choisir le bon certificat SSL

18

Nous cherchons à acheter des certificats SSL pour sécuriser les pages de connexion des sites de commerce électronique. Il n'est pas nécessaire de sécuriser le processus de paiement réel car il est protégé par un tiers avec son propre certificat de vérification. rapidSSL ressemble à une bonne option (et bon marché) mais un vendeur m'a dit qu'ils ne conviennent qu'aux "sites de test" et nous a recommandé d'en utiliser un qui est 4 fois plus cher. Quelqu'un peut-il faire des recommandations sur ce que nous devrions rechercher et ce que nous devrions considérer?

Merci.

robjmills
la source

Réponses:

17

Les certificats sont, indépendamment de ce que disent les vendeurs, à peu près tout de même objectivement en ce qui concerne le chiffrement. Ils permettent tous un cryptage «assez bon», qui dépend en grande partie de la configuration des serveurs Web et des capacités du navigateur. L'interdiction américaine d'exporter un cryptage fort a été levée il y a quelques années, donc aujourd'hui, presque tous les navigateurs prendront en charge un cryptage Twofish ou AES 128 bits, si le serveur le propose. (Étonnamment, de nombreux serveurs utilisent encore des DES 56 bits, RC4 ou d'autres schémas plus faibles, en raison de l'ignorance du sysadmin, ou pour réduire la charge du processeur sur le serveur.)

Le problème des relations de confiance à long certificat en chaîne est également à peu près disparu. Aujourd'hui, la plupart des navigateurs disposent d'un ensemble assez complet d'autorités de confiance préinstallées. Ouvrez l'interface utilisateur de votre navigateur pour voir la vôtre (Firefox 3: Outils> Options> Avancé> Cryptage> Afficher les certificats).

De temps en temps, vous pouvez trouver des promotions où les revendeurs offrent des certificats Comodo, Digicert ou similaires pour environ 20 USD.

Le niveau de «confiance» que votre site inspire aux clients peut être une considération . On peut dire qu'un sceau de site Verisign et la barre de validation étendue verte dans les navigateurs conformes sont meilleurs qu'un simple cryptage 128 bits avec un certificat de GoDaddy. C'est difficile à dire, cela dépendra beaucoup de la démographie de votre utilisateur, de son âge, de ses connaissances en informatique, etc.

Une chose: il peut être avantageux de garder vos informations DNS Whois exactes, car c'est une grande partie de la façon dont les autorités de certification vous vérifient avant d'émettre un certificat. J'imagine qu'il est plus facile d'obtenir votre certificat auprès d'une personne avec laquelle vous faites déjà affaire, comme votre hébergeur Web / registraire DNS, que d'être vérifié par Comodo, Thawte, etc.

Ma proposition est donc d'évaluer vos utilisateurs et de savoir si une marque plus «digne de confiance» sur le sceau du site créera plus de ventes. Et puis effectuez l'une des opérations suivantes:

  • Obtenez le certificat 128 bits le moins cher possible auprès d'un revendeur / registraire DNS / de la personne avec laquelle vous avez déjà un compte. Peut-être recherchez-vous brièvement qui signe le certificat et quelle est l'autorité de certification racine, mais ne le transpirez pas sauf s'il s'agit d'une chaîne d'autorité de certification assez obscure.
  • Obtenez un certificat SSL Verisign ou similaire bien connu (et sanglant) avec une bonne valeur de marque et affichez bien le sceau de votre site. Pensez à opter pour un certificat de validation étendue.

Les certificats " Extended Validation " ajoutent une certaine valeur à mon humble avis, car les navigateurs assurent visuellement aux utilisateurs que tout va bien avec la barre d'adresse verte, le nom de la société, etc. Malheureusement, ces certificats sont également coûteux et plus ennuyeux à valider.

Jesper M
la source
merci beaucoup, c'est à peu près la décision que j'ai prise. Je pense que nous allons probablement opter pour un certificat thawte d'entrée de gamme car ils ont un bon compromis entre un bon prix et une image de marque reconnue.
robjmills
Même si votre paiement est hébergé par un tiers, placez la barre verte EV sur votre site dès que le client montre un intérêt sérieux à ouvrir son portefeuille (ajouter au panier, s'inscrire, etc.) et vous verrez le retour sur investissement, même sur le les certificats EV les plus chers, si vos sites reçoivent un trafic raisonnable. Le facteur "Sur Internet, personne ne sait que vous n'êtes (pas) un chien" est énorme.
Terence Johnson
@TerenceJohnson Je gère une assez grande passerelle de paiement de commerce électronique avec environ 3 000 paiements par jour. Le mois dernier, nous avons décidé d'abandonner les certificats EV au profit des anciens. Pour l'instant, pas un seul payeur ne s'en est plaint et le trafic n'a pas diminué.
kubanczyk
5

Je peux certainement comprendre votre confusion parce que c'est un peu déroutant. Comme d'autres l'ont dit ici, généralement, un certificat est un certificat et offre le même niveau de protection et ressemble aux utilisateurs finaux. Cependant, il existe des différences, principalement en ce qui concerne les niveaux de vérification.

Niveaux de vérification

Il existe trois niveaux de vérification de base: domaine uniquement, domaine et entreprise, et entreprise de domaine et identité du représentant. Le domaine uniquement est en fait une authentification assez faible lorsque vous y pensez, cela ne prouve pas que vous êtes qui vous dites être ou que vous avez le droit d'utiliser la marque. Cependant, pour la plupart des utilisateurs finaux, ils ne connaîtront pas la différence et verront l'icône verrouillée. Le domaine et l'entreprise sont généralement fournis, et ils nécessitent normalement quelque chose de trivial comme une carte de crédit d'entreprise pour vérifier que vous êtes l'entreprise en question.

La vérification étendue est la nouvelle norme qui requiert des étapes supplémentaires de la part de l'autorité de certification pour vérifier que vous êtes bien qui vous dites être et que vous êtes l'entité juridique autorisée à négocier sous ce nom. Voir l'entrée de wikipedia pour plus de détails. Dans Firefox, un certificat EV apparaîtra sous la forme d'une boîte verte légèrement à gauche de l'URL elle-même avec le nom de l'entreprise.

Indemnité

Chaque fournisseur SSL fournira une assurance d'indemnisation différente si quelqu'un d'autre utilise frauduleusement votre certificat ou votre domaine provenant de la même autorité de certification. Je pense qu'il est très rare que les gens aient besoin de suivre cette voie

Couverture à travers les navigateurs

En règle générale, tous les principaux fournisseurs SSL seront immédiatement pris en charge sur tous les principaux systèmes d'exploitation. Certains peuvent vous obliger à servir un groupe de chaînes intermédiaires, ce qui peut être un problème.

Révocation

Toutes les autorités de certification ne prennent pas en charge la possibilité de révoquer des certificats - étonnamment pour moi la dernière fois que j'ai examiné cela, seule une poignée avait une URL de révocation de certificats répertoriée. Si vous êtes sérieux au sujet de votre sécurité, choisissez-en un qui a une URL de révocation.

Sommaire

Vos besoins semblent simples et simples, je vous recommande d'acheter quelque chose de pas cher. RapidSSL, InstantSSL, GoDaddy ou l'un des autres grands joueurs sont très bien.

hellomynameisjoel
la source
2

J'ai obtenu un cert rapidssl que j'ai acheté via www.rapidsslonline.com. Je n'ai jamais eu de problème avec ça. J'ai également obtenu un certificat godaddy.com, je n'ai jamais eu de problème avec ça non plus. La plupart des navigateurs reconnaissent les deux.

Verisign etc. est juste un gaspillage d'argent à moins qu'il n'y ait un besoin spécifique de montrer le logo verisign ou quelque chose.

KristoferA
la source
1
rapidSSL est un certificat racine unique qui devrait suffire et j'étais sur le point de l'acheter jusqu'à ce que le vendeur fasse le commentaire sur les sites de test. Je suppose que la question est de savoir si une marque moins reconnue aura des problèmes négatifs
robjmills
ont également été recommandés le SSL123 par thawte - c'est aussi un certificat d'entrée de gamme mais a une bien meilleure image de marque imo thawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
accorant à se dégeler, le SSL123 ne convient qu'aux serveurs internes ou aux adresses IP
robjmills
1
Les certificats RapidSSL les moins chers peuvent être achetés sur namecheap.com - 10 $ / an lorsque vous achetez deux ou trois ans.
TRS-80