it-swarm-eu.dev

Gibt es einen technischen Sicherheitsgrund, nicht das billigste SSL-Zertifikat zu kaufen, das Sie finden können?

Beim Kauf eines grundlegenden SSL-Zertifikats für mein Blog stellte ich fest, dass viele der bekannteren Zertifizierungsstellen ein Einstiegszertifikat (mit weniger strenger Validierung der Identität des Käufers) für ca. 120 USD und mehr haben. Aber dann stellte ich fest, dass Network Solutions eines dieser unteren Zertifikate für 29,99 USD (vor 12 Stunden waren es 12,95 USD) mit einem 4-Jahres-Vertrag anbietet.

Gibt es einen technischen Sicherheitsgrund, von dem ich wissen sollte, dass ich den Kauf des Zertifikats mit dem niedrigsten Preis bereuen könnte? Sie alle versprechen Dinge wie 99% Browsererkennung usw. Ich stelle diese Frage nicht auf SE, um Dinge wie die Qualität der Unterstützung der Zertifizierungsstelle (oder deren Fehlen) oder ähnliches zu vergleichen. Ich möchte wissen, ob es einen kryptografischen oder PKI-Grund gibt. Vermeiden Sie daher ein Zertifikat, das so wenig kostet. Es sagt, wie andere auch, dass es "bis zu 256-Bit-Verschlüsselung" bietet.

140
Luke Sheppard

Für die Zwecke dieser Diskussion gibt es nur einige Unterschiede zwischen Web-Signatur-Zertifikaten:

  1. Erweiterte vs Standardvalidierung (grüner Balken).
  2. Anzahl der Bits in einer Zertifikatanforderung (1024/2048/4096).
  3. Zertifikatskette.

Es ist einfacher, Zertifikate mit einer kürzeren Vertrauenskette einzurichten, aber es gibt kostengünstige Zertifikate mit einer direkten oder nur einer Ebene tiefen Kette. Sie können die größeren 2048- und 4096-Bit-Zertifikate auch kostengünstig erwerben.

Solange Sie die erweiterte Validierung nicht benötigen, gibt es wirklich keinen Grund, sich für die teureren Zertifikate zu entscheiden.

Es gibt einen besonderen Vorteil, den die Zusammenarbeit mit einem größeren Anbieter bietet: Je mehr Hauptanbieter der Anbieter hat, desto unwahrscheinlicher ist es, dass ihm im Falle eines Verstoßes das Vertrauen entzogen wird.
Zum Beispiel ist DigiNotar ein kleinerer Anbieter, der das Pech hatte, sein Vertrauen im September 2011 widerrufen zu können.

91
Tim Brigham

Gute Sachen in anderen Antworten, lassen Sie mich einige Anmerkungen zum richtigen CA-Verhalten hinzufügen.

Wenn die Zertifizierungsstelle einen Verlauf hat

  • von mangelnder Sicherheit Durchsetzung von Richtlinien,
  • der Verletzung der "vom Browser genehmigten CA" -Vereinbarung,
  • von Signieren von Nicht-DNS-Namen mit ihrem offiziellen Stammzertifikat (wie IP-Adressen oder nicht vorhandenen DNS-Namen f.ex. bosscomputer.private),
  • von mangelnder Transparenz über sein Verhalten und seine Wiederverkäufer,

und der Endbenutzer (wie ich) prüft Ihr Zertifikat und weiß davon, was sich möglicherweise schlecht auf Sie auswirkt. Insbesondere jede CA, die eine Unterteilung von eines Unternehmens ist, das sich auch mit dem Abfangen von Verbindungen befasst .

Wenn ich USERtrust oder COMODO oder Verisign in einer Zertifikatskette sehe, bin ich nicht positiv beeindruckt.

29
curiousguy

Aus technischer Sicht ist nur die Browsererkennung von Bedeutung. Alle vertrauenswürdigen Behörden sind nahezu zu 100% abgedeckt.

Ich könnte noch mehr sagen, aber um Doppelarbeit zu vermeiden, ist hier eine nahezu identische Frage mit vielen gut begründeten Antworten: Sind alle SSL-Zertifikate gleich?

18
tylerl

In Anbetracht der neuesten NSA Enthüllungen ) würde ich sagen, dass das gesamte Konzept der kommerziellen Stammzertifizierungsstellen ist. grundlegend fehlerhaft und Sie sollten nur bei der billigsten Zertifizierungsstelle kaufen, deren Stammzertifikat in den Vertrauensketten von Browsern und Betriebssystemen installiert ist.

In der Praxis benötigen wir mehrfach verwurzelte Zertifikat-Vertrauensketten anstelle der aktuellen einfach verwurzelten Vertrauensketten. Auf diese Weise würden Sie Ihr Zertifikat einfach von mehreren (vorzugsweise antagonistischen) Regierungen unterzeichnen lassen, anstatt die wirkliche Macht der Regierungen zu ignorieren, um kommerzielle Anbieter zu "zwingen". Lassen Sie zum Beispiel Ihre Bronies vs Juggalos Cage Match-Website von den USA, Russland, China, Island und Brasilien signieren. Was mehr kosten könnte, aber wirklich die Wahrscheinlichkeit von Absprachen verringern würde.

13
LateralFractal

Unabhängig davon, mit welcher Zertifizierungsstelle Sie arbeiten, ist die Sicherheit Ihrer Benutzer, dass sie tatsächlich mit Ihrer Site kommunizieren und kein Angreifer, nur so gut wie die schlechteste Zertifizierungsstelle, der ihr Browser vertraut - ein Angreifer, der fälschen möchte Ein Zertifikat kann nach einer Zertifizierungsstelle mit schlechten Praktiken suchen. Daher sehe ich kein plausibles Argument dafür, dass Ihre Wahl der Zertifizierungsstelle die Sicherheit Ihrer Site beeinträchtigt, es sei denn, Sie wählen eine Zertifizierungsstelle, die private Schlüssel für Sie generiert, anstatt einen von Ihnen bereitgestellten Schlüssel zu signieren, oder die große Schlüsselgrößen nicht zulässt.

Abgesehen davon ist es, wie andere gesagt haben, wahrscheinlich eine gute Idee, Zertifizierungsstellen zu vermeiden, deren Mischung aus schlechten Praktiken und geringer Größe es plausibel macht, dass ihr Vertrauen von einem oder mehreren Browsern widerrufen wird, da dies die Zugänglichkeit (und die öffentliche Wahrnehmung) beeinträchtigen würde ) Ihrer Website.

Für ein Domänenvalidierungszertifikat ist nur wichtig, ob Browser das Zertifikat als vertrauenswürdig akzeptieren. Nehmen Sie also das billigste Zertifikat, dem alle Browser (oder alle Browser, die Sie interessieren) vertrauen. Es gibt keinen wesentlichen kryptografischen Grund, einen Lieferanten einem anderen vorzuziehen.

(Sie müssen natürlich mehr für ein erweitertes Validierungszertifikat bezahlen, aber das ist eine ganz andere Zertifikatsklasse. Ich denke, das wissen Sie bereits.)

10
D.W.

Sie werden bald in der Lage sein Mit Let's Encrypt. erhalten Sie Zertifikate für die niedrigen Kosten von null €.

Sie sind technisch so gut wie alle anderen (nicht erweiterte Validierung, im Grunde genommen ohne den grünen Balken in Ihren Browsern). Der Hauptpunkt ist die Fähigkeit der Browser, sie als vertrauenswürdig zu erkennen (sie werden sind ).

Der einzige Nachteil besteht darin, dass von Lets 'Encrypt ein Rückruf auf Ihre Site oder Ihr DNS erfolgt, wodurch die Generierung von Zertifikaten für interne Sites (ohne Internet) schmerzhaft (wenn nicht unmöglich) wird.

9
WoJ

Im Allgemeinen sind die beiden Dinge, die Sie wahrscheinlich weitergeben können, der EV (da dies nur das grüne Balken-Gimmick ist) und auch SGC bietet heute keinen wirklichen Vorteil (da dies nur für Browser aus den Tagen von IE5 und früher gilt).

Diese Website bietet einen guten Überblick darüber, warum SGC vermieden werden sollte: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Wenn Sie die technischen Aspekte der Zertifikatverschlüsselung ignorieren, müssen Sie Vertrauen und Reputation berücksichtigen. Wenn Sie sich nur um die Verschlüsselung des Datenverkehrs kümmern, können Sie ein einfaches selbstsigniertes Zertifikat verwenden. Wenn Sie andererseits ein Maß an Vertrauen schaffen möchten, dass Sie oder Ihre Site wirklich derjenige sind, für den sie sich ausgibt, benötigen Sie ein Zertifikat einer Zertifizierungsstelle, der die Menschen vertrauen.

Die Zertifizierungsstelle erreicht dieses Maß an Vertrauen durch die Überprüfung der Personen, an die sie Zertifikate verkaufen. Viele der billigeren Zertifikatsanbieter erzielen niedrigere Preise, indem sie ihren Betriebsaufwand reduzieren. Dies geschieht häufig durch weniger strenge Überprüfungsprozesse.

Die Frage sollte nicht "Wer ist der billigste Zertifikatanbieter?" Sein, sondern "Welcher Zertifikatanbieter hat den erforderlichen Ruf und das erforderliche Maß an Vertrauen, das Benutzer oder potenzielle Benutzer meines Dienstes akzeptieren".

P.S. Leider ist das ganze Modell bis zu einem gewissen Grad kaputt. Nur wenige Benutzer überprüfen sogar, wer die Zertifizierungsstelle ist, die das Zertifikat ausgestellt hat, und haben wenig Wissen oder Verständnis über die betreffende Autoritätskette.

6
Tim X

Aus pragmatischer Sicht für eine Site mit Benutzern vom Standardtyp ist das einzige Kriterium, das für ein SSL-Zertifikat von Bedeutung ist, "dass es von den Browsern unterstützt wird, mit denen meine Benutzer auf die Site zugreifen". Solange es so ist, ist es in Ordnung, wenn es so billig wie möglich ist.

Vor einiger Zeit war ein mögliches Unterscheidungsmerkmal, ob das Zertifikat EV SSL war oder nicht, aber um ehrlich zu sein, habe ich kein großes Bewusstsein für die Benutzer gesehen, so unwahrscheinlich, dass es das Geld wert ist.

3
Rory McCune

Das SSL-Zertifikat wird für zwei Zwecke verwendet.

  • Eine davon ist die Sicherung von Online-Transaktionen und privaten Informationen, die zwischen einem Webbrowser und einem Webserver übertragen werden.
  • Zweitens ist Vertrauen, SSL wird verwendet, um das Vertrauen der Kunden zu erhöhen. SSL ist eine sichere Sitzung Ihrer Website. Dies bedeutet, dass Ihre Kunden Ihrer Website vertrauen.

Jedes Zertifikat verfügt über einen eigenen Validierungsprozess. Nach diesem Prozess überprüft die Zertifizierungsstelle Ihre geschäftliche Zuverlässigkeit und sendet ein Zertifikat für Ihre Website.

Ein einfaches billiges SSL-Zertifikat validiert nur Ihre Domain-Berechtigung und authentifiziert sich mithilfe des genehmigenden E-Mail-Überprüfungssystems. Der Genehmigende kann dieses Zertifikat mit einer generischen E-Mail-Adresse in nur wenigen Minuten erhalten.

OV- und EV-SSL-Zertifikate, die mit dem Vertrauen des Kunden verbunden sind und durch seinen strengen Authentifizierungsprozess ein Höchstmaß an Vertrauen bieten. EV SSL validiert vielfältige Komponenten zur Identifizierung Ihrer Domain und Geschäftsinformationen. Es folgt dem manuellen Überprüfungsprozess. Während dieses Prozesses kann das System Ihr Unternehmen nicht überprüfen oder Systembeschuldigte auf mögliche falsche Handlungen hinweisen. Dann kann Ihre Bestellung zur manuellen Überprüfung anstehen.

Der Hauptunterschied zwischen Vertrauensfaktor und Markenbekanntheit: Während Ihre Kunden die grüne Adressleiste in Ihrem Browser sehen, fühlen sie sich sicherer und ermutigen zu Transaktionen. Ansonsten gibt es einige Unterschiede zwischen anderen Funktionen wie Verschlüsselung, Browserkompatibilität, Schlüssellänge, Unterstützung für Mobilgeräte usw.

Andernfalls erklärt die Zertifikatsgarantie die Unterschiede. Die Zertifizierungsstellen gewähren eine erweiterte Garantie (1.000 bis 1,75 Millionen US-Dollar) gegen die fehlerhafte Ausstellung eines SSL-Zertifikats, in der der Wert Ihrer Investition für die Sicherheit von Websites erläutert wird.

Während wir uns auf den Preis eines Zertifikats konzentrieren, spielt es keine Rolle, wo Sie Ihr Zertifikat kaufen können - Zertifizierungsstelle oder autorisierter Wiederverkäufer. Der autorisierte Reseller bietet dieselben SSL-Produkte, dieselben Sicherheitsfunktionen und besseren Support zu angemessenen Preisen.

Jason Parm ist verbunden mit SSL2BUY (Global SSL Reseller)

3
Jason Parms

Es ist ein bisschen spät, aber für andere wie mich, die im Internet nach dem zu kaufenden SSL-Zertifikat suchen, ist hier das Ergebnis meiner Forschung:

Auf der technischen Seite bieten die teuren SSL-Zertifikate ein dynamisches Siegel, dh ein dynamisches Bild, das auf einer Website angezeigt wird und die aktuelle Uhrzeit und das Datum des Ladens der Webseite anzeigt, was darauf hinweist, dass das Siegel für die Domain gültig ist, auf der es installiert ist und ist aktuell und nicht abgelaufen. Wenn Sie auf das Bild klicken, werden Informationen der Zertifizierungsstelle zum Profil der Website angezeigt, die die Legitimität der Website bestätigen. Dies gibt den Besuchern der Website ein erhöhtes Vertrauen in die Sicherheit der Website.

Ein statisches Siegel ist einfach ein statisches Grafikbild, das auf der Website platziert werden kann, um anzugeben, woher das digitale Zertifikat stammt. Es gibt jedoch keine Klickvalidierung der Website und das Bild zeigt nicht die aktuelle Uhrzeit und das aktuelle Datum an.

Auch wenn Sie teureres SSL kaufen, erhalten Sie mehr Geld für die Betrugsgarantie Ihrer Besucher, jedoch nur für den Fall, dass die Behörde einem Betrüger ein Zertifikat ausgestellt hat und ein Besucher sein Geld verloren hat, weil er glaubt, dass die Website legitim ist. Wenn Sie kein Betrüger sind, gibt es keinen Grund, sich für ein teures Zertifikat zu entscheiden, es sei denn, Sie möchten eine grüne Adressleiste anzeigen und das Vertrauen in Ihre Besucher erhöhen.

Technisch gibt es keinen anderen Unterschied

Es gibt 3 Haupttypen von SSL-Zertifikaten

Single Domain

  • Sichert sowohl WWW- als auch Nicht-WWW-Versionen Ihrer Domain
  • Beispiele: RapidSSL, Comodo Esential usw.

Platzhalter

  • Sichert alle Subdomains für eine einzelne Domain, einschließlich WWW- und Nicht-WWW-Versionen
  • Beispiele Comodo Wildcard SSL, RapidSSL Wildcard usw.

Multi Domain

  • Die meisten Zertifizierungsstellen geben 3-5 Domains mit ihrem Grundpreisplan an
  • Sie müssen pro zusätzliche Domain bezahlen. In der Regel um die 15 bis 20 US-Dollar pro Jahr und Domain
  • Beispiele Comodo Positive Multi Domain SSL

Auch 3 Arten der Domainüberprüfung

Um Ihr SSL-Zertifikat ausstellen zu lassen, muss die Zertifizierungsstelle überprüfen, ob Sie der sind, von dem Sie sagten, dass Sie es sind, als Sie das Zertifikat mit ihnen anfordern. Im Folgenden sind drei der Überprüfungsprozesse aufgeführt, die Sie beim Abrufen eines SSL durchführen müssen

1. Domain Validation

Sie müssen Ihre Domain validieren. In der Regel geschieht dies über einen URL-Link, der an eine der E-Mails in Ihrer Domain gesendet wird, oder über das Hochladen von Dateien auf Ihren Server. Dies ist bei weitem das schnellste, einfachste und billigste SSL. Die Garantie gegen Betrug mit dieser Art der Validierung beträgt bis zu 10.000 US-Dollar.

2. Organisationsvalidierung

Sie müssen eine unterstützende Dokumentation über Ihre Organisation bereitstellen, um eines dieser Zertifikate zu erhalten. Dieser Vorgang ist etwas langsamer und kann bis zu einigen Tagen dauern. Diese Art der SSL-Sicherheit ist für große E-Commerce-Websites oder Organisationen erforderlich, die vertrauliche Benutzerdaten speichern. In der Regel bieten diese Zertifikate ein dynamisches Site-Seal und eine höhere Garantie von bis zu 1.500.000 USD, abhängig vom Emittenten.

3. Erweiterte Validierung

Dies sind die vertrauenswürdigsten Zertifikate. Die Adressleiste in Ihrem Browser wird grün angezeigt und enthält den Namen Ihrer Organisation. Mit Abstand der langsamste Validierungsprozess von bis zu einer Woche, abhängig von der externen Stelle, die Ihre Daten überprüft. Sie müssen der SSL-Behörde unterstützende Dokumente wie Unternehmensgründung usw. zur Verfügung stellen, die diese an Dritte weitergeben, um deren Gültigkeit zu überprüfen. Sobald dieser Prozess erfolgreich abgeschlossen wurde, haben Sie das höchste Vertrauen und die höchste Garantie von bis zu 2.000.000 USD, abhängig vom Emittenten.

Welches Zertifikat zu kaufen

Das liegt ganz bei Ihnen. Es gibt viele Zertifizierungsstellen, die für jeden Bedarf eine Menge anbieten. Für mich ist der wichtigste Punkt, nicht auszugeben, es sei denn, Sie müssen. Das Basis-SSL-Zertifikat entspricht in etwa dem teuersten SSL auf dem Markt.

Hier sind einige nützliche Links

Zertifizierungsstellen

Einige der billigsten Wiederverkäufer

2
Pancho

DV sollte für die meisten Browser ausreichen

Der Artikel " Risiken verstehen und FUD vermeiden " über Unmitigated Risk erwähnt drei Sicherheitsstufen von Zertifikaten, die von einer Zertifizierungsstelle unterzeichnet wurden. Zu diesen drei werde ich zwei niedrigere Sicherheitsstufen hinzufügen, die ohne ein CA-signiertes Zertifikat möglich sind. Dies macht insgesamt fünf Stufen der HTTP-Sicherheit zu berücksichtigen:

  1. Kein TLS (http:)
  2. TLS mit einem selbstsignierten Zertifikat oder einem ansonsten unbekannten Aussteller
  3. TLS mit domänenvalidiertem (DV) Zertifikat eines bekannten Ausstellers (Organisation nicht Teil des Zertifikats)
  4. TLS mit organisationsvalidiertem (OV) Zertifikat eines bekannten Ausstellers (Organisationsname im Zertifikat)
  5. TLS mit erweitertem Validierungszertifikat eines bekannten EV-Ausstellers (Name und Adresse der Organisation im Zertifikat)

Zertifikate, die Sie von einer kommerziellen Zertifizierungsstelle kaufen, sind 3, 4 oder 5. Die meisten Webbrowser erlauben alle bis auf 2 ohne Zwischenwarnung, obwohl 2 besser als 1 gegen passive Angriffe resistent ist. Die allgemein geäußerte Begründung ist, dass ein https: URI mit einer unbekannten CA gibt ein falsches Sicherheitsgefühl, insbesondere gegen einen Mann in der Mitte, während ein http: URI vermittelt ein echtes Gefühl der Unsicherheit.

Aber DV kann Comodo Dragon-Benutzer erschrecken

Eine Minderheit der Benutzer verwendet jedoch einen Webbrowser, der auch vor 3 warnt. Wenn ein Benutzer von Comodo Dragon eine HTTPS-Site besucht, die ein DV-Zertifikat verwendet, wird ein anderes Schlosssymbol mit einem Warndreieck angezeigt, das dem Symbol "gemischter passiver Inhalt" ähnelt. Außerdem wird vor dem Anzeigen der Site ein Interstitial-Warnbildschirm angezeigt. Diese Warnung ähnelt der Anzeige eines Browsers für ein selbstsigniertes Zertifikat. Der Text beginnt wie folgt:

Es ist möglicherweise nicht sicher, Informationen mit dieser Site auszutauschen

Das Sicherheitszertifikat (oder SSL-Zertifikat) für diese Website weist darauf hin, dass die Organisation, die sie betreibt, möglicherweise keiner vertrauenswürdigen Überprüfung durch Dritte unterzogen wurde, dass es sich um ein legitimes Unternehmen handelt.

Dies soll Angreifer stoppen, die eine Domain registrieren bankofamerrica.example für "Banko Famer Rica", stellen Sie farblich legitimen Inhalt über Costa Rica bereit, erhalten Sie ein DV-Zertifikat für diese Domain und ändern Sie es dann in eine Site, die sich als Bank of America ausgibt. Es ist auch beabsichtigt, einen Angreifer zu stoppen, der eine Domain kompromittiert, eine von ihm kontrollierte Subdomain hinzufügt und ein DV-Zertifikat für diese Subdomain erhält. Ein solcher Fall ist im Dezember 2015 passiert, als die kostenlose DV CA Let's Encrypt online ging. Es wurde jedoch festgestellt, dass diese Meldung angezeigt wird auch für Facebook .

Um Benutzer von Dragon nicht zu erschrecken, müssen Sie DV-Zertifikate vermeiden. Sie müssen jedoch kein EV-Zertifikat kaufen. Erstellen Sie einfach eine Liste der Zertifizierungsstellen, die bereit sind, Ihrem Unternehmen ein OV-Zertifikat zu verkaufen, dessen Stammzertifikat in allen gängigen Browsern vorhanden ist. Dann gibt es keinen technischen Sicherheitsgrund, nicht den billigsten zu kaufen.

Wenn Sie Ihr Blog als Einzelperson betreiben, können Sie sich möglicherweise nicht für ein OV-Zertifikat einer Zertifizierungsstelle qualifizieren. In diesem Fall müssen Sie nur mit der Warnung in Dragon leben und können einfach ein billiges DV-Zertifikat wie das von StartSSL, WoSign oder Let's Encrypt verwenden.

2
Damian Yerrick

Ich möchte hinzufügen, dass die Technologie mit der 256-Bit-Verschlüsselung identisch ist, Sie jedoch auch für die folgenden Faktoren bezahlen:

Validierungsstufe - Dies ist die Anzahl der Überprüfungen, die der Emittent durchführt, um Ihr Unternehmen oder Ihre Website zu überprüfen

Anzahl der Domains - Für wie viele Domains ist dieses Zertifikat gültig

Vertrauensstufe - Wie oben erwähnt, können Sie für verschiedene Validierungsarten bezahlen, bei denen die Benutzer mehr "vertrauenswürdig" sind, daher der Preisunterschied

0
DomainsFeatured