elegir el certificado SSL correcto

18

Estamos buscando comprar algunos certificados SSL para asegurar las páginas de inicio de sesión de los sitios de comercio electrónico. No es necesario asegurar el proceso de pago real ya que está protegido por un tercero con su propio certificado verisign. rapidSSL parece una buena (y barata) opción, pero un vendedor me dijo que solo son adecuados para "sitios de prueba" y recomendó que usemos uno que sea 4 veces el costo. ¿Alguien puede hacer alguna recomendación sobre lo que deberíamos estar buscando y lo que deberíamos considerar?

Gracias.

ssl ssl-certificate robjmills
fuente

Respuestas:

17

Los certificados son, independientemente de lo que digan los vendedores, objetivamente más o menos lo mismo con respecto al cifrado. Todos ellos permiten un cifrado "suficientemente bueno", que realmente depende en gran medida de la configuración de los servidores web y, en cierta medida, de las capacidades del navegador. La prohibición de los Estados Unidos de exportar cifrado seguro se levantó hace algunos años, por lo que hoy en día casi todos los navegadores admitirán un cifrado Twofish o AES de 128 bits, si el servidor lo propone. (Sorprendentemente, muchos servidores todavía usan DES de 56 bits, RC4 u otros esquemas más débiles, debido a la ignorancia del administrador del sistema o para reducir la carga de la CPU en el servidor).

El problema de las largas relaciones de confianza de certificados en cadena también ha desaparecido. La mayoría de los navegadores actuales tienen un conjunto bastante completo de CA confiables preinstaladas. Abra la interfaz de usuario de su navegador para ver la suya (Firefox 3: Herramientas> Opciones> Avanzado> Cifrado> Ver certificados).

De vez en cuando puede encontrar promociones donde los revendedores ofrecen certificados de Comodo, Digicert o similares por ~ 20 USD más o menos.

El nivel de "confianza" que su sitio inspira en los clientes puede ser una consideración . Podría decirse que un sello de sitio Verisign y la barra verde de Validación Extendida en navegadores compatibles es mejor que un simple cifrado de 128 bits con un certificado de GoDaddy. Es difícil saberlo, dependerá mucho de la demografía del usuario, la edad, la alfabetización informática, etc.

Una cosa: puede ser beneficioso mantener su información DNS Whois precisa, ya que es una gran parte de cómo las CA lo verifican antes de emitir un certificado. Me imagino que obtener su certificado de alguien con quien ya está haciendo negocios, como su servidor web / registrador DNS, es más fácil que ser verificado por Comodo, Thawte, etc.

Por lo tanto, mi propuesta es evaluar a sus usuarios, y si una marca más 'confiable' en el sello del sitio generará más ventas. Y luego realice una de las siguientes acciones:

  • Obtenga el certificado de 128 bits más barato que pueda de un revendedor / registrador DNS / con quien ya tenga una cuenta. Quizás investigue brevemente quién firma el Certificado y cuál es la CA raíz, pero no se preocupe a menos que sea una cadena de CA bastante oscura.
  • Obtenga un certificado SSL de Verisign o similar conocido (y muy caro) con un buen valor de marca, y muestre su sello de sitio de manera prominente. Considere solicitar un certificado de validación extendida.

Los certificados de " Validación Extendida " agregan algo de valor en mi humilde opinión, porque los navegadores aseguran visualmente a los usuarios que todo está bien con la barra de direcciones verde, el nombre prominente de la compañía, etc. Desafortunadamente, estos certificados también son caros y más molestos de validar.

Jesper M
fuente
muchas gracias, esta es más o menos la decisión que he tomado. Creo que probablemente vamos a obtener un certificado de nivel de entrada, ya que tienen un buen compromiso entre un buen precio y una marca reconocida.
robjmills
Incluso si su pago es alojado por un tercero, coloque la barra verde EV en su sitio tan pronto como el cliente muestre algún interés serio en abrir su billetera (agregar al carrito, registrarse, etc.) y verá ROI, incluso en el certificados EV más caros, si sus sitios obtienen una cantidad razonable de tráfico. El factor "En Internet, nadie sabe que eres (no) un perro" es enorme.
Terence Johnson
@TerenceJohnson Ejecuto una pasarela de pago de comercio electrónico bastante grande con alrededor de 3k pagos / día. El mes pasado tomamos la decisión de eliminar los certificados EV en favor de los antiguos. A partir de ahora, ni un solo pagador se quejó de esto y el tráfico no se ha reducido.
kubanczyk
5

Definitivamente puedo entender tu confusión porque es un área un poco confusa. Como otros han dicho aquí, generalmente un certificado es un certificado y proporciona el mismo nivel de protección y se ve igual para los usuarios finales. Sin embargo, existen diferencias, principalmente con respecto a los niveles de verificación.

Niveles de verificación

Hay tres niveles básicos de verificación: dominio solo, dominio y negocio, y dominio negocio e identidad del representante. El dominio solo es una autenticación bastante débil cuando lo piensas, no prueba que eres quien dices que eres o que tienes derecho a usar la marca. Sin embargo, para la mayoría de los usuarios finales no sabrán la diferencia y verán el ícono bloqueado. El dominio y el negocio es lo que generalmente se proporciona, y normalmente requieren algo trivial como una tarjeta de crédito corporativa para verificar que usted sea el negocio en cuestión.

La Verificación Extendida es el nuevo estándar que requiere pasos adicionales por parte de la CA para verificar que usted realmente es quien dice ser y que es la entidad legal autorizada a comerciar con ese nombre. Vea la entrada de wikipedia para más detalles. En Firefox, un certificado EV se mostrará como un cuadro verde ligeramente a la izquierda de la URL con el nombre de la empresa.

Indemnidad

Cada proveedor de SSL otorgará un seguro de indemnización diferente en caso de que otra persona utilice fraudulentamente su certificado o su dominio proveniente de la misma CA. Creo que es muy raro que la gente realmente deba seguir este camino

Cobertura en todos los navegadores.

Por lo general, todos los principales proveedores de SSL serán compatibles de inmediato con todos los principales sistemas operativos. Algunos pueden requerir que sirva un paquete de cadena intermedia, lo que puede ser una molestia.

Revocación

No todos los CA admiten la capacidad de revocar certificados. Sorprendentemente para mí la última vez que vi esto, solo unos pocos tenían url de revocación de certificados en la lista. Si te tomas en serio tu seguridad, elige una que tenga una URL de revocación.

Resumen

Sus necesidades parecen básicas y simples, le recomendaría que compre algo barato. RapidSSL, InstantSSL, GoDaddy o cualquiera de los otros grandes jugadores están bien.

hellomynameisjoel
fuente
2

Obtuve un certificado rapidssl que compré a través de www.rapidsslonline.com. Nunca tuve un problema con eso. También obtuve un certificado de godaddy.com, nunca tuve un problema con eso tampoco. La mayoría de los navegadores reconocerán ambos.

Verisign, etc. es solo una pérdida de dinero a menos que exista una necesidad específica de mostrar el logotipo de Verisign o algo así.

KristoferA
fuente
1
rapidSSL es un certificado raíz único que debería ser suficiente y estaba a punto de comprarlo hasta que el vendedor hizo el comentario sobre los sitios de prueba. Supongo que la pregunta es si una marca más reconocida tendrá problemas negativo
robjmills
También se ha recomendado el SSL123 de thawte - su también un certificado de nivel de entrada, pero mucho mejor la marca ha imo thawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
accoring a sí mismos Thawte el SSL123 sólo es adecuado para los servidores internos o direcciones IP
robjmills
1
Los certificados más rápidos de RapidSSL se pueden obtener de namecheap.com: $ 10 / año cuando compra dos o tres años.
TRS-80