Wie kann man entscheiden, wo man ein Wildcard-SSL-Zertifikat kauft?

63

Vor kurzem musste ich ein Wildcard-SSL-Zertifikat erwerben (da ich eine Reihe von Subdomains sichern musste), und als ich zum ersten Mal nach einem Kaufort suchte, war ich mit der Anzahl der Auswahlmöglichkeiten, Marketing-Angaben und der Preisspanne überfordert. Ich habe eine Liste erstellt, anhand derer ich erkennen kann, dass die meisten Zertifizierungsstellen (Certificate Authorities, CAs) auf ihren Websites verputzen. Am Ende ist mein persönliches Fazit, dass praktisch nur der Preis und die Angenehmheit der CA-Website von Bedeutung sind.

Frage: Gibt es neben dem Preis und einer schönen Website etwas, das meiner Überlegung wert ist, um zu entscheiden, wo man ein Wildcard-SSL-Zertifikat kauft?

ssl certificate-authority security ssl-certificate user664833
quelle
3
Ein Kriterium, das Ihre Entscheidung nicht beeinflussen sollte, ist die Sicherheit der Zertifizierungsstelle. Und es ist wichtig zu verstehen, warum. Der Grund dafür ist, dass jede Zertifizierungsstelle, mit der Sie nicht geschäftlich zusammenarbeiten, Ihre Sicherheit genauso leicht gefährden kann wie eine Zertifizierungsstelle, mit der Sie geschäftlich zusammenarbeiten. Eine unzureichende Sicherheit einer Zertifizierungsstelle kann Ihnen auf zwei Arten schaden. Wenn sie Ihre Kreditkartennummer erhalten, können sie diese verlieren (dies unterscheidet sich nicht von anderen Online-Transaktionen). Und wenn sie etwas so Schlimmes tun, dass Browser ihnen nicht mehr vertrauen, müssen Sie kurzfristig ein neues Zertifikat von einer anderen Zertifizierungsstelle erhalten.
Kasperd

Antworten:

49

Ich bin der Meinung, dass bei der Entscheidung, wo ein Wildcard-SSL-Zertifikat gekauft werden soll, nur die Kosten für ein SSL-Zertifikat im ersten Jahr und die Benutzerfreundlichkeit der Website des Verkäufers für den Kauf und die Einrichtung des Zertifikats von Bedeutung sind .

Mir ist Folgendes bekannt:

  • Garantieansprüche (z. B. 10.000 USD, 1,25 Mio. USD) sind Marketing-Tricks. Diese Garantien schützen die Benutzer einer bestimmten Website vor der Möglichkeit, dass die Zertifizierungsstelle einem Betrüger (z. B. einer Phishing-Website) ein Zertifikat ausstellt und der Benutzer dadurch Geld verliert ( Aber fragen Sie sich: Gibt jemand mehr als 10.000 USD für Ihre betrügerische Website aus? Oh, warten Sie, Sie sind kein Betrüger?

  • Es ist erforderlich, einen privaten 2048-bitCSR- Schlüssel ( Certificate Signing Request ) zu generieren , um Ihr SSL-Zertifikat zu aktivieren. Nach modernen Sicherheitsstandards ist die Verwendung von CSR-Codes mit einer privaten Schlüsselgröße von weniger als 2048 Bit nicht zulässig. Erfahren Sie hier und hier mehr .

  • Ansprüche von 99+%, 99.3%oder 99.9%Browser- / Gerätekompatibilität.

  • Ansprüche von schneller Ausstellung und einfacher Installation .

  • Es ist schön, eine Geld-zurück-Zufriedenheitsgarantie zu haben (15 und 30 Tage sind üblich).

Die folgende Liste der Basispreise für Wildcard-SSL-Zertifikate (keine Verkäufe) sowie der ausstellenden Behörden und Wiederverkäufer wurde am 30. Mai 2018 aktualisiert:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Beachten Sie, dass DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity und SSL2BUY Wiederverkäufer und keine Zertifizierungsstellen sind.

Namecheap bietet eine Auswahl an Comodo / PostiveSSL und Comodo / EssentialSSL (obwohl es keinen technischen Unterschied zwischen den beiden gibt, nur Branding / Marketing - ich habe sowohl Namecheap als auch Comodo danach gefragt - während EssentialSSL ein paar Dollar mehr kostet (100 USD gegenüber 94 USD) ). DNSimple verkauft die EssentialSSL von Comodo weiter, die technisch mit der PositiveSSL von Comodo identisch ist.

Beachten Sie, dass SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap und DNSimple nicht nur die billigsten Wildcard-SSL-Zertifikate bieten, sondern auch die wenigsten Marketing-Gimmicks aller von mir überprüften Websites aufweisen. und DNSimple scheint überhaupt keine lustigen Sachen zu haben. Hier sind Links zu den günstigsten 1-Jahres-Zertifikaten (da ich in der obigen Tabelle keine Links zu diesen Zertifikaten erstellen kann):

Ab März 2018 Encrypt Lassen Sie uns unterstützt Wildcard - Zertifikate . DNSimple unterstützt Let's Encrypt-Zertifikate.

user664833
quelle
1
Schauen Sie sich den Preis pro Instanz an - z. B. kann ich 100000000000000 Server haben und an meine Zertifizierungsstelle nur 1 Preis zahlen. Viele CAs wollen Geld für jeden Server!
Arek B.
1
Vielleicht habe ich es verpasst, aber auf den von mir betrachteten CA-Websites wurde kein Hinweis auf den Preis pro Instanz angezeigt. Ich hoste auf Heroku, wo meine App auf mehreren Dynos ( virtualisierten Unix-Containern ) ausgeführt wird und in der SSL-Endpunktdokumentation von Heroku nichts über Instanzen oder Dynos erwähnt wird - ich nehme also an, dass die Preisgestaltung pro Instanz nicht für meine speziellen Anforderungen relevant ist Natürlich können andere Ihren Kommentar aufschlussreich finden. Danke trotzdem!
user664833
2
Die Preisgestaltung pro Server macht einfach keinen Sinn. Sobald Sie ein Zertifikat haben, können Sie es von einem Computer exportieren und auf einem anderen importieren.
Massimo
@Massimo Pro-Server-Lizenzen waren früher ziemlich verbreitet. Erzwungen, genau wie Sie ältere Windows-Lizenzverträge und das Ehrensystem durchsetzen würden.
Ceejayoz
@ceejayoz Ok, ich meinte, es gibt keine technischen Einschränkungen für die Installation desselben Zertifikats auf mehreren Servern (und es gibt tatsächlich Szenarien, in denen dies erforderlich ist, z. B. Webserver mit Lastenausgleich). Natürlich können Verträge etwas anderes sagen.
Massimo
11

Ein weiterer zu berücksichtigender Punkt ist die Neuausstellung von Zertifikaten .

Ich verstand nicht wirklich, was das bedeutete, bis der herzblutige Käfer kam. Ich hatte angenommen, das bedeutete, dass sie Ihnen eine zweite Kopie Ihres Originalzertifikats geben würden, und ich fragte mich, wie unorganisiert man sein musste, um diesen Service zu benötigen. Es stellt sich jedoch heraus, dass dies nicht bedeutet: Zumindest einige Anbieter stempeln gerne einen neuen öffentlichen Schlüssel , solange dies während der Gültigkeitsdauer des Originalzertifikats geschieht. Ich nehme an, dass sie dann Ihr Originalzertifikat zu einer CRL hinzufügen, aber das ist eine gute Sache.

Gründe, warum Sie dies tun möchten, sind, dass Sie Ihren ursprünglichen privaten Schlüssel beschädigt oder verloren haben oder auf irgendeine Weise die ausschließliche Kontrolle über diesen Schlüssel verloren haben, und natürlich die Entdeckung eines weltweiten Fehlers in OpenSSL, der es wahrscheinlich macht, dass Sie privat sind Schlüssel wurde von einer feindlichen Partei extrahiert.

Ich halte dies für eine auf jeden Fall gute Sache, und achte jetzt bei zukünftigen Zertifikatskäufen darauf.

MadHatter
quelle
2

Während der Preis wahrscheinlich eine Schlüsselfrage ist, sind die anderen Fragen die Glaubwürdigkeit des Anbieters , die Akzeptanz des Browsers und, abhängig von Ihrer Kompetenzstufe, die Unterstützung des Installationsprozesses (ein größeres Problem, als es scheint, insbesondere wenn etwas schief geht).

Es ist erwähnenswert, dass eine Reihe von Anbietern denselben Top-End-Spielern gehören - zum Beispiel Thawte und Geotrust, und ich glaube, dass Verisign sämtlich Symantec gehört - Thawte-Zertifikate sind jedoch viel, viel teurer als Geotrust, ohne dass dies zwingend erforderlich ist Grund.

Auf der anderen Seite wird ein Zertifikat von StartSSL (den ich nicht anklopfe, ich finde ihr Modell cool) im Browser nicht so gut unterstützt und hat nicht die gleiche Glaubwürdigkeit wie die Big Player. Wenn Sie "Sicherheits-Placebos" auf Ihrer Website anbringen möchten, lohnt es sich manchmal, zu einem größeren Spieler zu gehen - obwohl dies für Wildcard-Zertifikate wahrscheinlich weniger wichtig ist als für EV-Zertifikate.

Ein weiterer Unterschied ist, wie jemand anderes betont hat, der "Crock of Junk", der mit dem Zertifikat in Verbindung gebracht wird. Ich kenne die Thawte EV-Zertifikate, für die ich zuvor die Anweisung erhalten hatte, dass sie nur auf einem einzelnen Server verwendet werden dürfen , während Geotrust mich später bestätigt Das überzeugte Management, diese zu ersetzen, war nicht nur billiger, sondern verfügte auch nicht über diese Beschränkung - eine völlig willkürliche Beschränkung, die von Thawte auferlegt wurde.

Davidgo
quelle
4
Die Glaubwürdigkeit des Anbieters ist so ziemlich bedeutungslos. Wenn es das Vorhängeschloss-Symbol hat, ist es den Benutzern egal. Wenn Sie mit einem Sicherheitsteam in einem Fortune 500-Unternehmen arbeiten, benötigen Sie möglicherweise einen bestimmten Anbieter, aber ansonsten ... wen interessiert das? Was StartSSL, scheinen sie weit unterstützt werden: „Alle gängigen Browsern gehören die Unterstützung für StartSSL“ - en.wikipedia.org/wiki/StartCom
ceejayoz
1
Wenn ein Anbieter, der Widerrufsbelehrungen vor dem Hintergrund von Herzblut und Hackerangriffen in Rechnung stellt, keinen Unterschied macht und stundenlange Ausfallzeiten für die Wiederherstellung von Zertifikaten die Glaubwürdigkeit eines Unternehmens nicht beeinträchtigen, dann sind Sie in Bezug auf Glaubwürdigkeit korrekt (ich mag startssl, aber das ist ein anderes Thema). Obwohl ihre Browserakzeptanz sehr hoch ist, ist sie niedriger als bei anderen Anbietern - siehe forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
Wie viele Endbenutzer wissen Ihrer Meinung nach a), wer ein Zertifikat ausgestellt hat und b), wie viel StartSSL für Heartbleed-Widerrufe berechnet wird? Zur Hölle, ich überprüfe nicht, wer eine SSL ausgestellt hat. Was sie getan haben, ist scheiße . Die Anzahl der Personen, die Sie verlieren würden, wenn Sie ihre Zertifikate verwenden, ist alles, was ich sage.
Ceejayoz
Beachten Sie, dass StartSSL von Google Chrome nicht mehr als vertrauenswürdig eingestuft wird. Siehe security.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - startssl ist natürlich nicht mehr das Unternehmen, an dem ich diesen Kommentar geschrieben habe. Wosign erwarb es - heimlich - im November 2015.
Davidgo
1

Sie müssen das Wildcard-SSL-Zertifikat entsprechend Ihren Sicherheitsanforderungen auswählen.

Vor dem Kauf eines Wildcard-SSL-Zertifikats müssen Sie einige der unten genannten Faktoren berücksichtigen

  1. Bekanntheit und Vertrauenswürdigkeit der Marke: Laut einer kürzlich durchgeführten Umfrage von W3Techs zu SSL-Zertifizierungsstellen hat Comodo Symantec überholt und wurde mit einem Marktanteil von 35,4% die vertrauenswürdigste Zertifizierungsstelle.

  2. Typ Features oder Wildcard SSL: SSL-Zertifizierungsstellen wie Symantec, GeoTrust und Thawte bieten Wildcard SSL-Zertifikate mit Geschäftsvalidierung an. Das zieht mehr Besucher an und erhöht auch das Vertrauen der Kunden. Während andere CAs, Comodos und RapidSSL nur Wildcard-SSL mit Domain-Validierung anbieten.

Symantecs Wildcard SSL bietet auch eine tägliche Schwachstellenanalyse, bei der jede einzelne Subdomäne auf böswillige Bedrohungen überprüft wird.

Platzhalter mit Geschäftsvalidierung zeigt den Organisationsnamen im URL-Feld an.

  1. SSL-Preis: Da Symantec neben Wildcard mehrere Funktionen bietet, ist der Preis im Vergleich zu Comodo und RapidSSL hoch.

Wenn Sie Ihre Website und Sub-Domains mit Business-Validierung sichern möchten, müssen Sie entweder Symantec, GeoTrust oder Thawte auswählen. Für die Domain-Validierung können Sie Comodo oder RapidSSL verwenden. Wenn Sie mehrschichtige Sicherheit mit täglicher Schwachstellenanalyse installieren möchten, können Sie sich für die Wildcard-Lösung von Symantec entscheiden.

Jake Adley
quelle
5
Vielen Dank für Ihre Antwort, aber ich stimme nicht zu, dass Marktanteil Vertrauen impliziert. Comodo hat möglicherweise den größten Marktanteil, da Websitebesitzer günstigere Zertifikate bevorzugen und Comodo nicht mehr vertrauen als Symantec. Es ist ein ziemlicher Sprung zu dem Schluss, dass Comodo das größte Vertrauen genießt, wenn sein Marktanteil nur 3.3%Symantec voraus ist. Wenn eine Person erkennt, dass eine Site ein Verizon-Zertifikat verwendet, entspricht ihre Vertrauenswürdigkeit dann dem Marktanteil von Verizons SSL-Zertifikat von 0.7%? - Nein. Business Validation ist eine nette Geste, aber ich frage mich, welchen Unterschied es zur normalen Person macht.
user664833
Ich stimme dem obigen Kommentar zu. Comodo wurde mehr als einmal gehackt und ihre Signaturschlüssel gestohlen. Die Protokolle der Hacker schweben bis heute im Internet (suchen Sie nach ZF0 und Comodo). Sie waren sehr schlampig im Umgang mit ihren Signierzertifikaten.
Aaron