad de Certificación importante.

Fuente: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

El precio es algo divertido a veces. Si bien no tengo idea de por qué GoDaddy fija el precio de sus productos de la manera en que lo hacen, algunas compañías buscan más clientes a un precio más barato, mientras que otras lo hacen por un precio más alto y atraen a menos clientes.

Como una simple comparación, la Compañía 1 puede atraer más clientes al ofrecer sus productos a un precio más barato. Sin embargo, la Compañía 2 puede ofrecer sus productos a un costo más alto, lo que podría compensar un menor número de clientes.

Empresa 1: 100 clientes que pagan $ 20 / mes = $ 24,000 / año

Empresa 2: 200 clientes que pagan $ 10 / mes = $ 24,000 / año

Entonces, como puede ver en esta comparación MUY SIMPLE, ambos modelos terminaron con los mismos ingresos anuales, sin embargo, una compañía ofreció su producto por el doble que la otra.

Para ser honesto No hay absolutamente ninguna diferencia cuando se trata de certificados SSL. El único factor que contribuye son las etiquetas EV / no EV / Wildcard.

EV == Validación Extendida: Esto significa que el sitio está activamente "pinchado" por la Autoridad de Certificación en la IP proporcionada del dominio, luego un script del lado del servidor compara la dirección IP de la respuesta de ping de la CA y la dirección IP USTED estan visitando. Esto NO garantiza que no haya un ataque de hombre en el medio o envenenamiento de DNS en toda la red. Esto solo asegura que el sitio que está viendo es el mismo que ve CA.

No EV == nadie está comprobando activamente la IP del dominio contra una IP registrada / provista por razones de seguridad.

Los certificados basados ​​en comodines == * .dominio.com se usan a menudo cuando las personas tienen una multitud de subdominios, o un conjunto de subdominios que cambian constantemente, pero que aún necesitan un cifrado SSL válido.

La verdad detrás de los certificados SSL.

Puedes hacer el tuyo. No son menos seguros que cualquier otro certificado. La diferencia de ser un certificado "autofirmado" no está "avalada" por ningún tercero.

El problema con los certificados SSL es que son extremadamente caros por lo que son. No hay absolutamente ninguna garantía de que el sitio que está visitando pertenezca a la persona que figura en el certificado como propietario / ubicación, etc. Esto anula el propósito del modelo de cadena de confianza de terceros que SSL fue desarrollado para usar.

TODAS las autoridades de certificación conocidas como CA que venden sus certificados, quieren que el usuario crea que su certificado es de alguna manera mejor. Cuando, de hecho, nunca verifican la información provista para el certificado a menos que haya un problema que pueda costarles ingresos. Esta práctica también anula el propósito del modelo de cadena de confianza SSL.

Solo conozco UNA CA que valida sus certificados. Este es CACert.org.

Para que emitan un certificado "completo" (nombre de la empresa, nombre, direcciones, teléfono, etc.), debe cumplir con uno de sus aseguradores CARA A CARA.

Sin embargo. la mayoría de los navegadores no usan CACert.org debido a las presiones que les agregan las grandes corporaciones como Thawte, Comodo y Verisign.

Entonces ... para resumirlo todo.

Las únicas diferencias entre los certificados es el comportamiento de la CA. Realmente no se puede confiar en los certificados para verificar nada más que la conexión al sitio está usando encriptación.

Al final del día, la gente piensa que pagar $ 100 - $ 1000 de alguna manera equivale a la confiabilidad. Este no es el caso. Simplemente significa que trata con delincuentes menos sofisticados o menos establecidos.

¿Qué vale más, una referencia mía o una referencia de Bill Gates? Debe recordar que los certificados son más que una solución técnica, son alguien que responde por usted y las empresas pueden establecer el precio que consideren que vale su reputación.

Acababa de descubrir que GoDaddy no permite certificados "duplicados" para sus comodines SSL. (en lugar de decir, GlobalSign, DigiCert, que los permite, y un número ilimitado de ellos)

Es una pena, ya que esto se usa a menudo cuando administra una granja de servidores y cada uno tiene su propia clave privada / csr.

Estaba trabajando para una compañía externa en un proyecto web para una gran corporación tecnológica. Utilizamos un certificado SSL GoDaddy y descubrimos que esta CA fue rechazada en las redes internas de la empresa.

La corporación en ese momento (hace 2 años) no aceptó automáticamente a GoDaddy como una autoridad confiable. Fue solo con mucha persuasión que nuestro certificado fue aceptado.

Si hubiéramos usado una marca premium como Thawte, no habría habido ningún problema. No estoy seguro de por qué la corporación tenía esta política, pero tal vez el precio del certificado los hizo parecer menos confiables.

Esta es la única diferencia en el mundo real entre los certificados de GoDaddy y otras grandes CA que he encontrado.

Técnicamente no hay diferencia. La mayoría de las autoridades de certificación ofrecen productos similares, validación estándar o validación extendida donde se verifica la organización / compañía del propietario y el dominio y los comodines.

Lo que hace que el precio sea diferente es:

1. Marca
2. Garantía
3. Calidad de servicio
4. Cantidad

Para la marca, el mejor ejemplo sería Digicert: emitieron certificados a marcas como Twitter, Facebook e incluso StackExchange. Para atraer a este tipo de clientes se necesita un poco de persuasión y presupuesto de marca, no hay pruebas de que tengan una mejor tecnología que nadie.

La garantía es algo así como un seguro. Por lo general, es una cantidad entre 0 y millones de dólares, básicamente le dice qué tan alto está asegurado CA cuando le vende el certificado, si ocurre algo así como una transacción fraudulenta de tarjeta de crédito y será su error, cubrirán los costos hasta altura de garantia. Con los certificados SSL estándar se vende principalmente para la compañía de CA para que puedan cobrar más al propietario, porque la tecnología de cifrado y la seguridad son las mismas, con la garantía de los certificados EV puede tener algún uso, pero generalmente cuando lee los términos y condiciones, se reirá y ver la ironía de todo.

La calidad del servicio es algo que generalmente es muy subjetivo y depende del cliente que paga. Algunas CA tienen sistemas para sus grandes clientes que pueden ayudarlo a realizar un seguimiento de sus certificados comprados, si posee o administra más de cientos de certificados, en realidad puede preferir pagar poco más y tener un mejor software de administración, tablero, opciones más amplias de facturación de tarjetas de crédito, herramientas para el mantenimiento de certificados, herramientas de informes, algunas CA incluso ofrecen consejos de seguridad para la implementación del servidor.

La cantidad hace que los precios bajen. Como CA si vende más, sus precios son más bajos, como cliente cuando compra más, puede solicitar mejores precios.