Где я могу купить действительный сертификат SSL? [закрыто]


252

Мне нужно иметь действительный сертификат SSL, под действительным я имею в виду не самоподписанный. Я не хочу, чтобы мои клиенты имели дело с «исключением».

Сколько это стоит? Я немного растерялся, потому что я проверял Verisign, и он стоит около ~ 1000 $, в то время как я могу найти другие от 30 $.

Любые идеи? Кстати, я сейчас нахожусь во Франции, если это имеет значение.


81
Это потрясающий вопрос. Хотя это не совсем программирование, оно очень близко к программированию.
user4951

1
@JimThio, тогда проголосуй за открытие.
Pacerier

3
@JimThio Нет ничего лучше программирования, это действительно странная вещь. Это относится к некоторым программистам, но это не имеет отношения к переполнению стека. Этот вопрос определенно должен быть задан на одном из других сайтов Stack Exchange, например на веб-мастерах или в случае сбоя сервера.
Thor84no

15
Смешно, что этот пост был закрыт! Это одна из основных болевых точек для программистов.
Хаджат

2
Может ли модератор переместить это на webmasters.stackexchange.com?
Адам

Ответы:


136

Ценность сертификата в основном зависит от доверия пользователей интернета к эмитенту сертификата. С этой целью Verisign сложно победить. Сертификат сообщает клиенту, что вы тот, кем вы себя называете, и эмитент подтвердил, что это правда.

Вы можете получить бесплатный сертификат SSL, подписанный, например, StartSSL . Это улучшение самозаверяющих сертификатов, потому что ваши конечные пользователи перестают получать всплывающие окна с предупреждениями, информирующие их о подозрительном сертификате с вашей стороны. Тем не менее, при взаимодействии с вашим сайтом через https панель браузера не станет зеленой, поэтому это решение не является идеальным.

Самый дешевый SSL-сертификат с зеленой полосой обойдется вам в несколько сотен долларов, и вам нужно будет пройти процедуру подтверждения личности вашей компании, выдавшей сертификат, путем подачи соответствующих документов.


2
Я только что получил два сертификата от StartSSL сегодня. Один показывает блокировку в Safari (другой нет, как ни странно), и они оба поворачивают зеленую полосу в Chrome. Изменился ли уровень доверия с этого поста?
wjl

2
Я загрузил сертификат стартсла, и он работал с Chrome, однако в Firefox я получил сообщение «Этот сайт не является доверенным». Я понял, что вам нужен промежуточный сертификат. При установке сертификата StartSL убедитесь, что вы выполнили следующие действия: launchsl.com/?app=20 (для меня я выбрал nginx), убедитесь, что вы следуете части, касающейся промежуточного сертификата. Также вы можете дважды проверить проблемы с сертификатами здесь: sslshopper.com/ssl-checker.html , который мне очень помог.
Чейз Робертс

5
Сертификаты StartSSL НАМНОГО лучше, чем сертификаты с собственной подписью, поскольку они не заставляют браузер сообщать об ошибках безопасности.
jcoffland

3
@dasblinkenlight с точки зрения удобства использования очень важно, чтобы браузер не отображал страшные предупреждения. Что касается значения безопасности, сертификаты CA StartCom находятся в браузере пользователя, который защищает от атак «человек посередине». Самоподписанные сертификаты полностью открыты для таких атак. Существует множество уязвимостей в инфраструктуре SSL, но сертификаты от CA, поставляемого с браузером, намного более безопасны.
jcoffland

6
@dasblinkenlight, Установление доверия не является основной целью SSL-сертификата. Основная цель состоит в том, чтобы ваш трафик был надежно зашифрован держателем имени домена , так что MITM, интернет-провайдеры и еще много чего не могли перехватить ваш трафик. Это не имеет ничего общего с компаниями. Конечно, для компаний, которые не живут онлайн, «установление доверия» - это еще одна вещь, которую делает SSL.
Pacerier

125

Let's Encrypt - это бесплатный, автоматизированный и открытый центр сертификации, созданный Исследовательской группой по безопасности в Интернете (ISRG). Он спонсируется известными организациями, такими как Mozilla, Cisco или Google Chrome. Все современные браузеры совместимы и доверяют Let's Encrypt.

Все сертификаты бесплатны ( даже групповые сертификаты )! По соображениям безопасности срок действия сертификатов истекает довольно быстро (через 90 дней). По этой причине рекомендуется установить клиент ACME, который будет обрабатывать автоматическое обновление сертификата.

Существует много клиентов, которые вы можете использовать для установки сертификата Let's Encrypt:

Let's Encrypt использует протокол ACME, чтобы проверить, что вы управляете данным доменным именем, и выдать вам сертификат. Чтобы получить сертификат Let's Encrypt, вам нужно выбрать часть клиентского программного обеспечения ACME для использования. - https://letsencrypt.org/docs/client-options/


5
Я желаю, чтобы у них была поддержка IIS и Windows! :(
Хаджат

Можете ли вы использовать давайте шифровать сертификат, если вы размещаете на другом сервере? Они сказали мне, что все их бесплатные сертификаты поставляются с CSR от хост-провайдера, поэтому они бесполезны на других серверах.
FrenkyB

@FrenkyB Поиск letsencrypt и ручной режим.
Олаф Дитче

1
@Hajjat ​​См. Letsencrypt.org/docs/client-options , есть также ссылки на клиенты Windows.
Олаф Дитче

Помните, что не все клиенты (как правило, более старые версии платформ, например Windows XP, более ранние версии Java) могут доверять Lets Encrypt, поэтому сначала проверьте, выполняете ли вы установку в устаревших настройках. См. Letsencrypt.org/docs/certificate-compatibility
Дэн

87

Вы действительно задаете пару вопросов здесь:

1) Почему цена SSL-сертификатов так сильно отличается

2) Где я могу получить хорошие, дешевые SSL-сертификаты?

Первый вопрос хороший. Например, важен тип приобретаемого SSL-сертификата. Многие SSL-сертификаты проверяются только доменом, то есть компания, выдающая сертификат, проверяет только то, что вы являетесь владельцем домена. Они не проверяют вашу личность, поэтому люди, посещающие ваш сайт, могут знать, что домен имеет сертификат SSL, но это не значит, что человек, работающий с сайтом, не является, например, мошенником или фишером. Вот почему решение Verisign намного дороже - вы получаете сертификат, который не только защищает ваш сайт, но и подтверждает личность владельца сайта (ну, это требование).

Вы можете прочитать больше на эту тему здесь

По второму вопросу я могу лично порекомендовать RapidSSL . Я купил несколько сертификатов у них в прошлом, и они, ну, быстро. Тем не менее, вы должны всегда делать свои исследования в первую очередь. Вам лучше иметь дело с французской компанией, поскольку вы можете получить поддержку по местному времени и т. Д.


11
quickssl сделает вашу адресную строку зеленой?
Чови

2
Вы имеете в виду «расширенный сертификат проверки». Смотрите здесь en.wikipedia.org/wiki/Extended_Validation_Certificate
Джош Стюарт,

1
PS Я не думаю, что у Rapidssl есть сертификаты EV, но я могу ошибаться
Джош Стюарт,

1
В Chrome теперь я получаю страницу с предупреждением о ненадежном сертификате от RapidSSL.
NealJMD

1
@ Dash, Эй, когда вы рекомендуете что-то, всегда включайте стоимость этого.
Pacerier
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.