Недавно мне понадобилось приобрести SSL-сертификат с подстановочными знаками (потому что мне нужно защитить несколько поддоменов), и когда я впервые искал, где его купить, я был поражен количеством вариантов, маркетинговыми заявлениями и диапазоном цен. Я создал список, чтобы помочь мне забыть о маркетинговых уловках, которые подавляющее большинство Центров сертификации (ЦС) и торговых посредников облепляют свои сайты. В конце концов, я лично пришел к выводу, что единственное, что имеет значение, - это цена и приятность веб-сайта CA.
Вопрос: Есть ли что-нибудь, достойное моего рассмотрения при принятии решения о том, где купить wildcard SSL-сертификат, кроме цены и красивого веб-сайта?
Я считаю, что при принятии решения о том, где купить подстановочный SSL-сертификат, единственные факторы, которые имеют значение, - это стоимость первого года сертификата SSL и удобство веб-сайта продавца (т.е. пользовательский опыт) для покупки и настройки сертификата. .
Мне известно следующее:
Заявления о гарантиях (например, 10 тысяч или 1,25 миллиона долларов) являются маркетинговыми уловками. - эти гарантии защищают пользователей данного веб-сайта от возможности того, что ЦС выдаст сертификат мошеннику (например, фишинговому сайту), и в результате пользователь потеряет деньги (но спросите себя: тратит ли кто-то / теряет 10 тысяч долларов или более на вашем мошенническом сайте? ну погоди, вы не мошенник? нет смысла.)
Необходимо сгенерировать 2048-bit CSR (запрос на подпись сертификата) закрытый ключ для активации вашего SSL-сертификата. Согласно современным стандартам безопасности использование кодов CSR с размером закрытого ключа менее 2048 бит не допускается. Выучить больше Вот и Вот.
Претензии 99+%, 99.3%, или 99.9% совместимость браузера / устройства.
Претензии быстрая выдача и простая установка.
Приятно иметь гарантию возврата денег (обычно 15 и 30 дней).
30 мая 2018 г. был обновлен следующий список базовых цен (не продаж) сертификатов SSL с подстановочными знаками, а также органов выдачи и торговых посредников:
price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
$0 | DNSimple / Let's Encrypt *
$49 | SSL2BUY / AlphaSSL (GlobalSign) *
$68 | CheapSSLSecurity / PositiveSSL (Comodo) *
$69 | CheapSSLShop / PositiveSSL (Comodo) *
$94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
$95 | sslpoint / AlphaSSL (GlobalSign) *
$100 | DNSimple / EssentialSSL (Comodo) *
|
$150 | AlphaSSL (GlobalSign) *
$208 | Gandi
$250 | RapidSSL
$450 | Comodo
|
$500 | GeoTrust
$600 | Thawte
$600 | DigiCert
$609 | Entrust
$650 | Network Solutions
$850 | GlobalSign
|
$2,000 | Symantec
* Обратите внимание, что DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity и SSL2BUY являются торговыми посредниками, а не центрами сертификации.
Namecheap предлагает на выбор Comodo / PostiveSSL и Comodo / EssentialSSL (хотя технической разницы между ними нет, только брендинг / маркетинг - я спросил об этом как Namecheap, так и Comodo, - тогда как EssentialSSL стоит на несколько долларов дороже (100 долларов против 94 долларов)) ). DNSimple перепродает EssentialSSL от Comodo, который, опять же, технически идентичен PositiveSSL от Comodo.
Обратите внимание, что SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap и DNSimple предоставляют не только самые дешевые сертификаты SSL с подстановочными знаками, но и имеют меньше всего маркетинговых уловок среди всех сайтов, которые я рассмотрел; и в DNSimple, похоже, нет никаких уловок. Вот ссылки на самые дешевые годовые сертификаты (так как я не могу ссылаться на них в таблице выше):
По состоянию на март 2018 г. Давайте зашифровать поддерживает подстановочные сертификаты. DNSimple поддерживает сертификаты Let's Encrypt.
Еще один момент, который следует учитывать: перевыпуск сертификатов.
Я действительно не понимал, что это значит, пока кровоточащая ошибка Пришли вместе. Я предположил, что это означает, что они дадут вам вторую копию вашего оригинального сертификата, и мне было интересно, насколько неорганизованным должен быть один, чтобы нуждаться в этой услуге. Но оказывается, что это не значит: по крайней мере, некоторые поставщики с радостью проштампуют новый открытый ключ если это произойдет в течение срока действия оригинального сертификата. Я предполагаю, что они затем добавят ваш исходный сертификат в некоторый CRL, но это хорошо.
Причины, по которым вы хотели бы это сделать, заключаются в том, что вы испортили или потеряли свой исходный закрытый ключ или каким-то образом потеряли исключительный контроль над этим ключом, и, конечно же, обнаружение глобальной ошибки в OpenSSL, которая делает вероятным, что ваш личный ключ был извлечен враждебной стороной.
После кровотечения из сердца я считаю это определенно хорошей вещью и теперь буду следить за этим при будущих покупках сертификатов.
Хотя цена, вероятно, является ключевым вопросом, другие проблемы связаны с доверие к поставщику, принятие браузером и, в зависимости от уровня вашей компетенции, сопровождение процесса установки (проблема серьезнее, чем кажется, особенно когда что-то идет не так).
Стоит отметить, что некоторые провайдеры принадлежат одними и тем же игрокам высшего уровня - например, Thawte и Geotrust, и я считаю, что Verisign принадлежат Symantec - сертификаты Thawte, однако, намного, намного дороже, чем Geotrust из-за того, что причина.
С другой стороны, сертификат, выданный StartSSL (кого я не стучу, я думаю, что их модель крутая), не так хорошо поддерживается в браузере и не имеет такого же уровня доверия, как у крупных игроков. Если вы хотите наклеить на свой сайт «плацебо безопасности», иногда стоит обратиться к более крупному игроку - хотя для сертификатов с подстановочными знаками это, вероятно, имеет гораздо меньшее значение, чем для сертификатов EV.
Как заметил кто-то другой, еще одним отличием может быть «кучка мусора», связанная с сертификатом - я знаю сертификаты Thawte EV, которые мне ранее было рекомендовано получить только для использования на один сервер, в то время как сертификаты Geotrust, которыми я позже убедил руководство заменить их, были не только дешевле, но и не имели этого ограничения - совершенно произвольного ограничения, наложенного Thawte.
Вы должны выбрать Wildcard SSL-сертификат в зависимости от ваших требований безопасности.
Перед покупкой SSL-сертификата Wildcard вы должны знать о нескольких факторах, упомянутых ниже.
Репутация и уровень доверия к бренду: Согласно недавним обзор W3Techs в центрах сертификации SSL Comodo обогнал Symantec и стал самым надежным центром сертификации с долей рынка 35,4%.
Типы функций или Wildcard SSL: Центры SSL-сертификатов, такие как Symantec, GeoTrust и Thawte, предлагают Wildcard SSL-сертификат с бизнес-проверкой. Это привлекает больше посетителей и увеличивает фактор доверия клиентов. В то время как другие CA, Comodo и RapidSSL предлагают SSL с использованием Wildcard только с проверкой домена.
Symantec Wildcard SSL также предлагает ежедневную оценку уязвимостей, которая сканирует каждый отдельный субдомен на предмет вредоносных угроз.
Подстановочный знак с проверкой Business отображает название организации в поле URL.
Итак, если вы хотите защитить свой веб-сайт и поддомены с помощью бизнес-проверки, вам нужно выбрать Symantec, GeoTrust или Thawte, а для проверки домена вы можете использовать Comodo или RapidSSL. А если вы хотите установить многоуровневую защиту с ежедневной оценкой уязвимости, вы можете воспользоваться решением Symantec Wildcard.