Warum ist die HTTPS / SSL-Zertifizierung von Godaddy so viel billiger als die von Digicert, Thawte und Verisign?

32

Ich bin ein Anfänger in HTTPS / SSL, aber GoDaddy berechnet 12,99 USD und Digicert, thawte und Verisign berechnen über 100-1000 USD für SSL-Zertifikate.

Mir muss etwas an der Qualität der Verschlüsselung fehlen oder so. Kann jemand einige der grundlegenden Unterschiede erklären, die zu diesen dramatisch unterschiedlichen Preisen führen?

Update $ 12.99 ist ein Verkaufspreis. In der Regel kosten SSL-Zertifikate für GoDaddy 89,99 USD. Hier ist ein Link zu Godaddy, über den sich der Vergleich ergibt, zu dem diese Frage gestellt wird: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Vielen Dank,

tim

Tim Peterson
quelle
1
Ich habe gerade die GoDaddy-Website besucht und sie haben Zertifikate für 69,99 CAD gelistet.
Sherwin Flug
2
startssl bietet sogar eine gratis an!
Rana Prathap

Antworten:

33

Abgesehen von unseremiösen Angeboten können Sie zwischen günstigeren Domain-validierten SSL-Zertifikaten und den teureren Extended-Validation- SSL-Zertifikaten (EV) unterscheiden.

Beide Zertifikate sind technisch identisch (die Verbindung ist verschlüsselt), domänenvalidierte Zertifikate sind jedoch günstiger, da der Verkäufer nur die Domain überprüfen muss. Die EV-Zertifikate erfordern auch Informationen über den Domaininhaber und der Verkäufer sollte prüfen, ob diese Informationen korrekt sind (mehr administrativer Aufwand).

Normalerweise können Sie den Unterschied feststellen, wenn Sie die Site mit einem Browser besuchen. Firefox beispielsweise hebt die Domain für domänenüberprüftes SSL in Blau und für SSL mit erweiterter Validierung in Grün hervor.

Zwei Beispiele:

In den meisten Fällen ist das Domain-validierte Zertifikat in Ordnung, der Benutzer hat keine Nachteile und die EV-Zertifikate sind wirklich (zu) teuer.

martinstoeckli
quelle
1
danke, wusste nichts über den Unterschied zwischen Domain und erweiterter Validierung, danke für die Klarstellung!
Tim Peterson
1
Eine Person muss die physische Adresse des Unternehmens auf ein Zertifikat mit erweiterter Validierung überprüfen.
ZippyV
1
Ich denke, einige CAs bieten auch eine Form der Versicherung an, falls etwas schief gehen sollte (aber es ist nicht klar, was genau abgedeckt ist). (Ich habe als relativ lange Antwort über die Unterschiede zwischen diesen Arten von Zertifikaten geschrieben, wenn dies von Interesse ist.) Der wichtigste Punkt ist, dass die Wahl der Zertifizierungsstelle und der Art des Zertifikats nur für den Kunden von Bedeutung ist. Sofern das Zertifikat standardmäßig als vertrauenswürdig eingestuft wird, hängt es nur davon ab, inwieweit der Benutzer bereit ist, weitere Details zu überprüfen (visuell über die Benutzeroberfläche).
Bruno
8

Von der GoDaddy-Website:

Genießen Sie die Unterstützung etablierter Industriestandards. Es gibt KEINEN TECHNISCHEN UNTERSCHIED zwischen unseren Zertifikaten und anderen wichtigen Zertifizierungsstellen.

Quelle: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

Preisgestaltung ist manchmal eine lustige Sache. Ich habe zwar keine Ahnung, warum GoDaddy seine Produkte so bewertet, wie sie es tun. Einige Unternehmen streben mehr Kunden zu einem günstigeren Preis an, während andere einen höheren Preis erzielen und weniger Kunden anziehen.

Im einfachen Vergleich kann Unternehmen 1 mehr Kunden anziehen, indem es seine Produkte zu einem günstigeren Preis anbietet. Unternehmen 2 kann jedoch ihre Produkte zu höheren Kosten anbieten, was eine geringere Anzahl von Kunden ausgleichen könnte.

Unternehmen 1: 100 Kunden zahlen 20 USD / Monat = 24.000 USD / Jahr

Unternehmen 2: 200 Kunden zahlen 10 USD / Monat = 24.000 USD / Jahr

Wie Sie in diesem SEHR EINFACHEN Vergleich sehen können, erzielten beide Modelle den gleichen Jahresumsatz, jedoch bot ein Unternehmen sein Produkt doppelt so oft an wie das andere.

Sherwin Flug
quelle
3
Vergessen Sie nicht den "Marken" -Faktor - einige Produkte haben einfach zusätzliche Preise, nur weil sie mit einem weithin bekannten und anerkannten Firmennamen gekennzeichnet sind.
LazyOne
@ LazyOne, es ist das gleiche mit Universitäten ...
Pacerier
8

Um ganz ehrlich zu sein. Es gibt absolut keinen Unterschied, wenn es um SSL-Zertifikate geht. Der einzige Faktor, der dazu beiträgt, sind die EV- / Nicht-EV- / Wildcard-Tags.

EV == Extended Validation: Dies bedeutet, dass die Site von der Zertifizierungsstelle auf der angegebenen IP-Adresse der Domäne aktiv "gepingt" wird. Anschließend vergleicht ein serverseitiges Skript die IP-Adresse der Ping-Antwort von der Zertifizierungsstelle mit der IP-Adresse YOU besuchen. Dies garantiert NICHT, dass es keinen Man-in-the-Middle-Angriff oder eine netzweite DNS-Vergiftung gibt. Dies stellt lediglich sicher, dass die Site, die Sie anzeigen, mit der Site übereinstimmt, die von der Zertifizierungsstelle angezeigt wird.

Non-EV == Niemand überprüft aktiv die IP der Domain anhand einer protokollierten / bereitgestellten IP aus Sicherheitsgründen.

Wildcard == * .domain.com-basierte Zertifikate werden häufig verwendet, wenn eine Vielzahl von Subdomains oder eine Reihe von Subdomains vorhanden sind, die sich ständig ändern, aber dennoch eine gültige SSL-Verschlüsselung benötigen.

Die Wahrheit hinter SSL-Zertifikaten.

Sie können Ihre eigenen machen. Sie sind nicht weniger sicher als jedes andere Zertifikat. Der Unterschied, dass es sich um ein selbstsigniertes Zertifikat handelt, wird von keinem Dritten bestätigt.

Das Problem mit SSL-Zertifikaten ist, dass sie für das, was sie sind, extrem überteuert sind. Es gibt absolut KEINE Garantie, dass die Site, die Sie besuchen, zu der gehört, die auf dem Zertifikat als Eigentümer / Standort usw. aufgeführt ist. Dies widerspricht dem Zweck, für den das Third-Party-Trust-Chain-Modell SSL entwickelt wurde.

ALLE Zertifizierungsstellen, die ihre Zertifikate verkaufen, möchten, dass der Benutzer glaubt, dass ihr Zertifikat irgendwie besser ist. In der Tat überprüfen sie niemals die für das Zertifikat bereitgestellten Informationen, es sei denn, es liegt ein Problem vor, das sie möglicherweise Einnahmen kostet. Diese Vorgehensweise beeinträchtigt auch den Zweck des SSL-Vertrauenskettenmodells.

Ich kenne nur EINE CA, die tatsächlich ihre Zertifikate validiert. Dies ist CACert.org.

Damit sie ein "vollständiges" Zertifikat (Firmenname, Name, Adresse, Telefon usw.) ausstellen können, müssen Sie einem der Vertrauenspersonen des Vertrauenspersonen entsprechen !.

Jedoch. Die meisten Browser verwenden CACert.org nicht, da sie von Megakonzernen wie Thawte, Comodo und Verisign unter Druck gesetzt werden.

Also ... um alles zusammenzufassen.

Der einzige Unterschied zwischen Zertifikaten ist das Verhalten der Zertifizierungsstelle. Zertifikaten kann nicht wirklich vertraut werden, um zu überprüfen, ob für die Verbindung zur Site eine Verschlüsselung verwendet wird.

Am Ende des Tages denken die Leute, dass das Bezahlen von 100 - 1000 US-Dollar in gewisser Weise Vertrauenswürdigkeit gleichkommt. Das ist nicht der Fall. Es bedeutet nur, dass Sie mit weniger raffinierten oder weniger etablierten Gaunern umgehen.

user34262
quelle
1
Die Aufnahme von CACert in mindestens Mozilla wurde von CACert selbst abgebrochen: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262 : Ja, Geld ist ein großer Faktor in diesem ganzen ist ( halb beschädigt ) CA - Markt. Verwandte Themen : 1) auf webmasters.SE , 2) auf security.SE , 3) auf security.SE
Pacerier
@ user2428118, Dieser Beitrag stammt von vor 10 Jahren. Was ist das Update?
Pacerier
@ user34262, Übrigens, von welchen "Belastungen" der CA sprechen Sie?
Pacerier
Es gibt im Allgemeinen drei Ebenen von Zertifikaten: Domänenvalidierte, Organisationsvalidierte und erweiterte validierte Zertifikate. Bei DV-Zertifikaten wird nur sehr wenig geprüft (in der Regel nur automatisierte E-Mail- und Domänenkontrollprüfung). Die beiden letzteren Typen sind jedoch erforderlich, um die vom CA / B-Forum veröffentlichten Richtlinien für Audits und Ausstellungspraktiken einzuhalten . CAs, die die in der Richtlinie festgelegten Anforderungen nicht erfüllen, werden von Browsern nicht als vertrauenswürdig eingestuft, um Zertifikate des jeweiligen Typs auszustellen.
Lie Ryan
3

Was ist mehr wert, eine Referenz von mir oder eine Referenz von Bill Gates? Sie müssen sich daran erinnern, dass Zertifikate mehr als eine technische Lösung sind. Sie bürgen für Sie und Unternehmen können den Preis festlegen, den sie für ihren Ruf halten.

JamesRyan
quelle
2
Hinweis von Bill Gates ist lahm, obwohl ich für Khan Academy glücklich bin.
Tim Peterson
@timpeterson, er bezieht sich auf den Irrtum von en.wikipedia.org/wiki/Argument_from_authority
Pacerier
1
@ Pacerier nein, ich bin nicht. Das hat nichts damit zu tun, dass Menschen buchstäblich für die Identität von Organisationen bürgen.
James Ryan
@ James Ryan, wie ist es nicht? Was bedeutet " eine Referenz von mir oder eine Referenz von Bill Gates "? Bedeutet "Bill Gates" hier "Autorität"?
Pacerier
3

Ich hatte gerade herausgefunden, dass GoDaddy kein "Duplikat" -Zertifikat für Ihre Wildcards SSL zulässt. (im Gegensatz zu sagen, GlobalSign, DigiCert, die es ihnen erlauben, und unbegrenzte Anzahl von ihnen)

Das ist schade, da dies oft verwendet wird, wenn Sie eine Serverfarm verwalten und jeder seinen eigenen privaten Schlüssel / csr hat.

Frédéric Beuserie
quelle
1
Dies scheint eine ziemlich wichtige Information zu sein. Wenn Sie mehrere Zertifikate von GoDaddy und nur eines von Verisign usw. kaufen müssen, scheint dies den Preisunterschied auszugleichen. Können Sie in Ihrer Antwort GoDaddy-Linkreferenzen angeben?
Tim Peterson
2
Nein, mit GoDaddy können Sie auch nicht mehrere Zertifikate für dieselbe Wildcard kaufen . Sie werden nur eine haben, die Sie daher auf allen Ihren Servern verwenden müssen.
Mike Scott
1

Ich habe für ein Drittunternehmen an einem Webprojekt für ein großes Technologieunternehmen gearbeitet. Wir haben ein GoDaddy-SSL-Zertifikat verwendet und festgestellt, dass diese Zertifizierungsstelle in internen Unternehmensnetzwerken abgelehnt wurde.

Das damalige Unternehmen (vor 2 Jahren) hat GoDaddy nicht automatisch als vertrauenswürdige Instanz anerkannt. Nur mit viel Überzeugung wurde unser Zertifikat angenommen.

Wenn wir eine Premiummarke wie Thawte verwendet hätten, wäre das kein Problem gewesen. Ich bin mir nicht sicher, warum das Unternehmen diese Richtlinie eingeführt hat, aber der Preis des Zertifikats lässt sie möglicherweise weniger vertrauenswürdig erscheinen.

Dies ist der einzige reale Unterschied zwischen Zertifikaten von GoDaddy und anderen großen Zertifizierungsstellen, auf die ich gestoßen bin.

Mangomagie
quelle
1
Hmm, ist Godaddy das einzige Zertifikat, das sie ablehnen?
Pacerier
0

Technisch gibt es keinen Unterschied. Die meisten Zertifizierungsstellen bieten ähnliche Produkte, eine Standardvalidierung oder eine erweiterte Validierung an, bei denen die Organisation / Firma und die Domäne des Besitzers überprüft und Platzhalter verwendet werden.

Was unterscheidet den Preis ist:

  1. Branding
  2. Garantie
  3. Servicequalität
  4. Menge

Das beste Beispiel für das Branding wäre Digicert - sie haben Zertifikate für Marken wie Twitter, Facebook und sogar StackExchange ausgestellt. Um diese Art von Kunden zu gewinnen, sind Überzeugungs- und Markenbudgets erforderlich. Es gibt keinen Beweis dafür, dass sie über eine bessere Technologie als alle anderen verfügen.

Garantie ist so etwas wie eine Versicherung. Es ist normalerweise ein Betrag zwischen 0 und Millionen US-Dollar. Er gibt an, wie hoch CA beim Verkauf des Zertifikats versichert ist. Wenn so etwas wie eine betrügerische Kreditkartentransaktion passiert und es ihr Fehler ist, werden die Kosten bis zur Höhe des Betrags gedeckt Garantiehöhe. Mit Standard-SSL-Zertifikaten ist es meistens nur für das CA-Unternehmen zu verkaufen, so dass der Eigentümer mehr Geld verlangen kann, da die Verschlüsselungstechnologie und die Sicherheit gleich sind. Mit EV-Zertifikaten kann die Garantie eine gewisse Verwendung haben. In der Regel werden Sie jedoch lachen, wenn Sie die allgemeinen Geschäftsbedingungen lesen und sehen Sie die Ironie von allem.

Die Servicequalität ist in der Regel sehr subjektiv und hängt vom zahlenden Kunden ab. Einige Zertifizierungsstellen verfügen über Systeme für ihre großen Kunden, mit denen Sie den Überblick über Ihre gekauften Zertifikate behalten können. Wenn Sie über mehr als hundert Zertifikate verfügen oder diese verwalten, zahlen Sie möglicherweise weniger und verfügen über eine bessere Verwaltung von Software, Dashboard und erweiterten Abrechnungsoptionen für Kreditkarten. Tools für die Zertifikatsverwaltung, Berichterstellungstools und einige Zertifizierungsstellen bieten sogar Sicherheitstipps für die Serverimplementierung.

Menge lässt Preise sinken. Als CA, wenn Sie mehr verkaufen, sind Ihre Preise niedriger, als Kunde, wenn Sie mehr kaufen, können Sie nach besseren Preisen fragen.

Mike
quelle