it-swarm-eu.dev

Existuje nějaký technický bezpečnostní důvod, proč koupit nejlevnější SSL certifikát, který můžete najít?

Při nakupování základního certifikátu SSL pro můj blog jsem zjistil, že mnoho známějších certifikačních autorit má vstupní certifikát (s méně přísným ověřením totožnosti kupujícího) přibližně za 120 USD a více. Ale pak jsem zjistil, že Network Solutions nabízí jeden z těchto spodních konců za 29,99 $ (před 12 hodinami to bylo 12,95 $) se čtyřletou smlouvou.

Existuje nějaký technický bezpečnostní důvod, o kterém bych měl vědět, že by mě to mrzilo, kdybych koupil certifikát nejnižší úrovně? Všichni slibují věci, jako je například 99% rozpoznání prohlížeče atd. Tuto otázku na SE neptám na srovnání věcí, jako je kvalita podpory CA (nebo její nedostatek) nebo něco podobného. Chci vědět, jestli existuje nějaký kryptografický nebo PKI důvod, takže se vyhněte certifikátu, který stojí tak málo. Stejně jako ostatní říká, že nabízí „až 256bitové šifrování“.

140
Luke Sheppard

Pro účely této diskuse existuje pouze několik rozdílů mezi certifikáty webového podpisu:

  1. Rozšířená vs. standardní validace (zelená lišta).
  2. Počet bitů v žádosti o certifikát (1024/2048/4096).
  3. Řetěz certifikátů.

Je snazší nastavit certifikáty s kratším řetězcem důvěryhodnosti, ale existují levné certy s přímým nebo pouze jedním stupněm hlubokého řetězce. Můžete také získat větší 2048 a 4096 bitů certs levně.

Pokud nepotřebujete rozšířenou validaci, není opravdu důvod jít s dražšími certifikáty.

Existuje jedna konkrétní výhoda, kterou poskytuje větší prodejce - čím je hlavní produkt dodavatele, tím menší je pravděpodobnost, že bude jeho důvěra v případě narušení zrušena.
Například DigiNotar je menší prodejce, který byl natolik nešťastný, že jeho důvěra mohla být v září 2011 odvolána.

91
Tim Brigham

Dobré věci v dalších odpovědích, dovolte mi doplnit několik poznámek o správném chování CA.

Pokud má CA historii

  • nedostatek bezpečnosti vymáhání politiky,
  • dohody porušení dohody o CA schválenou prohlížečem,
  • of podpis názvů jiných než DNS pomocí jejich oficiálního kořenového certifikátu (jako jsou adresy IP nebo neexistující názvy DNS f.ex. bosscomputer.private),
  • nedostatek průhlednosti o jeho chování a prodejcích,

a koncový uživatel (jako já) zkontroluje váš certifikát a ví o tom, co by se na vás mohlo špatně projevit. Obzvláště jakýkoli CA, který je podskupinou společnost také v oboru zachycování spojení.

Když vidím v řetězci certifikátů USERtrust nebo COMODO nebo Verisign, nejsem na mě nijak pozitivně překvapen.

29
curiousguy

Z technického hlediska je důležitá pouze rozpoznávání prohlížečů. A všechny důvěryhodné úřady mají téměř 100% pokrytí.

Mohl bych říct víc, ale abych se vyhnul duplicitě, je zde téměř identická otázka se spoustou dobře odůvodněných odpovědí: Jsou všechny certifikáty SSL stejné?

18
tylerl

Ve světle nejnovější NSA odhalení , řekl bych, že celý koncept komerčních kořenových CA je v zásadě vadný a měli byste si koupit pouze od nejlevnější CA, jejíž kořenový certifikát je nainstalován v řetězcích důvěryhodnosti prohlížeče a operačního systému.

V praxi potřebujeme vícenásobně zakořeněné důvěryhodné řetězce certifikátů namísto současných jednotlivě zakořeněných důvěryhodných řetězců. Tímto způsobem, místo ignorování skutečné moci vlád "donutit" komerční poskytovatelé - jednoduše byste dostali svůj certifikát podepsaný několika (nejlépe antagonistickými) vládami. Například, nechte svůj Bronies vs Juggalos web pro zápas v kleci podepsaný USA, Ruskem, Čínou, Islandem a Brazílií. Což by mohlo stát více, ale opravdu snižuje pravděpodobnost tajné dohody.

13
LateralFractal

Bez ohledu na to, s jakou certifikační autoritou jdete, ujištění vašich uživatelů, že skutečně komunikují s vašimi stránkami a ne útočníkem, je pouze tak dobré jako nejhorší CA, které jejich prohlížeč důvěřuje - útočník, který chce falšovat certifikát může nakupovat pro CA se špatnými postupy. Nevidím tedy žádný hodnověrný argument, že vaše volba certifikačního úřadu má vliv na zabezpečení vašeho webu, pokud nevyberete certifikační autoritu, která pro vás generuje soukromé klíče, než aby podepsala poskytovaný klíč nebo která zakáže velké velikosti klíčů.

Kromě toho, jak již uvedli ostatní, je asi dobrý nápad vyhnout se CA, jejichž kombinace špatných postupů a malých rozměrů umožňuje věrohodnost, že jejich důvěru může jeden nebo více prohlížečů odvolat, protože by to mělo dopad na dostupnost (a veřejné vnímání) ) vašeho webu.

U certifikátu ověření domény je důležité pouze to, zda prohlížeče certifikát považují za důvěryhodný. Vezměte tedy nejlevnější certifikát, kterému důvěřují všechny prohlížeče (nebo všechny prohlížeče, na kterých vám záleží). Neexistuje žádný významný kryptografický důvod preferovat jednoho dodavatele před jiným.

(Za rozšířený ověřovací certifikát budete samozřejmě muset platit více, ale je to úplně jiná třída certifikátů. Myslím, že už to víte.)

10
D.W.

Brzy to dokážete Certifikáty můžete získat za nízkou cenu 0 EUR s Pojďme se zašifrovat

Jsou technicky stejně dobré jako jakékoli jiné (neprodloužené ověření, v podstatě bez zeleného pruhu ve vašem prohlížeči), přičemž hlavním bodem je schopnost prohlížečů rozpoznat ji jako důvěryhodnou ( vůle jso ).

Jedinou nevýhodou je, že existuje zpětné volání z Lets 'Encrypt na vaše stránky nebo DNS, což způsobuje, že generování certifikátů je bolestivé (pokud ne nemožné) pro interní (ne-internetové) weby.

9
WoJ

Obecně jsou dvě věci, které pravděpodobně můžete předat, EV (protože to je jen zelený pruhový trik) a také SGC neposkytuje skutečný skutečný přínos dnes (protože se vztahuje pouze na prohlížeče od dnů IE5 a dřívějších)

Tento web poskytuje dobrý přehled o tom, proč se vyhnout SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Bez ohledu na technické aspekty šifrování certifikátů je třeba zvážit důvěru a pověst. Pokud se zajímáte pouze o šifrování provozu, můžete použít jednoduchý certifikát s vlastním podpisem. Na druhou stranu, pokud chcete dosáhnout takové úrovně důvěry, že vy nebo váš web skutečně je tím, kdo/co tvrdí, je potřeba certifikát od certifikační autority, které lidé důvěřují.

CA dosáhne této úrovně důvěry prověřením lidí, kterým certifikáty prodávají. Mnoho levnějších poskytovatelů certifikátů dosahuje svých nižších cen snížením provozních režijních nákladů, což se často děje prostřednictvím méně přísných procesů prověrky.

Otázka by neměla být „Kdo je nejlevnější poskytovatel certifikátů“, ale spíše „Který poskytovatel certifikátů má potřebnou pověst a úroveň důvěryhodnosti, kterou budou akceptovat uživatelé nebo potenciální uživatelé mé služby“.

P.S. Bohužel, do jisté míry je celý model stejně zlomen. Jen málo uživatelů dokonce zkontroluje, kdo je CA, který vydal certifikát, a má jen malou znalost nebo porozumění řetězci příslušných autorit.

6
Tim X

Z pragmatického hlediska pro web s uživateli standardního typu je pro certifikát SSL důležité pouze „je to podporováno prohlížeči, který moji uživatelé použijí pro přístup k webu“. Pokud je to tak, jste v pohodě s tím, že je co nejlevnější.

Před nějakou dobou byl potenciálním rozlišovatelem, zda byl certifikát EV SSL, nebo ne, ale abych byl upřímný, neviděl jsem o tom velké uživatelské povědomí, takže je nepravděpodobné, že by za to stálo.

3
Rory McCune

Certifikát SSL se používá pro dva účely.

  • Jedním z nich je zabezpečení online transakcí a soukromých informací, které jsou přenášeny mezi webovým prohlížečem a webovým serverem.
  • Druhým je Trust, SSL se používá pro zvýšení důvěry zákazníků. SSL prokazuje bezpečnou relaci vašeho webu, což znamená důvěru vašich zákazníků na váš web.

Každý certifikát má vlastní proces ověření a po tomto procesu certifikační autorita ověří vaši obchodní spolehlivost a pošle certifikát pro váš web.

Základní levný certifikát SSL ověřuje pouze vaše oprávnění domény a ověřuje se pomocí systému ověřování e-mailů schvalovatele. Schvalovatel může snadno získat tento certifikát během několika minut pomocí obecné e-mailové adresy.

Certifikáty OV a EV SSL propojené s důvěrou zákazníka a díky přísnému procesu ověřování poskytují nejvyšší úroveň důvěry. EV SSL ověřuje různé komponenty identifikace vaší domény a obchodních informací. Sleduje proces ručního ověření a během tohoto procesu systém neprovede ověření nebo obhájí vaši firmu kvůli možnému nesprávnému jednání, pak může být vaše objednávka uspořádána pro ruční kontrolu.

Hlavní rozdíl v faktoru důvěry a pověsti značky, zatímco vaši zákazníci vidí zelený adresový řádek v prohlížeči, cítí se bezpečnější a povzbuzují k provádění transakcí. Jinak některé rozdíly mezi dalšími funkcemi, jako je šifrování, kompatibilita prohlížeče, délka klíče, podpora mobilních zařízení atd.

Jinak záruka na záruky vysvětluje rozdíly. Certifikační autority poskytují rozšířenou záruku ($ 1K na $ 1,75M) proti nesprávnému vydání certifikátu SSL, který vysvětluje hodnotu vaší investice pro zabezpečení webových stránek.

I když se zaměřujeme na cenu certifikátu, nezáleží na tom, kde si můžete certifikát zakoupit - certifikační autorita nebo autorizovaný prodejce. Autorizovaný prodejce nabízí stejné produkty SSL, stejné bezpečnostní funkce, lepší podporu za rozumnou cenu.

Jason Parm je spojen s SSL2BUY (Global SSL Reseller)

3
Jason Parms

Je trochu pozdě, ale pro jiné, jako jsem já, prohledávání webu, abychom zjistili, jaký certifikát SSL koupit, a zde je výsledek mého výzkumu:

Na technické straně nabízejí drahé certifikáty SSL dynamickou pečeť, což znamená dynamický obrázek zobrazený na webu, který ukazuje aktuální čas a datum, kdy byla webová stránka načtena, což naznačuje, že pečeť je platná pro doménu, na které je instalována, a je aktuální a nevypršela. Po kliknutí na obrázek se zobrazí informace od certifikační autority o profilu webové stránky, který ověřuje legitimitu webové stránky. To umožní návštěvníkům webu zvýšit důvěru v zabezpečení webu.

Statická pečeť je jednoduše statický grafický obrázek, který lze umístit na webovou stránku, aby bylo možné zjistit, odkud byl digitální certifikát získán, avšak neexistuje žádná prokliková validace webové stránky a obrázek neukazuje aktuální čas a datum.

Také, pokud kupujete dražší SSL, získáte více peněz v záruce na podvod pro své návštěvníky, ale pouze v případě, že úřad vydal certifikát podvodníkovi a návštěvník přišel o peníze, protože věří, že web je legitimní. Pokud nejste podvodník, není důvod, proč byste měli jít o drahý certifikát, pokud nechcete, aby se zobrazoval zelený adresní řádek a zvyšovala důvěra vašich návštěvníků.

Technicky není žádný jiný rozdíl

Existují 3 hlavní typy SSL certifikátů

Jedna doména

  • Zabezpečuje verzi vaší domény www i mimo www
  • Příklady: RapidSSL, Comodo Esential atd.

Zástupný znak

  • Zabezpečuje všechny subdomény pro jednu doménu, včetně verzí www a non-www
  • Příklady Comodo Wildcard SSL, RapidSSL Wildcard atd.

Více domén

  • Většina certifikačních autorit dává 3-5 domén se základním cenovým plánem
  • Musíte platit za další doménu. Obvykle kolem 15–20 $/rok na doménu
  • Příklady Comodo Pozitivní vícedoménový SSL

Také 3 typy ověření domény

Aby bylo možné vydat váš SSL certifikát, musí certifikační autorita ověřit, že jste tím, kým jste s ním požádali o certifikát. Toto jsou 3 z ověřovacích procesů, které musíte projít při získávání SSL

1. Ověření domény

Musíte ověřit svou doménu. Obvykle se to děje prostřednictvím odkazu URL zaslaného na jeden z e-mailů ve vaší doméně nebo nahráním souboru na váš server. Jedná se zdaleka o nejrychlejší, nejjednodušší a nejlevnější SSL. Záruka proti podvodům s tímto typem ověření je až 10 000 $.

2. Ověření organizace

Chcete-li získat jeden z těchto certifikátů, musíte poskytnout podpůrnou dokumentaci o své organizaci. Tento proces je o něco pomalejší a může trvat až několik dní. Tento typ zabezpečení SSL je vyžadován pro velké weby nebo organizace elektronického obchodování, které ukládají citlivá uživatelská data. Tyto certifikáty obvykle nabízejí dynamickou pečeť na webu a nabízejí vyšší záruku až 1 500 000 USD v závislosti na emitentovi.

3. Rozšířená validace

Jedná se o nejdůvěryhodnější certifikáty a v adresáři prohlížeče v zelené barvě s názvem vaší organizace. Zdaleka nejpomalejší proces ověřování až týdne, v závislosti na externím orgánu, který ověřuje vaše údaje. Budete muset předložit podpůrné dokumenty úřadu SSL, jako je založení společnosti atd. A předají je třetí straně, aby ověřili její platnost. Jakmile bude tento proces úspěšně dokončen, získáte nejvyšší důvěru a záruku až 2 000 000 USD v závislosti na emitentovi.

Jaký certifikát koupit

To je vše na vás. Existuje spousta certifikačních autorit, které nabízejí hodně pro každou potřebu. Pro mě je hlavní místo utrácet, pokud musíte. Základní SSL certifikát bude do značné míry stejný jako nejdražší SSL na trhu.

Zde je několik užitečných odkazů

Certifikační autority

Někteří z nejlevnějších prodejců

2
Pancho

DV by mělo stačit pro většinu prohlížečů

Článek " Porozumění rizikům a vyhýbání se FUD " on Unmitigated Risk zmiňuje tři úrovně jistoty certifikátů podepsaných certifikační autoritou. K těmto třem přidám dvě nižší možné úrovně zabezpečení bez certifikátu podepsaného CA. Díky tomu je třeba zvážit celkem pět úrovní zabezpečení HTTP:

  1. Žádné TLS (http:))
  2. TLS s certifikátem, který je podepsán sám sebou nebo od jinak neznámého emitenta
  3. TLS s doménou ověřeným (DV) certifikátem od známého vydavatele (organizace, která není součástí certifikátu)
  4. TLS s certifikací OV (OV) od známého emitenta (název organizace v certifikátu)
  5. TLS s certifikátem Extended Validation od známého vydavatele EV (název organizace a adresa v certifikátu)

Certifikáty, které si zakoupíte od komerčních CA, budou 3, 4 nebo 5. Většina webových prohlížečů umožňuje všem kromě 2 bez intersticiálního varování, i když 2 je lepší než 1 v odolnosti vůči pasivním útokům. Obecně vyjádřeným důvodem je, že URI https: S neznámou CA dává falešný pocit bezpečí, zejména proti muži uprostřed, zatímco URI http: Dává skutečný pocit nejistoty.

DV však může vyděsit uživatele Comodo Dragon

Menšina uživatelů však používá webový prohlížeč, který varuje také na 3. Když uživatel Comodo Dragon navštíví web HTTPS, který používá certifikát DV, zobrazí jiná ikona zámk s výstražným trojúhelníkem, který se podobá ikoně „smíšeného pasivního obsahu“. Před zobrazením webu zobrazí také intersticiální varovná obrazovka . Toto varování se podobá tomu, jaké prohlížeče se zobrazují pro certifikát s vlastním podpisem, a jeho text začíná takto:

Výměna informací s tímto webem nemusí být bezpečná

Certifikát zabezpečení (nebo SSL) pro tento web označuje, že organizace, která jej provozuje, nemusí podstoupit důvěryhodné ověření třetí strany, že se jedná o legitimní firmu.

Účelem je zastavit útočníky, kteří zaregistrují doménu bankofamerrica.example Pro banko Famer Rica, uvedou barevně legitimní obsah o Kostarice, získají certifikát DV pro tuto doménu a poté jej změní na web, který zosobňuje banku Ameriky. Účelem je také zastavit útočníka, který ohrožuje doménu, přidá subdoménu, kterou ovládá, a získá certifikát DV pro tuto subdoménu. Jeden takový případ se stalo v prosinci 2015, jakmile začal bezplatný DV CA Let's Encrypt. Bylo však vidět tuto zprávu zobrazit i pro Facebook .

Chcete-li vyděsit uživatele Dragon, musíte se vyhnout DV certifikáty. Nemusíte si ale kupovat certifikát EV. Stačí vytvořit seznam CA, které jsou ochotny prodat vaší organizaci certifikát OV, jehož kořenový certifikát je ve všech hlavních prohlížečích. Pak neexistuje žádný technický bezpečnostní důvod, proč si nekoupit ten nejlevnější.

Pokud provozujete svůj blog jako jednotlivec, nemusíte mít nárok na certifikát OV od žádné CA. V takovém případě musíte žít s varováním v Dragonovi a můžete prostě jít s levným DV certifikátem, jako je ten, který nabízí StartSSL, WoSign nebo Let's Encrypt.

2
Damian Yerrick

Chtěl bych dodat, že zatímco technologie je stejná s 256bitovým šifrováním, platíte také za následující faktory:

Úroveň ověření - to je množství kontrol, které emitent provede, aby ověřil vaši společnost nebo web

Počet domén - kolik domén bude tento certifikát platný

Úroveň důvěryhodnosti - jak již bylo uvedeno výše, můžete platit za různé typy ověření, přičemž uživatelé jsou „důvěryhodní“ více uživateli, takže rozdíl v cenách

0
DomainsFeatured