Как решить, где купить подстановочный SSL-сертификат?

Недавно мне нужно было приобрести SSL-сертификат с подстановочными знаками (потому что мне нужно защитить несколько поддоменов), и когда я впервые искал, где купить его, я был ошеломлен количеством вариантов, заявками на маркетинг и ценовым диапазоном. Я создал список, чтобы помочь мне увидеть пропущенные маркетинговые уловки, которые подавляющее большинство центров сертификации (CA) распространяют по всем своим сайтам. В конце концов, мой личный вывод заключается в том, что в основном важны только цена и приятность веб-сайта CA.

Вопрос: Помимо цены и хорошего веб-сайта, есть ли что-то, что заслуживает моего внимания при принятии решения о том, где купить SSL-сертификат с подстановочными знаками?

Я полагаю, что при принятии решения о том, где приобретать SSL-сертификат с подстановочными знаками, важными являются только стоимость SSL-сертификата в течение первого года и приятность веб-сайта продавца (т. Е. Пользовательского опыта) для покупки и настройки сертификата. ,

Я знаю следующее:

• Требования о гарантиях (например, 10 000 долл. США, 1,25 млн. Долл. США) являются маркетинговыми уловками - эти гарантии защищают пользователей данного веб-сайта от возможности того, что ЦС выдаст сертификат мошеннику (например, фишинговому сайту), и в результате пользователь потеряет деньги ( но спросите себя: кто-то тратит / теряет $ 10K или больше на вашем мошенническом сайте? о, подождите, вы не мошенник? нет смысла.)

• Для активации вашего SSL-сертификата необходимо создать закрытый ключ 2048-bitCSR ( запрос на подпись сертификата). Согласно современным стандартам безопасности использование кодов CSR с размером закрытого ключа менее 2048 битов не допускается. Узнайте больше здесь и здесь .

• Требования 99+%, 99.3%или 99.9%браузер совместимости / устройства.

• Претензии быстрой выдачи и простота установки .

• Приятно иметь гарантию возврата денег (обычно 15 и 30 дней).

30 мая 2018 года был обновлен следующий список базовых цен SSL-сертификатов (не продажи), а также органов по выдаче и посредников:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Обратите внимание, что DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity и SSL2BUY являются посредниками, а не центрами сертификации.

Namecheap предлагает на выбор Comodo / PostiveSSL и Comodo / EssentialSSL (хотя между ними нет никакой технической разницы, только брендинг / маркетинг - я спросил об этом и Namecheap, и Comodo - тогда как EssentialSSL стоит на несколько долларов больше (100 долларов США против 94 долларов США) ). DNSimple перепродает EssentialSSL Comodo, который, опять же, технически идентичен PositiveSSL Comodo.

Обратите внимание, что SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap и DNSimple предоставляют не только самые дешевые сертификаты с подстановочными знаками SSL, но и имеют наименьшие маркетинговые уловки из всех просмотренных мной сайтов; и DNSimple, похоже, не имеет никаких хитростей. Вот ссылки на самые дешевые сертификаты на 1 год (поскольку я не могу ссылаться на них в таблице выше):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

По состоянию на март 2018 года Let's Encrypt поддерживает групповые сертификаты . DNSimple поддерживает сертификаты Let's Encrypt.

Еще один момент, который следует учитывать, - переиздание сертификатов .

Я действительно не понимал, что это значит, пока не появилась сердечная ошибка . Я предполагал, что это означает, что они дадут вам вторую копию вашего оригинала сертификата, и я подумал, насколько дезорганизованным должен быть этот сервис. Но оказывается, что это не значит, что: по крайней мере, некоторые поставщики будут с радостью ставить новый открытый ключ, если это происходит в течение срока действия исходного сертификата. Я предполагаю, что они затем добавят ваш оригинальный сертификат в какой-то CRL, но это хорошо.

Причины, по которым вы захотите это сделать, состоят в том, что вы испортили или потеряли свой оригинальный закрытый ключ или каким-то образом утратили исключительный контроль над этим ключом, и, конечно, обнаружение всемирной ошибки в OpenSSL, которая повышает вероятность того, что ваш закрытый Ключ был извлечен враждебной стороной.

С разбитым сердцем я расцениваю это как определенно хорошую вещь, и теперь присматриваю за ней в будущих покупках сертификатов.

Хотя цена, вероятно, является ключевой проблемой, другие проблемы - это доверие к поставщику , принятие браузера и, в зависимости от уровня вашей компетенции, поддержка процесса установки (более серьезная проблема, чем кажется, особенно если что-то идет не так).

Стоит отметить, что многие провайдеры принадлежат одним и тем же топовым игрокам - например, Thawte и Geotrust, и я полагаю, что все Verisign принадлежат Symantec - однако сертификаты Thawte намного дороже, чем Geotrust, поскольку причина.

С другой стороны, сертификат, выданный StartSSL (который я не стучу, я думаю, что его модель крутая), не так хорошо поддерживается в браузере и не имеет такого же уровня доверия, как крупные игроки. Если вы хотите нанести «плацебо» на свой сайт, иногда стоит обратиться к более крупному игроку - хотя для сертификатов с подстановочными знаками это имеет гораздо меньшее значение, чем для сертификатов EV.

Как заметил кто-то другой, другим отличием может быть «черепок», связанный с сертификатом - я знаю, что сертификаты Thawte EV мне ранее давали указание получать только для использования на одном сервере , а Geotrust - позже. убедить руководство заменить их не только дешевле, но и не имело этого ограничения - совершенно произвольного ограничения, наложенного Thawte.

Вы должны выбрать SSL-сертификат Wildcard в зависимости от ваших требований безопасности.

Перед покупкой SSL-сертификата Wildcard вы должны знать о нескольких факторах, упомянутых ниже

1. Репутация бренда и уровень доверия: согласно недавнему опросу W3Techs о центрах сертификации SSL, Comodo обогнал Symantec и стал самым надежным центром сертификации с долей рынка 35,4%.

2. Типы Функции или Wildcard SSL: Центры сертификации SSL, такие как Symantec, GeoTrust и Thawte, предлагают Wildcard SSL Certificate с проверкой бизнеса. Это привлекает больше посетителей и увеличивает фактор доверия клиента. Принимая во внимание, что другие CA, Comodo и RapidSSL предлагают Wildcard SSL только с проверкой домена.

Symantec Wildcard SSL также предлагает ежедневную оценку уязвимостей, которая сканирует каждый отдельный домен на наличие вредоносных угроз.

Подстановочный знак с проверкой Business отображает название организации в поле URL.

3. Цена SSL: поскольку Symantec предлагает множество функций наряду с подстановочными знаками, его цена высока по сравнению с Comodo и RapidSSL.

Таким образом, если вы хотите защитить свой веб-сайт и субдомены с помощью бизнес-валидации, вы должны выбрать Symantec, GeoTrust или Thawte, а для валидации домена вы можете использовать Comodo или RapidSSL. А если вы хотите установить многоуровневую защиту с ежедневной оценкой уязвимостей, вы можете воспользоваться Symantec Wildcard Solution.