Pourquoi la certification godaddy HTTPS / SSL est-elle tellement moins chère que digicert, thawte et verisign?

Je suis un novice sur HTTPS / SSL mais GoDaddy facture 12,99 $ et Digicert, thawte et Verisign facturent plus de 100 000 à plus de certificats SSL.

Je dois manquer quelque chose sur la qualité du cryptage ou quelque chose. Quelqu'un peut-il expliquer certaines des différences fondamentales qui conduisent à ces prix extrêmement différents?

Mettre à jour 12,99 $ est un prix de vente. Les certificats SSL coûtent généralement 89,99 $ sur GoDaddy. Voici un lien sur Godaddy qui fait la comparaison que cette question pose à propos de: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Merci,

Tim

Outre des offres peu sérieuses, vous pouvez faire la distinction entre des certificats SSL valides par domaine moins chers et des certificats SSL (EV) à validation étendue plus coûteux .

Les deux certificats sont techniquement identiques (la connexion est cryptée), mais les certificats validés par domaine sont moins chers, car le vendeur doit uniquement vérifier le domaine. Les certificats EV nécessitent également des informations sur le propriétaire du domaine, et le vendeur doit vérifier si ces informations sont correctes (effort administratif supplémentaire).

Normalement, vous pouvez voir la différence lorsque vous visitez le site avec un navigateur. Firefox, par exemple, mettra en évidence le domaine en bleu pour le SSL validé par le domaine et le vert pour le SSL à validation étendue.

Deux exemples:

• https://accounts.google.com/ (domaine validé)
• https://www.postfinance.ch/ (validé étendu)

Dans la plupart des cas, le certificat validé par le domaine est correct, l'utilisateur ne présente aucun inconvénient et les certificats EV sont vraiment (trop) coûteux.

Sur le site Web de GoDaddy:

Profitez du soutien des normes établies de l'industrie. Il n'y a AUCUNE DIFFÉRENCE TECHNIQUE entre nos certificats et toute autre autorité de certification majeure.

Source: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

La tarification est parfois drôle. Bien que je ne sache pas pourquoi GoDaddy attribue à ses produits le même prix, certaines entreprises optent pour plus de clients à un tarif inférieur, tandis que d'autres optent pour un prix plus élevé et attirent moins de clients.

À titre de comparaison simple, la société 1 peut attirer davantage de clients en proposant ses produits à un prix inférieur. Toutefois, la société 2 peut proposer ses produits à un coût plus élevé, ce qui pourrait compenser un nombre inférieur de clients.

Société 1: 100 clients payant 20 $ / mois = 24 000 $ / an

Société 2: 200 clients payant 10 $ / mois = 24 000 $ / an

Comme vous pouvez le constater dans cette comparaison TRÈS SIMPLE, les deux modèles se sont soldés par le même chiffre d’affaires annuel, mais une entreprise a offert son produit deux fois plus cher que l’autre.

Pour être tout à fait honnête. il n'y a absolument aucune différence en ce qui concerne les certificats SSL. Les seuls facteurs contributifs sont les balises EV / non EV / Wildcard.

EV == Validation étendue: Cela signifie que le site est activement "interrogé" par l'autorité de certification sur l'adresse IP fournie du domaine, puis un script côté serveur compare l'adresse IP de la réponse au ping de l'autorité de certification et l'adresse IP VOUS. sont en train de visiter. Cela ne garantit PAS qu’il n’y ait pas d’attaque par interception, ni d’empoisonnement par DNS dans l’ensemble du réseau. Cela garantit simplement que le site que vous consultez est le même que celui que voit l'autorité de certification.

Non-EV == personne ne vérifie activement l'adresse IP du domaine par rapport à une adresse IP enregistrée / fournie à des fins de sécurité.

Les certificats basés sur des caractères génériques == * .domain.com sont souvent utilisés lorsque les utilisateurs possèdent une multitude de sous-domaines ou un ensemble de sous-domaines en constante évolution, tout en nécessitant un cryptage SSL valide.

La vérité derrière les certificats SSL.

Vous pouvez faire le vôtre. Ils ne sont pas moins sécurisés que tout autre certificat. La différence étant un certificat "auto-signé" n'est pas "garanti" par un tiers.

Le problème avec les certificats SSL est qu'ils sont extrêmement hors de prix pour ce qu'ils sont. Il n'y a absolument AUCUNE GARANTIE que le site que vous visitez appartient à celui qui est répertorié sur le certificat en tant que propriétaire / emplacement, etc. Cela va à l'encontre de l'objectif du modèle de chaîne de confiance tiers mis au point par SSL.

TOUTES les autorités de certification connues sous le nom d'AC qui vendent leurs certificats veulent que l'utilisateur croie que leur certificat est meilleur. En fait, ils ne vérifient jamais les informations fournies pour le certificat, sauf en cas de problème pouvant entraîner une perte de revenus. Cette pratique va également à l'encontre de l'objectif du modèle de chaîne de confiance SSL.

Je ne connais qu'une seule autorité de certification qui valide ses certificats. C'est CACert.org.

Pour pouvoir émettre un certificat "complet" (nom commercial, nom, adresse, téléphone, etc.), vous devez rencontrer l'un des visages FACE-TO-FACE de leur assureur!.

Toutefois. la plupart des navigateurs n'utilisent pas CACert.org en raison des pressions supplémentaires exercées par des méga sociétés comme Thawte, Comodo et Verisign.

Alors .. pour résumer le tout.

Le comportement de l'autorité de certification est la seule différence entre les certificats. On ne peut pas vraiment faire confiance aux certificats pour vérifier autre chose que la connexion au site utilise le cryptage.

Au bout du compte, les gens pensent que payer entre 100 et 1 000 dollars équivaut en quelque sorte à être digne de confiance. Ce n'est pas le cas. Cela signifie simplement que vous traitez avec des escrocs moins sophistiqués ou moins établis.

Lequel vaut le plus, une référence de ma part ou une référence de Bill Gates? N'oubliez pas que les certificats sont plus qu'une solution technique, ils sont une garantie pour vous et que les entreprises peuvent fixer le prix qui leur semble être à la hauteur de leur réputation.

Je venais de constater que GoDaddy n'autorisait pas les certificats "en double" pour vos caractères génériques SSL. (par opposition à GlobalSign, DigiCert, qui les autorise et nombre illimité d’entre eux)

C'est dommage car cela est souvent utilisé lorsque vous gérez une batterie de serveurs et que chacun a sa propre clé privée / csr.

Je travaillais pour une entreprise tierce sur un projet Web pour une grande entreprise de technologie. Nous avons utilisé un certificat SSL GoDaddy et avons constaté que cette autorité de certification avait été rejetée sur les réseaux internes de l'entreprise.

La société à cette époque (il y a 2 ans) n'acceptait pas automatiquement GoDaddy en tant qu'autorité de confiance. Ce n’est qu’avec beaucoup de persuasion que notre certificat a été accepté.

Si nous avions utilisé une marque haut de gamme telle que Thawte, il n'y aurait eu aucun problème. Je ne sais pas pourquoi la société appliquait cette politique, mais le prix du certificat leur a semblé moins fiable.

C’est la seule différence réelle entre les certificats de GoDaddy et d’autres CA de grande taille que j’ai rencontrés.

Techniquement, il n'y a pas de différence. La plupart des autorités de certification proposent des produits similaires, une validation standard ou une validation étendue, dans laquelle l'organisation / la société et le domaine du propriétaire sont vérifiés et remplacés par des caractères génériques.

Ce qui rend le prix différent est:

1. l'image de marque
2. garantie
3. Qualité de service
4. Quantité

Pour ce qui est de la stratégie de marque, Digicert serait le meilleur exemple: ils ont délivré des certificats à des marques telles que Twitter, Facebook et même StackExchange. Pour attirer ce type de clients, il faut un peu de persuasion et un budget de marque, rien ne prouve qu'ils disposent d'une meilleure technologie que quiconque.

La garantie est quelque chose comme une assurance. Il s’agit généralement d’un montant compris entre 0 et des millions de dollars. Il indique essentiellement le montant de l’assurance CA lorsque vous vendez le certificat, si quelque chose comme une transaction frauduleuse sur carte de crédit se produit et que ce soit leur erreur, ils couvriront les coûts jusqu’à concurrence du. hauteur de la garantie. Avec les certificats SSL standard, il s’agit généralement d’une vente jusqu’à CA, qui peut donc facturer davantage au propriétaire, car la technologie de cryptage et la sécurité sont identiques, avec la garantie des certificats EV, mais la plupart du temps, la garantie des certificats EV peut être utile. et voir l'ironie de tout cela.

La qualité du service dépend généralement du client qui paie. Certains CA disposent de systèmes pour leurs gros clients qui peuvent vous aider à garder une trace de vos certificats achetés. Si vous possédez ou gérez plus d'une centaine de certificats, vous pouvez payer un peu plus et disposer d'un meilleur logiciel de gestion, d'un tableau de bord, d'options de facturation plus larges pour les cartes de crédit, outils de maintenance des certificats, outils de création de rapports, certaines autorités de certification offrent même des conseils de sécurité pour la mise en œuvre de serveurs.

La quantité fait baisser les prix. En tant que CA, si vous vendez plus, vos prix sont plus bas. En tant que client, lorsque vous achetez plus, vous pouvez demander de meilleurs prix.