Comment décider où acheter un certificat SSL générique?

63

Récemment, j’ai eu besoin d’acheter un certificat SSL générique (car j’ai besoin de sécuriser un certain nombre de sous-domaines) et, lorsque j’ai cherché pour la première fois où en acheter un, j’étais submergé par le nombre de choix, d’allégations marketing et la fourchette de prix. J'ai créé une liste pour m'aider à faire comprendre aux gimmicks marketing que la plus grande majorité des autorités de certification (AC) recouvre leurs sites. En conclusion, ma conclusion personnelle est que les seules choses qui importent sont le prix et la convivialité du site Web de l'AC.

Question: Outre le prix et un site Web agréable, y a-t-il quelque chose qui mérite ma considération pour décider où acheter un certificat SSL générique?

ssl certificate-authority security ssl-certificate utilisateur664833
la source
3
Un critère qui ne devrait pas influencer votre décision est la sécurité de l'autorité de certification. Et il est important de comprendre pourquoi. La raison en est que toute autorité de certification avec laquelle vous ne faites pas affaire pourrait compromettre votre sécurité aussi facilement que celle avec laquelle vous faites affaire. Il y a deux manières pour une sécurité insuffisante d'un CA de vous nuire. S'ils obtiennent votre numéro de carte de crédit, ils pourraient le divulguer (ce n'est pas différent d'une autre transaction en ligne). Et s’ils font quelque chose de si mauvais que les navigateurs cessent de leur faire confiance, vous devez obtenir un nouveau certificat auprès d’une autre autorité de certification très rapidement.
Kasperd

Réponses:

49

Je pense qu'en ce qui concerne le choix d'un certificat SSL générique, les seuls facteurs qui comptent sont le coût d'un certificat SSL pour la première année et la convivialité du site Web du vendeur (expérience utilisateur) pour l'achat et la configuration du certificat. .

Je suis conscient de ce qui suit:

  • Les réclamations concernant des garanties (par exemple 10 000 USD, 1,25 million USD) sont des gadgets marketing : ces garanties protègent les utilisateurs d'un site Web donné contre la possibilité que l'autorité de certification délivre un certificat à un fraudeur (par exemple, un site de phishing) et que l'utilisateur perde de l'argent ( mais posez-vous la question suivante: une personne dépense-t-elle / perd-elle 10 000 USD ou plus sur votre site frauduleux? oh, attendez, vous n’êtes pas un fraudeur? aucun point.)

  • Il est nécessaire de générer une clé privée 2048-bitCSR ( Certificate Sign Request ) pour activer votre certificat SSL. Selon les normes de sécurité modernes, l'utilisation de codes CSR dont la taille de clé privée est inférieure à 2048 bits n'est pas autorisée. En savoir plus ici et ici .

  • Revendications de 99+%, 99.3%ou 99.9%compatibilité navigateur / appareil.

  • Revendications de délivrance rapide et d'installation facile .

  • C'est agréable d'avoir une garantie de remboursement (15 et 30 jours sont communs).

La liste suivante des prix de base des certificats SSL génériques (hors vente) et des autorités émettrices et revendeurs a été mise à jour le 30 mai 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Notez que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity et SSL2BUY sont des revendeurs et non des autorités de certification.

Namecheap propose un choix de Comodo / PostiveSSL et de Comodo / EssentialSSL (bien qu'il n'y ait pas de différence technique entre les deux, juste pour la stratégie de marque / le marketing - j'ai demandé à Namecheap et à Comodo à ce sujet - alors qu'EssentialSSL coûte quelques dollars de plus (100 USD contre 94 $) ). DNSimple revend le produit EssentialSSL de Comodo, qui est techniquement identique au PositiveSSL de Comodo.

Notez que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap et DNSimple fournissent non seulement les certificats SSL génériques les moins chers, mais ils offrent également le moins de gadgets marketing de tous les sites que j'ai examinés; et DNSimple semble ne pas avoir de trucs fantaisistes. Voici les liens vers les certificats d’un an les moins chers (je ne peux pas les lier dans le tableau ci-dessus):

À compter de mars 2018, Let's Encrypt prend en charge les certificats génériques . DNSimple prend en charge les certificats Let's Encrypt.

utilisateur664833
la source
1
Regardez le prix par instance - par exemple, je peux avoir 1 million 100 000 000 de serveurs et payer à mon CA seulement 1 prix. Beaucoup de CA veulent de l'argent pour chaque serveur!
Arek B.
1
Peut-être que je l'ai raté, mais je n'ai vu aucune référence au prix par instance sur les sites de CA que j'ai consultés. J'héberge sur Heroku, où mon application s'exécute sur plusieurs dynos ( conteneurs Unix virtualisés ), et la documentation des points de terminaison SSL de Heroku ne mentionne rien sur les instances ou les dynos - donc je suppose que la tarification par instance ne correspond pas à mes besoins particuliers .. bien bien sûr, d'autres personnes peuvent trouver votre commentaire perspicace. Merci quand même!
user664833
2
La tarification par serveur n'a aucun sens. Une fois que vous avez un certificat, vous êtes absolument libre de l'exporter à partir d'un ordinateur et de l'importer sur un autre.
Massimo
@Massimo Auparavant, les licences par serveur étaient assez courantes. Appliqué comme vous le feriez avec une ancienne licence Windows: les contrats et le système honorifique.
ceejayoz
@ceejayoz Ok, je voulais dire qu'il n'y a pas de restrictions techniques pour installer le même certificat sur plusieurs serveurs (et il existe en effet des scénarios dans lesquels cela est obligatoire, par exemple des serveurs Web à charge équilibrée). Bien sûr, les contrats peuvent dire le contraire.
Massimo
11

Un autre point à considérer est la réémission de certificats .

Je ne comprenais pas vraiment ce que cela voulait dire avant l'arrivée de la punaise . J'avais supposé que cela signifiait qu'ils vous remettraient une deuxième copie de votre certificat original et je me demandais à quel point il fallait être désorganisé pour avoir besoin de ce service. Mais il s'avère que cela ne signifie pas que: au moins certains fournisseurs vont heureusement tamponner une nouvelle clé publique tant que cela se produit pendant la durée de validité du certificat d'origine. Je suppose qu'ils ajoutent ensuite votre certificat d'origine à une liste de révocation de certificats, mais c'est une bonne chose.

Si vous souhaitez effectuer cette opération, c’est que vous avez corrompu ou perdu votre clé privée d’origine, ou que vous ayez perdu le contrôle exclusif de cette clé, et bien sûr la découverte d’un bogue mondial dans OpenSSL qui rend probable la confidentialité de votre clé privée. la clé a été extraite par une partie hostile.

Post-heartbleed, je considère cela comme une très bonne chose, et gardez-le à l'œil lors de futurs achats de certificats.

Chapelier Fou
la source
2

Bien que le prix soit probablement un problème clé, les autres problèmes sont la crédibilité du fournisseur , l' acceptation du navigateur et, selon votre niveau de compétence, le support du processus d'installation (un problème plus important qu'il n'y parait, en particulier en cas de problème).

Il convient de noter qu'un certain nombre de fournisseurs appartiennent aux mêmes acteurs haut de gamme - par exemple, Thawte et Geotrust et je pense que Verisign sont tous la propriété de Symantec. Cependant, les annonces de Thawte sont bien plus chères que Geotrust. raison.

À l’inverse, un certificat délivré par StartSSL (que je ne frappe pas, je pense que leur modèle est cool), n’est pas aussi bien pris en charge par le navigateur et n’a pas le même niveau de crédibilité que les gros joueurs. Si vous souhaitez appliquer des «placebos de sécurité» sur votre site, il vaut parfois la peine de faire appel à un joueur plus important, bien que cela importe probablement moins pour les certificats génériques que pour les certificats virtuels.

Comme quelqu'un l'a fait remarquer, une autre différence peut être le "pot de junk" associé au CERT - Je connais les Thawte EV Certs qui m'avaient été précédemment demandés de n'autoriser que l'utilisation sur un seul serveur , tandis que les Geotrust cert plus tard persuader la direction de les remplacer était non seulement moins cher, mais n'avait pas cette limitation - une limitation totalement arbitraire imposée par Thawte.

Davidgo
la source
4
La crédibilité du fournisseur n'a pas beaucoup de sens. Si l'icône du cadenas est présente, les utilisateurs s'en moquent. Si vous travaillez avec une entreprise Fortune 500 avec une équipe de sécurité, elle peut avoir besoin d'un fournisseur particulier, mais sinon ... qui s'en soucie? Quant à StartSSL, ils semblent être largement pris en charge: "tous les principaux navigateurs incluent un support pour StartSSL" - fr.wikipedia.org/wiki/StartCom
ceejayoz
1
Si un fournisseur facturant sa révocation à la lumière de heartbleed et se faisant pirater ne fait pas de différence et que des heures d’indisponibilité pour régénérer des certificats ne nuisent pas à la crédibilité d’une entreprise, alors Startssl a raison en ce qui concerne la crédibilité (j’aime bien commencer, mais c'est un sujet différent). Bien que l'acceptation de leur navigateur soit très élevée, elle est inférieure à celle des autres fournisseurs - voir forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
À votre avis, combien d'utilisateurs finaux a) vérifient qui a émis un certificat et b) connaissent la facturation de StartSSL pour les révocations Heartbleed? Enfer, je ne vérifie pas qui a émis un SSL. Ce qu'ils ont fait chier . Tout ce que je dis, c'est le nombre de personnes que vous perdriez si vous utilisiez leurs certificats.
ceejayoz
Notez que Google Chrome ne fera plus confiance à StartSSL. Voir security.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - bien sûr, startssl n'est plus la société que j'étais lorsque j'ai écrit ce commentaire. Wosign l'a acquise - furtivement - en novembre 2015.
davidgo
1

Vous devez sélectionner un certificat SSL Wildcard en fonction de vos besoins en matière de sécurité.

Avant d'acheter un certificat SSL Wildcard, vous devez connaître quelques facteurs mentionnés ci-dessous.

  1. Réputation et niveau de confiance de la marque: Selon une enquête récente menée par W3Tech sur les autorités de certification SSL, Comodo a dépassé Symantec et est devenu l’AC la plus réputée avec une part de marché de 35,4%.

  2. Types Fonctionnalités ou Wildcard SSL: Les autorités de certification SSL telles que Symantec, GeoTrust et Thawte proposent un certificat SSL Wildcard avec validation commerciale. Le attire plus de visiteurs et augmente également le facteur de confiance du client. Tandis que d'autres CA, Comodo et RapidSSL proposent uniquement SSL SSL avec validation de domaine.

Le Wildcard SSL de Symantec propose également une évaluation quotidienne des vulnérabilités, qui analyse chaque sous-domaine en fonction des menaces malveillantes.

La validation Wildcard avec Business affiche le nom de l’organisation dans le champ URL.

  1. Prix ​​SSL: Symantec offrant plusieurs fonctionnalités ainsi que des caractères génériques, son prix est élevé par rapport à Comodo et RapidSSL.

Ainsi, si vous souhaitez sécuriser votre site Web et vos sous-domaines avec la validation métier, vous devez choisir Symantec, GeoTrust ou Thawte. Pour la validation de domaine, vous pouvez utiliser Comodo ou RapidSSL. Et si vous souhaitez installer une sécurité multicouche avec une évaluation quotidienne des vulnérabilités, vous pouvez utiliser la solution Wildcard de Symantec.

Jake Adley
la source
5
Merci pour votre réponse, mais je ne pense pas que la part de marché implique la confiance. Comodo détient peut-être la plus grande part de marché car les propriétaires de sites Web préfèrent les certificats moins chers, et non parce qu'ils ne font pas plus confiance à Comodo qu'à Symantec. C’est tout un progrès que de conclure que Comodo jouit de la plus grande confiance lorsque sa part de marché n’est qu’une simple 3.3%avance sur Symantec; De plus, si une personne constate qu'un site utilise un certificat Verizon, sa confiance correspondra-t-elle à la part de marché du certificat SSL de Verizon 0.7%? - Non. La validation commerciale est une touche agréable, mais je me demande quelle différence cela fait pour le citoyen.
user664833
Je suis d'accord avec le commentaire ci-dessus. Comodo a été piraté plus d'une fois et ses clés de signature ont été volées. Les transcriptions des pirates informatiques flottent encore sur le Web à ce jour (cherchez ZF0 et Comodo). Ils ont été très négligés dans la gestion de leurs certificats de signature.
Aaron