Où puis-je acheter un certificat SSL valide? [fermé]

252

J'ai besoin d'avoir un certificat SSL valide, par valide je veux dire non auto-signé. Je ne veux pas que mes clients soient confrontés à «l'exception».

Combien ça coûte? Je suis un peu perdu car j'ai vérifié sur Verisign et ça coûte environ ~ 1000 $ alors que j'en trouve d'autres à partir de 30 $.

Des idées? Soit dit en passant, je suis actuellement situé en France, si cela importe.

ssl-certificate Trent
la source
81
C'est une question géniale. Bien que ce ne soit pas exactement de la programmation, c'est très proche de la programmation.
user4951
1
@JimThio, puis votez pour la réouverture.
Pacerier
3
@JimThio Ce n'est rien comme la programmation, c'est une chose vraiment étrange à dire. C'est pertinent pour certains programmeurs, mais ce n'est pas pertinent sur Stack Overflow. Cette question devrait certainement être sur l'un des autres sites Stack Exchange, tels que Webmasters ou Server Fault.
Thor84no
15
C'est ridicule que ce post ait été fermé! C'est l'un des principaux problèmes rencontrés par les programmeurs.
Hajjat
2
Un modérateur pourrait-il déplacer ceci vers webmasters.stackexchange.com?
Adam

Réponses:

136

La valeur du certificat provient principalement de la confiance des internautes dans l'émetteur du certificat. À cette fin, Verisign est difficile à battre. Un certificat indique au client que vous êtes bien ce que vous dites être, et l'émetteur a vérifié que c'était vrai.

Vous pouvez obtenir un certificat SSL gratuit signé, par exemple, par StartSSL . Il s'agit d'une amélioration par rapport aux certificats auto-signés, car vos utilisateurs finaux cesseraient de recevoir des fenêtres contextuelles d'avertissement les informant d'un certificat suspect de votre côté. Cependant, la barre de navigation ne deviendra pas verte lors de la communication avec votre site via https, cette solution n'est donc pas idéale.

Le certificat SSL le moins cher qui fait tourner la barre au vert vous coûtera quelques centaines de dollars, et vous devrez passer par un processus de preuve de l'identité de votre entreprise auprès de l'émetteur du certificat en soumettant les documents pertinents.

dasblinkenlight
la source
2
Je viens de recevoir deux certificats de StartSSL aujourd'hui. L'un montre le pavé de verrouillage dans Safari (l'autre pas, bizarrement) et ils tournent tous les deux la barre verte dans Chrome. Leur niveau de confiance a-t-il changé depuis ce post?
wjl
2
J'ai chargé un certificat startsl et cela a fonctionné avec Chrome, cependant, dans Firefox, je recevais un message "Ce site n'est pas approuvé". J'ai réalisé que vous avez besoin d'un certificat intermédiaire. Lorsque vous installez un certificat startssl, assurez-vous de suivre les étapes ici: startssl.com/?app=20 (pour moi, j'ai sélectionné nginx) assurez-vous de suivre la partie concernant le certificat intermédiaire. Vous pouvez également vérifier les problèmes de certificat ici: sslshopper.com/ssl-checker.html , ce qui m'a beaucoup aidé.
Chase Roberts
5
Les certificats StartSSL sont BEAUCOUP mieux que les certificats auto-signés car ils n'entraînent pas le navigateur à signaler des erreurs de sécurité.
jcoffland
3
@dasblinkenlight du point de vue de l'utilisabilité, il est très important que le navigateur ne fasse pas apparaître d'avertissements effrayants. En ce qui concerne la valeur de sécurité, les certificats CA de StartCom se trouvent dans le navigateur de l'utilisateur, ce qui protège contre les attaques de l'homme du milieu. Les certificats auto-signés sont totalement ouverts à de telles attaques. Il existe de nombreuses vulnérabilités dans l'infrastructure SSL, mais les certificats provenant d'une autorité de certification fournie avec le navigateur sont beaucoup plus sécurisés.
jcoffland
6
@dasblinkenlight, L'établissement de la confiance n'est pas l' objectif principal du certificat SSL. L'objectif principal est d'obtenir votre trafic véritablement crypté par le titulaire du nom de domaine , de sorte que les MITM, les FAI et autres ne peuvent pas renifler votre trafic. Cela n'a rien à voir avec les entreprises. Bien sûr, pour les entreprises tar-and-mortar qui ne vivent pas en ligne, «établir la confiance» est une autre chose que SSL fait.
Pacerier
125

Let's Encrypt est une autorité de certification ouverte, automatisée et gratuite créée par Internet Security Research Group (ISRG). Il est parrainé par des organisations bien connues telles que Mozilla, Cisco ou Google Chrome. Tous les navigateurs modernes sont compatibles et font confiance à Let's Encrypt.

Tous les certificats sont gratuits ( même les certificats génériques )! Pour des raisons de sécurité, les certificats expirent assez rapidement (après 90 jours). Pour cette raison, il est recommandé d'installer un client ACME, qui gérera le renouvellement automatique des certificats.

Il existe de nombreux clients que vous pouvez utiliser pour installer un certificat Let's Encrypt:

Let's Encrypt utilise le protocole ACME pour vérifier que vous contrôlez un nom de domaine donné et pour vous délivrer un certificat. Pour obtenir un certificat Let's Encrypt, vous devrez choisir un logiciel client ACME à utiliser. - https://letsencrypt.org/docs/client-options/

CommonGuy
la source
5
Je souhaite qu'ils prennent en charge IIS et Windows! :(
Hajjat
Pouvez-vous utiliser le certificat Let's Encrypt si vous hébergez sur un autre serveur? Ils m'ont dit que leurs certificats gratuits viennent tous avec la RSE de leur fournisseur d'hébergement, donc ils sont inutiles sur d'autres serveurs.
FrenkyB
@FrenkyB Recherche pour letsencrypt et mode manuel.
Olaf Dietsche
1
@Hajjat ​​Voir letsencrypt.org/docs/client-options , il existe également des liens vers les clients Windows.
Olaf Dietsche
Gardez à l'esprit que tous les clients (généralement les anciennes versions de plates-formes, par exemple Windows XP, les versions antérieures de Java) peuvent faire confiance à Lets Encrypt, alors vérifiez d'abord si vous installez dans un paramètre hérité. Voir letsencrypt.org/docs/certificate-compatibility
Dan Gravell
87

Vous posez vraiment quelques questions ici:

1) Pourquoi le prix des certificats SSL varie-t-il autant

2) Où puis-je obtenir de bons certificats SSL bon marché?

La première question est bonne. Par exemple, le type de certificat SSL que vous achetez est important. De nombreux certificats SSL sont uniquement vérifiés sur le domaine, c'est-à-dire que la société émettant le certificat valide uniquement que vous êtes propriétaire du domaine. Ils ne valident pas votre identité, de sorte que les personnes visitant votre site peuvent savoir que le domaine possède un certificat SSL, mais cela ne signifie pas que la personne derrière le site Web n'est pas un escroc ou un hameçonneur, par exemple. C'est pourquoi la solution Verisign est beaucoup plus chère - vous obtenez un certificat qui non seulement sécurise votre site, mais valide l'identité du propriétaire du site (enfin, c'est la revendication).

Vous pouvez en savoir plus sur ce sujet ici

Pour votre deuxième question, je peux personnellement recommander RapidSSL . Je leur ai acheté plusieurs certificats par le passé et ils sont, enfin, rapides. Cependant, vous devez toujours faire vos recherches en premier. Une entreprise basée en France pourrait être préférable de traiter avec vous, car vous pouvez obtenir de l'aide pendant vos heures locales, etc.

tiret
la source
11
Rapidssl transformera-t-il votre barre d'adresse en vert?
chovy
2
Vous faites référence à un "certificat de validation étendu". Voir ici en.wikipedia.org/wiki/Extended_Validation_Certificate
Josh Stuart
1
PS, je ne pense pas que Rapidssl ait des certificats EV, mais je peux me tromper
Josh Stuart
1
Dans Chrome maintenant, je reçois une page d'avertissement pour un certificat non approuvé de RapidSSL.
NealJMD
1
@dash, Hé quand vous recommandez quelque chose, incluez toujours le coût de celui-ci.
Pacerier