¿Cuáles son los beneficios de un certificado SSL más caro?


30

He estado comparando precios de diferentes certificados SSL y he encontrado una gran diferencia en los precios entre diferentes proveedores.

Si tomamos http://www.namecheap.com/learn/other-services/ssl-certificates.asp como ejemplo, ¿cuál sería la ventaja de obtener el certificado Geotrust por $ 48.88 / año sobre la opción RapidSSL $ 9.95 / año ?



2
puede obtener un SSL de dominio gratuito de 1 año en startcom.org, si el navegador confía en el certificado raíz, mostrará el candado, busque uno barato o gratis.
ollybee

Respuestas:


21

Unas pocas cosas. En teoría , se supone que los proveedores de SSL mejores y más caros deben validar quién es usted de alguna manera y garantizar su identidad. Esto requiere tiempo y esfuerzo manual y, por lo tanto, cuesta más.

Tradicionalmente, la validación manual (como la utilizada por VeriSign, Thawte, Entrust) ha sido engorrosa, larga y costosa para el proveedor de SSL y, por lo tanto, para el comprador. La validación automática (tal como la utilizan GeoTrust y GoDaddy) es más rápida y rentable, pero no proporciona el nivel de seguridad esperado por los consumidores que confían en SSL: por ejemplo, los certificados QuickSSL de GeoTrust solo validan el derecho del solicitante a usar un nombre de dominio y no La legitimidad de la propia empresa.

También hay un nuevo tipo de certificado SSL que hace una "validación extendida" y es MUCHO más costoso.

https://www.verisign.com/ssl/ssl-information-center/ev-ssl-certificate/index.html

Un Certificado EV SSL brinda a los clientes más confianza de que están interactuando con un sitio web confiable y de que su información es segura. Un Certificado SSL EV activa los navegadores web de alta seguridad para mostrar el nombre de su organización en una barra de dirección verde y mostrar el nombre de la Autoridad de Certificación que lo emitió.

Los proveedores de SSL más baratos hacen poca o ninguna validación de identidad, lo que puede o no ser importante para usted (o sus usuarios).

Honestamente, cuando usamos SSL es para el cifrado, no para una red de confianza.

(Una razón válida para pagar un certificado SSL más caro es cuando se trata de un comodín, por lo que funciona en todos *.example.comlos sitios web de dominio que pueda tener. Los certificados SSL normales solo son válidos para una dirección específica).


66
Sí, una vez buscamos obtener un certificado SSL comodín, pero a menos que necesite SSL en docenas de subdominios, no vale la pena. Francamente, los certificados comodín son un poco estafadores. No requiere más trabajo de la CA y es similar a los servidores web que cobran extra por subdominios. Además, para la mayoría de los webmasters, la mayor consideración al elegir una CA debe ser si es reconocida por todos los principales navegadores. Después de todo, puede usar un certificado autofirmado si solo desea el cifrado, pero la mayoría de las personas no quieren que sus clientes se asusten con advertencias de "CA no confiables".
Lèse majesté

1
@JeffAtwood, tenga cuidado de citar los sitios web de CA con respecto a los certificados. El conflicto de intereses extremo es muy real aquí. Un gran número de sitios de CA tienen mala información con respecto a los certificados . Es mejor confiar en fuentes de analistas / investigadores / ingenieros de seguridad independientes. Ver también webmasters.stackexchange.com/a/55855/7654
Pacerier

De hecho, es un poco loco que CA haya podido impulsar la intención de un cifrado seguro sin intermediarios a un nivel de "esta es una empresa jodidamente buena y segura" para permitirles imprimir más dinero que Ben Bernenke lo hizo. Ah, sí, y los comodines son más caros, por supuesto, 50 dólares por cada uno de los 2 bytes adicionales.
Lothar

8

En términos de seguridad no hay ninguna diferencia.

Lo que realmente compra es la verificación de la compañía de certificación que convence a sus clientes de que es confiable. Es por eso que Verisign vende los mismos servicios por x10 la cantidad de otros.

También en los certificados de mayor precio hay un nivel adicional de verificación (donde necesita enviar documentos de verificación de la compañía, hay una verificación para el propietario del dominio si las credenciales coinciden, etc.). Y, por lo general, le dan un banner más elegante para poner en su sitio web.

También existen los Certificados de validación extendida (EV) donde la mayoría de los navegadores hacen que la barra de direcciones sea verde e identifique claramente su sitio web / empresa.


2

Solo agregaré un comentario sobre los requisitos estándar de comercio electrónico que a menudo aparece.

Siempre que un certificado SSL sea actual y tenga al menos 128 bits (y prefiera usar TLSv1.1, que será necesario para 2018), entonces es aceptable según los estándares australianos PCI-DSS (comercio electrónico) y la mayoría de los estándares de comercio electrónico en otros lugares, aunque necesitaría para consultar con su organismo local de normas.

Y, por supuesto, si es de una CA de confianza (Versign, Comodo, LetsEncrypt, Cloudflare, CAcert, Starcom, Wosign, etc.), el navegador lo acepta automáticamente sin requerir confirmación.


1

No hay más diferencia entre GeoTrust y RapidSSL porque hay un propósito común para proteger los datos de su sitio web mediante un Certificado SSL.

Pero RapidSSL es para el certificado de sitio web de nivel de entrada y GeoTrust es para garantizar al cliente que sus datos están seguros bajo el certificado SSL.

Cuando lo compra en el sitio oficial es muy costoso, pero si elige un revendedor, obtendrá el mismo certificado SSL a precios muy bajos.


Usted dice "Pero RapidSSL es para el certificado de sitio web de nivel de entrada", pero eso es solo repetir el marketing falso y entrar en conflicto con su propia respuesta. No hay nada técnico en RapidSSL que lo haga inferior. La única diferencia es el reconocimiento de marca, pero diría que entre los dos es insignificante.
ColinM
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.