выбор правильного SSL-сертификата

Мы собираемся приобрести некоторые SSL-сертификаты для защиты страниц входа на сайты электронной коммерции. Не требуется обеспечивать фактический процесс оплаты, поскольку он защищен третьей стороной со своим собственным сертификатом verisign. rapidSSL выглядит хорошим (и дешевым) вариантом, но продавец сказал мне, что они подходят только для «тестовых сайтов», и порекомендовал использовать тот, который в 4 раза дороже. Может кто-нибудь дать какие-либо рекомендации о том, что мы должны искать и что мы должны рассмотреть?

Благодарю.

Сертификаты, независимо от того, что говорят продавцы, объективно почти одинаковы в отношении шифрования. Все они обеспечивают «достаточно хорошее» шифрование, которое в основном зависит от конфигурации веб-серверов и в некоторой степени от возможностей браузера. Запрет на экспорт сильного шифрования в США был снят несколько лет назад, поэтому сегодня практически все браузеры будут поддерживать 128-битное шифрование Twofish или AES, если сервер предложит это. (Удивительно, что многие серверы все еще используют 56-битные DES, RC4 или другие более слабые схемы из-за незнания системного администратора или из-за снижения нагрузки на процессор на сервере.)

Проблема длинных последовательных доверительных отношений сертификатов также в значительной степени исчезла. Большинство браузеров сегодня имеют довольно полный набор предустановленных доверенных ЦС. Откройте браузер cert UI, чтобы увидеть свой (Firefox 3: Инструменты> Параметры> Дополнительно> Шифрование> Просмотр сертификатов).

Время от времени вы можете найти акции, где реселлеры предлагают Comodo, Digicert или аналогичные сертификаты за ~ 20 долларов или около того.

Уровень доверия, который ваш сайт вызывает у клиентов, может быть важным фактором . Возможно, печать сайта Verisign и зеленая полоса расширенной проверки в совместимых браузерах лучше, чем простое 128-битное шифрование с сертификатом от GoDaddy. Трудно сказать, это будет зависеть от вашей демографической ситуации, возраста, компьютерной грамотности и так далее.

Одна вещь: может быть полезно сохранить точную информацию о своей Whois DNS, поскольку это большая часть того, как центры сертификации проверяют вас перед выдачей сертификата. Я полагаю, что получить ваш сертификат от кого-то, с кем вы уже имеете дело, например, от своего веб-хоста / регистратора DNS, проще, чем получить подтверждение от Comodo, Thawte и т. Д.

Поэтому мое предложение состоит в том, чтобы оценить ваших пользователей и выяснить, будет ли более «заслуживающий доверия» брендинг на печати сайта способствовать увеличению продаж. А затем выполните одно из следующих действий:

• Получите самый дешевый 128-битный сертификат, который вы можете получить у реселлера / регистратора DNS / любого, с кем у вас уже есть аккаунт. Может быть, вкратце выяснить, кто подписывает Cert и что такое корневой CA, но не переживайте, если это не довольно непонятная цепочка CA.
• Получите Verisign или аналогичный известный (и чертовски дорогой) SSL-сертификат с хорошей ценностью бренда и заметно отметьте печать своего сайта. Рассмотрите возможность получения сертификата расширенной проверки.

Сертификаты « расширенной проверки » добавляют некоторое значение IMHO, потому что браузеры визуально гарантируют пользователям, что все в порядке с зеленой адресной строкой, заметным названием компании и т. Д. К сожалению, эти сертификаты также дороги и более раздражают, если их проверять.

Я определенно могу понять ваше замешательство, потому что это немного запутанная область. Как уже говорили другие, как правило, сертификат является сертификатом и обеспечивает тот же уровень защиты и выглядит одинаково для конечных пользователей. Однако существуют различия, в основном в отношении уровней проверки.

Уровни проверки

Существует три основных уровня проверки: только домен, домен и бизнес, а также бизнес домена и личность представителя. Только домен - это довольно слабая аутентификация, когда вы думаете об этом, это не доказывает, что вы тот, кем вы себя называете, или что у вас есть право использовать бренд. Однако для большинства конечных пользователей они не почувствуют разницу и увидят значок блокировки. Домен и бизнес - это то, что обычно предоставляется, и они обычно требуют чего-то тривиального, например, корпоративной кредитной карты, чтобы подтвердить, что вы являетесь бизнесом, о котором идет речь.

Расширенная проверка - это новый стандарт, требующий от CA дополнительных шагов для подтверждения того, что вы действительно являетесь тем, кем себя называете, и имеете ли вы право на торговлю под этим именем. Смотрите запись в Википедии для более подробной информации. В Firefox сертификат EV будет отображаться в виде зеленого прямоугольника слева от самого URL-адреса с названием компании.

контрибуция

Каждый провайдер SSL будет предоставлять разную страховку на случай возмещения, если кто-то другой обманным путем использует ваш сертификат или ваш домен из того же центра сертификации. Я думаю, что очень редко люди действительно должны идти по этому пути.

Охват через браузеры

Как правило, все основные поставщики SSL будут поддерживаться на всех основных операционных системах сразу после установки. Некоторые могут потребовать, чтобы вы служили промежуточной цепочке, что может быть хлопотно.

ревокация

Не все CA поддерживают возможность отзыва сертификатов - удивительно для меня, когда я в последний раз смотрел на это, только несколько из них имели URL отзыва сертификатов. Если вы серьезно относитесь к своей безопасности, выберите тот, который имеет URL отзыва.

Резюме

Ваши потребности кажутся простыми и простыми, я бы порекомендовал вам купить что-нибудь дешевое. RapidSSL, InstantSSL, GoDaddy или любой другой крупный игрок - все в порядке.

Я получил сертификат fastssl, который я купил через www.rapidsslonline.com. Никогда не было проблем с этим. Также получил сертификат godaddy.com, никогда не было проблем с этим либо. Большинство браузеров распознают оба.

Verisign и т. Д. - это пустая трата денег, если нет особой необходимости показывать логотип Verisign или что-то еще.