¿Son los diferentes tipos de certificados SSL un poco estafadores?

39

Estoy buscando obtener algunos certificados SSL para dominios que cubran lo siguiente:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Los certificados comodín son demasiado caros, por lo que voy a comprar un solo certificado para cada subdominio (tengo suficientes direcciones IP para todos).

Mi pregunta es, ¿qué hace que un certificado de $ 10 sea mejor que un certificado de $ 100?

Tomemos, por ejemplo, la gama de productos GeoTrust . Sé lo que es un EV (no lo necesito) y sé qué es un Secure Seal (nuestros usuarios ya confían en nosotros, así que no lo necesitan).

Pero, ¿por qué elegiría un QuickSSL por $ 69 cuando puedo obtener un RapidSSL por $ 10? La única diferencia es "Reconocimiento de marca" (Moderado a Medio) y seguro.

¿Alguien puede aclarar lo que quieren decir con "reconocimiento de marca"? Nuestros usuarios ya confían en nuestro sitio web público, y los otros dos subdominios son solo para Outlook en cualquier lugar (y, por lo tanto, no se mostrarán en un navegador).

Pregunta relevante publicada nuevamente en https://serverfault.com/questions/82039/difference-between-ssl-products

https  security-certificate 
Mark Henderson
fuente
1
Si ha comprado un costoso certificado SSL, ha ayudado a Shuttleworth a ir al espacio. ¿Cómo puede ser una estafa?
44
En los viejos tiempos de Internet, puede haber sido costoso proporcionar estos servicios. Dijeron que está pagando por el servicio para verificar su identidad. La investigación de certificados que no son de comercio electrónico en mi experiencia es trivial y espuria. Lo siento, simplemente desprecio toda esta industria SSL. Deseo que alguien cree una organización sin fines de lucro que brinde los mismos servicios.
citadelgrad
1
JasonBirch
Básicamente es como los niños más geniales de la fiesta diciendo "este tipo es legítimo" cuando un navegador les pregunta por ti. Pagas por esos niños geniales para que te acepten y hablen bien de ti. Si quieres que digan "este tipo es TOTALMENTE ÉPICO" , entonces puedes gastar más dinero. Mientras sea SHA-256 o algo similar, la validación no importa. Quizás haya 0.01% de los visitantes que verifican la autoridad de validación. Todo lo que les importa es que ven un candado verde, ya sea un candado de $ 10 o $ 1000.
dhaupin
@citadelgrad, han hecho una organización sin fines de lucro. Se llama CaCert.org. webmasters.stackexchange.com/questions/28595/…
Pacerier

Respuestas:

27

"Mi pregunta es, ¿qué hace que un certificado de $ 10 sea mejor que un certificado de $ 100?"

Por lo general, cuanto más caro es el certificado, más antigua es la empresa de certificación. Como la lista de firmantes de confianza se envía con el navegador, es posible que los navegadores antiguos no confíen en los certificados de las empresas más nuevas.

Por ejemplo, tal vez IE5 no confíe en un certificado de $ 10.

Pero eso es todo.

Thomas Bonini
fuente
8
Y el desorden confuso que muestra IE5 después de mostrar cualquier sitio web moderno que cumpla con los estándares tampoco es confiable para el usuario de una pieza de # & * $ :) +1
Tim Post
Además, para ciertos tipos de certificados, la compañía emisora ​​hace un mayor esfuerzo para verificar los detalles de la persona / compañía que lo solicita ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Si el navegador muestra que un certificado es EV y el usuario lo nota, puede tener más confianza. En mi humilde opinión no se darán cuenta.
Paulmorriss
Se perdió el punto, si un certificado es más caro, entonces está cubierto más, si su sitio web es pirateado, un certificado de 100 $ puede pagarle hasta 1 millón de dólares, mientras que un certificado de 10 $ puede no pagarle nada.
SSpoke
@Spoke, me sorprenderé si no hay fricción cuando intentas reclamar los " $ 1.5M USD ". Estos números son solo para que los reclamen los grandes, no el usuario promedio. Imagine que tuvieron una violación y tuvieron que pagar 300 mil usuarios, que suman un total de 450 mil millones. Tenga la seguridad de que sus usuarios no podrán obtener 1 millón de dólares cada uno. Consulte también los términos y condiciones en positivessl.com/ssl-warranty.php
Pacerier el
6

El otro día le pregunté lo mismo a DigiCert : ¿por qué muchos certificados son mucho más baratos que los suyos (~ $ 25 frente a ~ $ 100 por año)? Aquí está la respuesta que me dieron (en mis palabras):

Las otras compañías solo verifican su nombre de dominio (que la persona que obtiene el certificado posee el nombre de dominio) mientras que DigiCert (y otras) verifican la compañía detrás del nombre de dominio.

Esto significa que deben verificar el registro corporativo en su país para verificar que su empresa existe y que está relacionado con la empresa de alguna manera. Esto a menudo también requiere una llamada telefónica y algunas otras verificaciones. Sin esta verificación, todo lo que se requiere es una computadora para verificar el registro whois con la información ingresada.

Entonces, en mi evaluación, si va a utilizar el certificado en un sitio donde el cliente paga por algo o ingresa su información personal, entonces un certificado más costoso es mejor. Si solo está utilizando el sitio internamente (dentro de la empresa), probablemente solo necesite un certificado más barato.

Darryl Hein
fuente
DigiCert tiene un conflicto extremo en la alerta de interés (también consulte security.stackexchange.com/questions/13453/… ). El personal de soporte está cambiando la cuestión al comparar otros certificados DV de CA con sus certificados EV. Pero otras CA también ofrecen certificados EV a un precio mucho más bajo que el suyo.
Pacerier
4

"Mi pregunta es, ¿qué hace que un certificado de $ 10 sea mejor que un certificado de $ 100?"

La respuesta es nada. Un certificado es un certificado es un certificado (ya que no le importa el "Reconocimiento de marca"), por lo que sin los paquetes EV, un certificado es solo un producto básico. Esto explica la historia bastante bien.

Sin embargo, creo que el reconocimiento de marca podría ser importante para algunos usuarios, pero si está seguro de que es una fuente confiable, no me preocuparía.

plntxt
fuente
2

También existe el problema de que algunos navegadores seleccionan muchos certificados SSL perfectamente finos y los marcan como potencialmente inseguros. Esto se debe en parte a lo que dijo Darryl (mayor diligencia por parte del proveedor de SSL para confirmar quién es usted). No es que la seguridad en sí sea realmente diferente, solo pretende proporcionar una mejor capa de confianza.

También hay cosas como la capacidad de administración (puedo emitir y volver a emitir certificados para el contenido de mi corazón sin demora, lo que ha sido muy útil cuando los nombres de dominio de repente se vuelven diferentes) y otras ventajas que pueden mejorar su experiencia. Pero si la versión de $ 10 hace lo que necesita, y a sus clientes no les importa de quién es el certificado, entonces adelante.

A medida que pasa el tiempo, es posible que esté cambiando de proveedor simplemente porque el panorama de su presencia en la web está cambiando, por lo que es importante tenerlo en cuenta antes de comenzar.

Milner
fuente
2

A mediados de 2015, no he encontrado ningún estudio independiente, ni siquiera evidencia anecdótica, de que los certificados EV aumentarían la tasa de conversión o las ventas. He ampliado eso en mi respuesta a los Certificados EV SSL. ¿A alguien le importa? .

Lo que pareció disminuir el abandono del carrito de compras fueron sellos e insignias de confianza . Tales sellos de confianza vienen con la compra de un EV. Por cierto, hoy es el 4 de julio y Comodo tiene una venta de certificados EV por $ 100 en lugar de $ 500, lo que provocó esta investigación. Todavía no estoy del todo convencido de una forma u otra.

Dan Dascalescu
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.