Sind die verschiedenen Arten von SSL-Zertifikaten ein Betrug?

39

Ich suche nach ein paar SSL-Zertifikaten für Domains, um Folgendes abzudecken:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Platzhalterzertifikate sind zu teuer, daher werde ich für jede Subdomain ein einzelnes Zertifikat erwerben (ich habe genug IP-Adressen, um sie zu umgehen).

Meine Frage ist, was macht ein 10-Dollar-Zertifikat besser als ein 100-Dollar-Zertifikat?

Nehmen Sie zum Beispiel die GeoTrust-Produktpalette . Ich weiß, was ein EV ist (brauche es nicht), und ich weiß, was ein Secure Seal ist (unsere Benutzer vertrauen uns bereits, brauchen das also nicht).

Aber warum sollte ich mich für eine QuickSSL für 69 US-Dollar entscheiden, wenn ich eine RapidSSL für 10 US-Dollar bekommen kann? Der einzige Unterschied ist "Markenerkennung" (mittel bis mittel) und Versicherung.

Kann jemand ein Licht auf das werfen, was er unter "Markenerkennung" versteht? Unsere öffentliche Website wird von unseren Benutzern bereits als sehr vertrauenswürdig eingestuft, und die anderen beiden Unterdomänen gelten nur für Outlook Anywhere (und werden daher nicht in einem Browser angezeigt).

Relevante Frage von https://serverfault.com/questions/82039/difference-between-ssl-products erneut gepostet

Mark Henderson
quelle
1
Wenn Sie ein teures SSL-Zertifikat gekauft haben, haben Sie Shuttleworth dabei geholfen, in den Weltraum zu gelangen. Wie kann das ein Betrug sein?
4
In den guten alten Zeiten des Internets mag es teuer gewesen sein, diese Dienste anzubieten. Sie sagten, Sie zahlen für den Service zur Überprüfung Ihrer Identität. Meiner Erfahrung nach ist die Untersuchung von Nicht-E-Commerce-Zertifikaten trivial und falsch. Entschuldigung, ich verachte diese ganze SSL-Branche. Ich wünschte, jemand würde einen gemeinnützigen Verein gründen, der die gleichen Dienstleistungen erbringen würde.
Citadelgrad
Es ist im Grunde wie wenn die coolsten Kids auf der Party sagen "Dieser Typ ist echt", wenn ein Browser sie nach dir fragt. Du bezahlst dafür, dass diese coolen Kinder dich akzeptieren und hoch von dir reden. Wenn Sie möchten, dass sie stattdessen sagen "Dieser Typ ist total episch" , dann können Sie mehr Geld ausgeben. Solange es sich um SHA-256 oder ähnliches handelt, spielt die Validierung keine Rolle. Es gibt vielleicht 0,01% der Besucher, die die Validierungsbehörde überprüfen. Alles, was für sie wichtig ist, ist, dass sie eine grüne Sperre sehen, egal ob es sich um eine 10-Dollar- oder eine 1000-Dollar-Sperre handelt.
Dhaupin
@citadelgrad, Sie haben eine gemeinnützige Organisation. Es heißt CaCert.org. webmasters.stackexchange.com/questions/28595/...
Pacerier

Antworten:

27

"Meine Frage ist, was macht ein 10-Dollar-Zertifikat besser als ein 100-Dollar-Zertifikat?"

In der Regel ist das Zertifizierungsunternehmen umso älter, je teurer das Zertifikat ist. Da die Liste der vertrauenswürdigen Unterzeichner im Lieferumfang des Browsers enthalten ist, können Zertifikate neuerer Unternehmen von alten Browsern nicht als vertrauenswürdig eingestuft werden.

Beispielsweise wird ein 10-Dollar-Zertifikat von IE5 möglicherweise nicht als vertrauenswürdig eingestuft.

Aber das war es schon.

Thomas Bonini
quelle
8
Und das verstümmelte Durcheinander, das der IE5 anzeigt, nachdem er eine mit modernen Standards konforme Website angezeigt hat, wird vom Benutzer eines solchen Teils von # & * $ :) +1
Tim Post
Bei bestimmten Zertifikatstypen unternimmt das ausstellende Unternehmen größere Anstrengungen, um die Details der Person / Firma zu überprüfen, die es anfordert ( en.wikipedia.org/wiki/Extended_Validation_Certificate ). Wenn der Browser anzeigt, dass es sich bei einem Zertifikat um EV handelt und der Benutzer dies bemerkt, hat er möglicherweise mehr Vertrauen. IMHO werden sie nicht bemerken.
Paulmorriss
Sie haben den Punkt verpasst, wenn ein Zertifikat teurer ist, dann sind Sie besser abgesichert. Wenn Ihre Website gehackt wird, zahlt Ihnen ein 100-Dollar-Zertifikat möglicherweise bis zu 1 Million Dollar, während ein 10-Dollar-Zertifikat möglicherweise nichts kostet.
SSpoke
@SSpoke, ich bin überrascht, wenn es keine Reibung gibt, wenn Sie versuchen, die " 1,5 Mio. USD " zu beanspruchen . Diese Zahlen sind nur für die großen Jungs zu behaupten, nicht für den durchschnittlichen Benutzer. Stellen Sie sich vor, sie hätten eine Sicherheitsverletzung und müssten 300.000 Nutzer ausbezahlen, das sind 450 Milliarden. Seien Sie versichert, dass Ihre Benutzer nicht in der Lage sind, jeweils 1 Million Dollar zu erhalten. Siehe auch AGB unter positivessl.com/ssl-warranty.php
Pacerier
13

Ich denke, Kartell ist das Wort, nach dem Sie suchen

Aiden Bell
quelle
6

Neulich habe ich DigiCert das Gleiche gefragt : Warum sind viele Zertifikate so viel billiger als Ihre (~ 25 USD gegenüber ~ 100 USD pro Jahr)? Hier ist die Antwort, die sie mir gaben (in meinen Worten):

Die anderen Unternehmen überprüfen nur Ihren Domain-Namen (die Person, die das Zertifikat erhält, besitzt den Domain-Namen), während DigiCert (und andere Unternehmen) das Unternehmen hinter dem Domain-Namen überprüfen.

Dies bedeutet, dass sie das Unternehmensregister in Ihrem Land überprüfen müssen, um sicherzustellen, dass Ihr Unternehmen existiert und dass Sie in irgendeiner Weise mit dem Unternehmen verwandt sind. Dies erfordert oft auch einen Anruf und einige andere Überprüfungen. Ohne diese Prüfung ist lediglich ein Computer erforderlich, um den Whois-Eintrag mit den eingegebenen Informationen zu überprüfen.

Meiner Einschätzung nach ist ein teureres Zertifikat besser, wenn Sie das Zertifikat auf einer Website verwenden, auf der der Kunde für etwas bezahlt oder seine persönlichen Daten eingibt. Wenn Sie die Site nur intern (innerhalb des Unternehmens) verwenden, ist ein billigeres Zertifikat wahrscheinlich alles, was Sie benötigen.

Darryl Hein
quelle
Bei DigiCert liegt ein extremer Interessenkonflikt vor (siehe auch security.stackexchange.com/questions/13453/… ). Das Support-Team stellt die Frage, indem es die DV-Zertifikate anderer CAs mit den EV-Zertifikaten vergleicht. Aber auch andere CAs bieten EV-Zertifikate zu einem viel günstigeren Preis an.
Pacerier
4

"Meine Frage ist, was macht ein 10-Dollar-Zertifikat besser als ein 100-Dollar-Zertifikat?"

Die Antwort ist nichts. Ein Zertifikat ist ein Zertifikat ist ein Zertifikat (da Sie sich nicht für "Markenerkennung" interessieren). Ohne EV-Pakete ist ein Zertifikat also nur eine Ware. Dies erklärt die Geschichte ganz schön.

Ich denke jedoch, dass die Wiedererkennung einer Marke für einige Benutzer wichtig sein könnte, aber wenn Sie sicher sind, dass Sie eine vertrauenswürdige Quelle sind, würde ich mir darüber keine Sorgen machen.

plntxt
quelle
2

Es gibt auch ein Problem, bei dem einige Browser viele einwandfreie SSL-Zertifikate auswählen und als potenziell unsicher markieren. Dies liegt zum Teil daran, was Darryl gesagt hat (erhöhte Sorgfalt des SSL-Anbieters, um zu bestätigen, wer Sie sind). Es ist nicht so, dass die Sicherheit selbst wirklich anders ist, sondern nur, um eine bessere Vertrauensschicht zu schaffen.

Es gibt auch Dinge wie Verwaltungsfunktionen (ich kann Zertifikate nach Herzenslust ohne Verzögerung ausstellen und erneut ausstellen, was sehr praktisch war, wenn Domain-Namen plötzlich anders wurden) und andere Vorteile, die Ihre Erfahrung verbessern können. Aber wenn die 10-Dollar-Version genau das tut, was Sie brauchen, und es Ihren Kunden egal ist, von wem das Zertifikat stammt, dann entscheiden Sie sich.

Mit der Zeit stellen Sie möglicherweise fest, dass Sie die Anbieter wechseln, weil sich die Landschaft Ihrer Webpräsenz ändert. Daher ist es wichtig, dies jetzt zu berücksichtigen, bevor Sie beginnen.

Milner
quelle
2

Bis Mitte 2015 habe ich keine unabhängigen Studien oder Anekdoten gefunden, die belegen, dass EV-Zertifikate die Conversion-Rate oder den Umsatz steigern würden. Ich habe das in meiner Antwort auf EV SSL-Zertifikate erweitert - kümmert es jemanden? .

Was das Verlassen des Einkaufswagens zu verringern schien, waren Vertrauenssiegel und Abzeichen . Solche Vertrauenssiegel sind mit dem Kauf eines Elektrofahrzeugs verbunden. Übrigens ist heute der 4. Juli und Comodo hat einen Verkauf von EV-Zertifikaten für 100 US-Dollar anstelle von 500 US-Dollar, was diese Untersuchung veranlasste. Ich bin immer noch nicht ganz davon überzeugt.

Dan Dascalescu
quelle