¿Por qué la certificación godaddy HTTPS / SSL es mucho más barata que digicert, thawte y verisign?

32

Soy un novato en HTTPS / SSL, pero GoDaddy cobra $ 12.99 y Digicert, thawte y Verisign cobran $ 100-1000 + por los certificados SSL.

Debo estar perdiendo algo en la calidad del cifrado o algo así. ¿Alguien puede explicar algunas de las diferencias básicas que conducen a estos precios dramáticamente diferentes?

La actualización de $ 12.99 es un precio de venta. Por lo general, los certificados SSL cuestan $ 89.99 en GoDaddy. Aquí hay un enlace en Godaddy que hace la comparación de esta pregunta: http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo002c

Gracias,

tim

Tim Peterson
fuente
1
Acabo de revisar el sitio GoDaddy y estaban enumerando certs por $ 69.99 CAD.
Sherwin Flight
2
¡startssl incluso ofrece uno gratis!
Rana Prathap

Respuestas:

33

Además de las ofertas poco serias, puede distinguir entre los certificados SSL con validación de dominio más baratos y los certificados SSL (EV) de validación extendida más caros .

Ambos certificados son técnicamente iguales (la conexión está encriptada), pero los certificados validados por dominio son más baratos, porque el vendedor solo tiene que verificar el dominio. Los certificados EV también requieren información sobre el propietario del dominio, y el vendedor debe verificar si esta información es correcta (más esfuerzo administrativo).

Normalmente puede ver la diferencia cuando visita el sitio con un navegador. Firefox, por ejemplo, resaltará el dominio en azul para SSL con validación de dominio y en verde para SSL de validación extendida.

Dos ejemplos:

En la mayoría de los casos, el certificado validado por el dominio está bien, el usuario no tendrá inconvenientes y los certificados EV son realmente (demasiado) caros.

martinstoeckli
fuente
1
gracias, no sabía sobre la diferencia entre dominio vs. validación extendida, ¡gracias por esa aclaración!
Tim Peterson
1
Una persona debe verificar la dirección física de la empresa para obtener un certificado con validación extendida.
ZippyV
1
Creo que algunas CA también ofrecen algún tipo de seguro, en caso de que algo salga mal (pero no está claro qué está cubierto exactamente). (He escrito una respuesta relativamente larga sobre las diferencias entre estos tipos de certs si eso es de interés). El punto principal es que la elección de CA y el tipo de cert solo importa en lo que respecta al cliente. Siempre que el certificado sea confiable por defecto, solo depende de hasta qué punto el usuario esté dispuesto a verificar más detalles (visualmente, a través de la interfaz de usuario).
Bruno
8

Desde el sitio web de GoDaddy:

Disfrute del respaldo de los estándares establecidos de la industria. NO HAY DIFERENCIA TÉCNICA entre nuestros certificados y cualquier otra Autoridad de Certificación importante.

Fuente: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

El precio es algo divertido a veces. Si bien no tengo idea de por qué GoDaddy fija el precio de sus productos de la manera en que lo hacen, algunas compañías buscan más clientes a un precio más barato, mientras que otras lo hacen por un precio más alto y atraen a menos clientes.

Como una simple comparación, la Compañía 1 puede atraer más clientes al ofrecer sus productos a un precio más barato. Sin embargo, la Compañía 2 puede ofrecer sus productos a un costo más alto, lo que podría compensar un menor número de clientes.

Empresa 1: 100 clientes que pagan $ 20 / mes = $ 24,000 / año

Empresa 2: 200 clientes que pagan $ 10 / mes = $ 24,000 / año

Entonces, como puede ver en esta comparación MUY SIMPLE, ambos modelos terminaron con los mismos ingresos anuales, sin embargo, una compañía ofreció su producto por el doble que la otra.

Sherwin Flight
fuente
3
No olvide el factor "Marca": algunos productos simplemente tienen un precio adicional solo porque están etiquetados con un nombre de empresa ampliamente conocido y reconocido.
LazyOne
@LazyOne, es lo mismo con las universidades ...
Pacerier
8

Para ser honesto No hay absolutamente ninguna diferencia cuando se trata de certificados SSL. El único factor que contribuye son las etiquetas EV / no EV / Wildcard.

EV == Validación Extendida: Esto significa que el sitio está activamente "pinchado" por la Autoridad de Certificación en la IP proporcionada del dominio, luego un script del lado del servidor compara la dirección IP de la respuesta de ping de la CA y la dirección IP USTED estan visitando. Esto NO garantiza que no haya un ataque de hombre en el medio o envenenamiento de DNS en toda la red. Esto solo asegura que el sitio que está viendo es el mismo que ve CA.

No EV == nadie está comprobando activamente la IP del dominio contra una IP registrada / provista por razones de seguridad.

Los certificados basados ​​en comodines == * .dominio.com se usan a menudo cuando las personas tienen una multitud de subdominios, o un conjunto de subdominios que cambian constantemente, pero que aún necesitan un cifrado SSL válido.

La verdad detrás de los certificados SSL.

Puedes hacer el tuyo. No son menos seguros que cualquier otro certificado. La diferencia de ser un certificado "autofirmado" no está "avalada" por ningún tercero.

El problema con los certificados SSL es que son extremadamente caros por lo que son. No hay absolutamente ninguna garantía de que el sitio que está visitando pertenezca a la persona que figura en el certificado como propietario / ubicación, etc. Esto anula el propósito del modelo de cadena de confianza de terceros que SSL fue desarrollado para usar.

TODAS las autoridades de certificación conocidas como CA que venden sus certificados, quieren que el usuario crea que su certificado es de alguna manera mejor. Cuando, de hecho, nunca verifican la información provista para el certificado a menos que haya un problema que pueda costarles ingresos. Esta práctica también anula el propósito del modelo de cadena de confianza SSL.

Solo conozco UNA CA que valida sus certificados. Este es CACert.org.

Para que emitan un certificado "completo" (nombre de la empresa, nombre, direcciones, teléfono, etc.), debe cumplir con uno de sus aseguradores CARA A CARA.

Sin embargo. la mayoría de los navegadores no usan CACert.org debido a las presiones que les agregan las grandes corporaciones como Thawte, Comodo y Verisign.

Entonces ... para resumirlo todo.

Las únicas diferencias entre los certificados es el comportamiento de la CA. Realmente no se puede confiar en los certificados para verificar nada más que la conexión al sitio está usando encriptación.

Al final del día, la gente piensa que pagar $ 100 - $ 1000 de alguna manera equivale a la confiabilidad. Este no es el caso. Simplemente significa que trata con delincuentes menos sofisticados o menos establecidos.

usuario34262
fuente
1
Inclusión CAcert en al menos Mozilla fue cancelada por CAcert sí: bugzilla.mozilla.org/show_bug.cgi?id=215243#c158
user2428118
@ user34262, sí, el dinero es un factor importante en todo este mercado de CA ( semi-corrupto ). Temas relacionados: 1) en webmasters.SE , 2) en seguridad.SE , 3) en seguridad.SE
Pacerier
@ user2428118, esa publicación es de hace 10 años. ¿Cuál es la actualización?
Pacerier
@ user34262, Por cierto, ¿cuáles son algunas de estas "presiones" de CA de las que estás hablando?
Pacerier
Generalmente hay tres niveles de certificados: certificados validados por dominio, validados por organización y validados extendidos. Se realizan muy pocas comprobaciones con los certificados DV (en general, solo el correo electrónico automatizado y la comprobación del control de dominio), pero los dos últimos tipos son necesarios para cumplir con las directrices de auditoría y prácticas de emisión publicadas por CA / B Forum . Los navegadores no confían en las CA que no cumplen los requisitos establecidos en la directriz para emitir certificados del tipo respectivo.
Lie Ryan
3

¿Qué vale más, una referencia mía o una referencia de Bill Gates? Debe recordar que los certificados son más que una solución técnica, son alguien que responde por usted y las empresas pueden establecer el precio que consideren que vale su reputación.

JamesRyan
fuente
2
La referencia de Bill Gates es poco convincente, aunque estoy feliz por Khan Academy.
Tim Peterson
@timpeterson, se refiere a la falacia de en.wikipedia.org/wiki/Argument_from_authority
Pacerier
1
@Pacerier no, no lo soy. Eso no tiene nada que ver con la gente que literalmente garantiza la identidad de las organizaciones.
JamesRyan
@JamesRyan, ¿cómo no es? ¿Qué significa " una referencia mía o una referencia de Bill Gates "? ¿"Bill Gates" significa "autoridad" aquí?
Pacerier
3

Acababa de descubrir que GoDaddy no permite certificados "duplicados" para sus comodines SSL. (en lugar de decir, GlobalSign, DigiCert, que los permite, y un número ilimitado de ellos)

Es una pena, ya que esto se usa a menudo cuando administra una granja de servidores y cada uno tiene su propia clave privada / csr.

Frédéric Beuserie
fuente
1
Esto parece información bastante crítica. Parecería corregir cualquier diferencia de precio si tiene que comprar varios certificados de GoDaddy y solo uno de Verisign, etc. ¿Puede proporcionar referencias de enlaces de GoDaddy en su respuesta?
Tim Peterson
2
No, GoDaddy tampoco le permitirá comprar múltiples certificados para el mismo comodín. Solo le permitirán tener uno, que, por lo tanto, debe usar en todos sus servidores.
Mike Scott
1

Estaba trabajando para una compañía externa en un proyecto web para una gran corporación tecnológica. Utilizamos un certificado SSL GoDaddy y descubrimos que esta CA fue rechazada en las redes internas de la empresa.

La corporación en ese momento (hace 2 años) no aceptó automáticamente a GoDaddy como una autoridad confiable. Fue solo con mucha persuasión que nuestro certificado fue aceptado.

Si hubiéramos usado una marca premium como Thawte, no habría habido ningún problema. No estoy seguro de por qué la corporación tenía esta política, pero tal vez el precio del certificado los hizo parecer menos confiables.

Esta es la única diferencia en el mundo real entre los certificados de GoDaddy y otras grandes CA que he encontrado.

Magia de mango
fuente
1
Hmm, ¿es Godaddy el único certificado que rechazan?
Pacerier
0

Técnicamente no hay diferencia. La mayoría de las autoridades de certificación ofrecen productos similares, validación estándar o validación extendida donde se verifica la organización / compañía del propietario y el dominio y los comodines.

Lo que hace que el precio sea diferente es:

  1. Marca
  2. Garantía
  3. Calidad de servicio
  4. Cantidad

Para la marca, el mejor ejemplo sería Digicert: emitieron certificados a marcas como Twitter, Facebook e incluso StackExchange. Para atraer a este tipo de clientes se necesita un poco de persuasión y presupuesto de marca, no hay pruebas de que tengan una mejor tecnología que nadie.

La garantía es algo así como un seguro. Por lo general, es una cantidad entre 0 y millones de dólares, básicamente le dice qué tan alto está asegurado CA cuando le vende el certificado, si ocurre algo así como una transacción fraudulenta de tarjeta de crédito y será su error, cubrirán los costos hasta altura de garantia. Con los certificados SSL estándar se vende principalmente para la compañía de CA para que puedan cobrar más al propietario, porque la tecnología de cifrado y la seguridad son las mismas, con la garantía de los certificados EV puede tener algún uso, pero generalmente cuando lee los términos y condiciones, se reirá y ver la ironía de todo.

La calidad del servicio es algo que generalmente es muy subjetivo y depende del cliente que paga. Algunas CA tienen sistemas para sus grandes clientes que pueden ayudarlo a realizar un seguimiento de sus certificados comprados, si posee o administra más de cientos de certificados, en realidad puede preferir pagar poco más y tener un mejor software de administración, tablero, opciones más amplias de facturación de tarjetas de crédito, herramientas para el mantenimiento de certificados, herramientas de informes, algunas CA incluso ofrecen consejos de seguridad para la implementación del servidor.

La cantidad hace que los precios bajen. Como CA si vende más, sus precios son más bajos, como cliente cuando compra más, puede solicitar mejores precios.

Micro
fuente