¿Cómo decidir dónde comprar un certificado SSL comodín?

63

Recientemente necesitaba comprar un certificado SSL comodín (porque necesito asegurar una cantidad de subdominios), y cuando busqué por primera vez dónde comprar uno, me sentí abrumado por la cantidad de opciones, reclamos de marketing y rango de precios. Creé una lista para ayudarme a ver los trucos de marketing que la mayoría de las Autoridades de Certificación (CA) cubren en sus sitios. Al final, mi conclusión personal es que prácticamente las únicas cosas que importan son el precio y la simpatía del sitio web de CA.

Pregunta: Además del precio y un buen sitio web, ¿hay algo digno de mi consideración al decidir dónde comprar un certificado SSL comodín?

usuario664833
fuente
3
Un criterio que no debe conducir su decisión es la seguridad de la AC. Y es importante entender por qué. La razón es que cualquier CA con la que no esté haciendo negocios podría comprometer su seguridad tan fácilmente como una con la que está haciendo negocios. Hay dos formas en que la seguridad deficiente de una CA puede dañarlo. Si obtienen su número de tarjeta de crédito, podrían filtrarlo (esto no es diferente de cualquier otra transacción en línea). Y si hacen algo tan malo que los navegadores dejan de confiar en ellos, debe obtener un nuevo certificado de una CA diferente a corto plazo.
kasperd

Respuestas:

49

Creo que con respecto a decidir dónde comprar un certificado SSL comodín, los únicos factores que importan son el costo del primer año de un certificado SSL y la comodidad del sitio web del vendedor (es decir, la experiencia del usuario) para la compra y configuración del certificado .

Soy consciente de lo siguiente:

  • Las reclamaciones sobre garantías (por ejemplo, $ 10K, $ 1.25M) son trucos de marketing : estas garantías protegen a los usuarios de un sitio web determinado contra la posibilidad de que la CA emita un certificado a un estafador (por ejemplo, un sitio de phishing) y el usuario pierda dinero como resultado ( pero pregúntese: ¿alguien está gastando / perdiendo $ 10K o más en su sitio fraudulento? Oh, espera, usted no es un estafador? no tiene sentido).

  • Es necesario generar una clave privada 2048-bitCSR ( solicitud de firma de certificado ) para activar su certificado SSL. De acuerdo con los estándares de seguridad modernos, no se permite el uso de códigos CSR con un tamaño de clave privada inferior a 2048 bits. Obtenga más información aquí y aquí .

  • Reclamaciones de 99+%, 99.3%o 99.9%compatibilidad del navegador / dispositivo.

  • Reclamaciones de emisión rápida y fácil instalación .

  • Es bueno tener una garantía de satisfacción de devolución de dinero (15 y 30 días son comunes).

La siguiente lista de precios base de certificados SSL comodín (no ventas) y autoridades emisoras y revendedores se actualizó el 30 de mayo de 2018:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Tenga en cuenta que DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity y SSL2BUY son revendedores, no Autoridades de certificación.

Namecheap ofrece una opción de Comodo / PostiveSSL y Comodo / EssentialSSL (aunque no hay diferencia técnica entre los dos, solo la marca / marketing; pregunté a Namecheap y Comodo sobre esto, mientras que EssentialSSL cuesta unos pocos dólares más (USD $ 100 frente a $ 94) ) DNSimple revende EssentialSSL de Comodo, que, de nuevo, es técnicamente idéntico al PositiveSSL de Comodo.

Tenga en cuenta que SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap y DNSimple proporcionan no solo los certificados SSL de comodín más baratos, sino que también tienen los menos trucos de marketing de todos los sitios que revisé; y DNSimple parece no tener ningún tipo de truco. Aquí hay enlaces a los certificados de 1 año más baratos (ya que no puedo vincularlos en la tabla anterior):

A partir de marzo de 2018 Let's Encrypt admite certificados comodín . DNSimple admite los certificados Let's Encrypt.

usuario664833
fuente
1
Mire el precio por instancia, por ejemplo, puedo tener 100000000000000 servidores y pagar a mi CA solo 1 precio. ¡Muchas CA quieren dinero para cada servidor!
Arek B.
1
Tal vez me lo perdí, pero no vi ninguna referencia al precio por instancia en los sitios de CA que miré. Estoy alojando en Heroku, donde mi aplicación se ejecuta en múltiples dynos ( contenedores Unix virtualizados ), y la documentación de punto final SSL de Heroku no menciona nada sobre instancias o dynos, por lo que supongo que el precio por instancia no es pertinente para mis necesidades particulares. Por supuesto, otros pueden encontrar su comentario perspicaz. ¡Gracias de cualquier manera!
user664833
2
El precio por servidor simplemente no tiene ningún sentido. Una vez que tenga un certificado, es absolutamente libre de exportarlo desde una computadora e importarlo en cualquier otro.
Massimo
Las licencias de @Massimo por servidor solían ser bastante comunes. Aplicado tal como lo haría con una licencia anterior de Windows: contratos y el sistema de honor.
ceejayoz
@ceejayoz Ok, quería decir que no hay restricciones técnicas para instalar el mismo certificado en varios servidores (y de hecho hay escenarios en los que esto es un requisito, por ejemplo, servidores web con equilibrio de carga). Por supuesto, los contratos pueden decir lo contrario.
Massimo
11

Otro punto a considerar es la reemisión de certificados .

Realmente no entendí lo que esto significaba hasta que apareció el insecto sangrado . Supuse que eso significaba que le darían una segunda copia de su certificado original, y me pregunté cuán desorganizado debía ser uno para necesitar ese servicio. Pero se deduce que no significa eso: al menos algunos proveedores estamparán felizmente una nueva clave pública siempre que suceda durante la vigencia del certificado original. Supongo que luego agregan su certificado original a alguna CRL, pero eso es algo bueno.

Las razones por las que desearía hacer esto son que haya corrompido o perdido su clave privada original o, de alguna manera, haya perdido el control exclusivo de esa clave y, por supuesto, el descubrimiento de un error mundial en OpenSSL que hace probable que su clave privada La clave fue extraída por una parte hostil.

Después de una hemorragia cardíaca, considero que esto es definitivamente algo bueno, y ahora esté atento en futuras compras de certificados.

MadHatter
fuente
2

Si bien el precio es probablemente un problema clave, los otros problemas son la credibilidad del proveedor , la aceptación del navegador y, dependiendo de su nivel de competencia, el soporte para el proceso de instalación (un problema mayor de lo que parece, especialmente cuando las cosas salen mal).

Vale la pena señalar que varios proveedores son propiedad de los mismos jugadores de alta gama, por ejemplo, Thawte y Geotrust y creo que Verisign son propiedad de Symantec. Sin embargo, los certificados de Thawte son mucho más caros que Geotrust por no ser convincentes. razón.

En el otro extremo, un certificado emitido por StartSSL (a quien no estoy llamando, creo que su modelo es genial), no es tan compatible con el navegador y no tiene el mismo nivel de credibilidad que los grandes jugadores. Si desea colocar "placebos de seguridad" en su sitio, a veces vale la pena ir a un jugador más grande, aunque esto probablemente sea mucho menos importante para los certificados comodín que para los EV Certs.

Como alguien más señaló, otra diferencia puede ser la "basura" que está asociada con el certificado: conozco los Thawte EV Certs que se me indicó anteriormente que solo se me permitía usar en un solo servidor , mientras que Geotrust certifica que más tarde persuadió a la gerencia para que los reemplazara no solo eran más baratos sino que no tenían esta limitación, una limitación totalmente arbitraria impuesta por Thawte.

davidgo
fuente
44
La credibilidad del proveedor no tiene sentido. Si tiene el icono del candado, a los usuarios no les importa. Si está trabajando con una compañía de Fortune 500 con un equipo de seguridad, pueden requerir un proveedor en particular, pero de lo contrario ... ¿a quién le importa? En cuanto a StartSSL, parecen ser ampliamente compatibles: "todos los principales navegadores incluyen soporte para StartSSL" - es.wikipedia.org/wiki/StartCom
ceejayoz
1
Si un proveedor que cobra por la revocación a la luz de los desanimados y los piratas informáticos no hace la diferencia, y las horas de inactividad para regenerar certs no dañan la credibilidad de una empresa, entonces Startssl tiene razón sobre la credibilidad (me gusta startssl, pero ese es un tema diferente). Si bien la aceptación de su navegador es muy alta, es inferior a la de otros proveedores: consulte forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo
3
¿Cuántos usuarios finales crees que a) verifican para ver quién emitió un certificado yb) saben sobre el cobro de StartSSL por revocaciones de Heartbleed? Diablos, yo no compruebo que emitió un certificado SSL. Lo que hicieron apesta . La cantidad de personas que perdería al usar sus certificados probablemente números en un solo dígito es todo lo que digo.
ceejayoz
Tenga en cuenta que Google Chrome ya no confiará en StartSSL. Ver security.googleblog.com/2016/10/…
sbrattla
@sbrattla yup - por supuesto, startssl ya no es la compañía que era cuando escribí este comentario. Wosign lo adquirió - sigilosamente - en noviembre de 2015.
davidgo
1

Debe seleccionar el certificado SSL comodín según sus necesidades de seguridad.

Antes de comprar el certificado SSL comodín, debe conocer algunos de los factores mencionados a continuación

  1. Reputación y nivel de confianza de la marca: según una encuesta reciente de W3Techs sobre las autoridades de certificación SSL, Comodo superó a Symantec y se convirtió en la CA más confiable con una participación de mercado del 35,4%.

  2. Tipos Características o Wildcard SSL: las autoridades de certificación SSL como Symantec, GeoTrust y Thawte están ofreciendo Wildcard SSL Certificate con validación comercial. Atrae a más visitantes y aumenta el factor de confianza del cliente también. Mientras que otros CA, Comodo y RapidSSL están ofreciendo Wildcard SSL solo con validación de dominio.

El SSL comodín de Symantec también ofrece una evaluación de vulnerabilidad diaria que analiza cada subdominio en busca de amenazas maliciosas.

El comodín con validación empresarial muestra el nombre de la organización en el campo URL.

  1. Precio SSL: como Symantec ofrece múltiples funciones junto con comodines, su precio es alto en comparación con Comodo y RapidSSL.

Entonces, si desea asegurar su sitio web y subdominios con validación comercial, debe elegir Symantec, GeoTrust o Thawte y para la validación de dominio puede elegir Comodo o RapidSSL. Y si desea instalar seguridad multicapa con evaluación de vulnerabilidad diaria, puede optar por la Solución comodín de Symantec.

Jake Adley
fuente
55
Gracias por su respuesta, sin embargo, no estoy de acuerdo en que la cuota de mercado implique confianza. Comodo puede tener la mayor cuota de mercado porque los propietarios de sitios web prefieren certificados más baratos, no porque confíen en Comodo más que en Symantec. Es un gran salto concluir que Comodo es más confiable cuando su cuota de mercado está un poco 3.3%por delante de Symantec; Además, si una persona ve que un sitio está utilizando un certificado de Verizon, ¿su confianza corresponderá a la cuota de mercado del certificado SSL de Verizon 0.7%? - No. La validación comercial es un buen toque, sin embargo, me pregunto qué diferencia hace para la persona común.
usuario664833
Estoy de acuerdo con el comentario de arriba. Comodo ha sido pirateado más de una vez y sus claves de firma robadas. Las transcripciones de los piratas informáticos todavía están flotando en la web hasta el día de hoy (busque ZF0 y Comodo). Fueron muy descuidados en el manejo de sus certificados de firma.
Aaron