Frage Wählen Sie das richtige SSL-Zertifikat


Wir suchen nach einigen SSL-Zertifikaten, um die Anmeldeseiten von E-Commerce-Websites zu schützen. Es ist nicht erforderlich, den eigentlichen Zahlungsprozess zu sichern, da dieser durch einen Dritten mit einem eigenen Zertifikat geschützt ist. rapidSSL sieht wie eine gute (und billige) Option aus, aber ein Verkäufer hat mir gesagt, dass sie nur für "Test-Sites" geeignet sind und empfahl, dass wir einen verwenden, der das Vierfache der Kosten ist. Kann jemand Empfehlungen geben, wonach wir suchen sollten und was wir beachten sollten?

Vielen Dank.


18
2017-09-07 11:08


Ursprung




Antworten:


Zertifikate sind, egal was Verkäufer sagen, objektiv ziemlich egal in Bezug auf die Verschlüsselung. Sie alle ermöglichen eine "gut genug" Verschlüsselung, die hauptsächlich von der Konfiguration der Webserver und etwas von den Fähigkeiten des Browsers abhängt. Das US-Exportverbot für starke Verschlüsselung wurde vor einigen Jahren aufgehoben, so dass heute fast alle Browser eine 128-Bit Twofish- oder AES-Verschlüsselung unterstützen, wenn der Server dies vorschlägt. (Überraschenderweise verwenden viele Server immer noch 56bit DES, RC4 oder andere schwächere Schemata, weil der Sysadmin nicht bekannt ist oder die CPU-Last auf dem Server geringer ist.)

Das Problem der langen Daisy-Chain-Zertifikats-Vertrauensbeziehungen ist ebenfalls ziemlich verschwunden. Die meisten Browser verfügen heute über ziemlich viele vorinstallierte vertrauenswürdige CAs. Öffnen Sie die Benutzeroberfläche Ihres Browsers, um Ihre zu sehen (Firefox 3: Extras> Optionen> Erweitert> Verschlüsselung> Zertifikate anzeigen).

Von Zeit zu Zeit finden Sie Angebote, bei denen Reseller Comodo, Digicert oder ähnliche Zertifikate für ca. 20 USD anbieten.

Das Maß an "Vertrauen" Ihrer Website bei Kunden kann eine Überlegung sein. Ein Verisign-Site-Siegel und die grüne Extended Validation-Leiste in kompatiblen Browsern ist besser als eine einfache 128-Bit-Verschlüsselung mit einem Zertifikat von GoDaddy. Es ist schwer zu sagen, es hängt viel von Ihrer demographischen Daten, Alter, Computerkenntnisse und so weiter.

Eine Sache: Es kann von Vorteil sein, Ihre DNS-Whois-Informationen korrekt zu halten, da dies ein wichtiger Teil davon ist, wie CAs Sie vor der Ausstellung eines Zertifikats verifizieren. Ich könnte mir vorstellen, dass es einfacher ist, Ihr Zertifikat von jemandem zu bekommen, mit dem Sie bereits Geschäfte machen, wie z. B. Ihrem Web-Host / DNS-Registrar, als von Comodo, Thawte usw. bestätigt zu werden.

Mein Vorschlag besteht also darin, Ihre Nutzer zu bewerten, und ob ein "vertrauenswürdigeres" Branding auf dem Website-Siegel zu mehr Umsatz führt. Und dann tu folgendes:

  • Holen Sie sich das günstigste 128-Bit-Zertifikat von einem Reseller / DNS-Registrar / demjenigen, mit dem Sie bereits ein Konto haben. Vielleicht untersuchen Sie kurz, wer das Cert signiert, und was die Root-CA ist, aber schwitzen Sie es nicht, es sei denn, es ist eine ziemlich obskure CA-Kette.
  • Holen Sie sich ein Verisign oder ein ähnliches bekanntes (und blutig teures) SSL-Zertifikat mit gutem Markenwert und zeigen Sie das Website-Siegel prominent an. Ziehen Sie ein Extended-Validierungs-Zertifikat in Betracht.

Das "Erweiterte Validierung"Zertifikate verleihen IMHO einen gewissen Mehrwert, weil die Browser den Benutzern visuell versichern, dass alles in Ordnung ist mit der grünen Adressleiste, dem prominenten Firmennamen usw. Leider sind diese Zertifikate auch teuer und für die Validierung mehr lästig.


17
2017-09-07 13:26



vielen dank, das ist so ziemlich die entscheidung, zu der ich gekommen bin. Ich denke, wir werden wahrscheinlich für ein Einsteiger-Zertifikat thawte gehen, da sie einen guten Kompromiss zwischen gutem Preis und erkanntem Branding haben. - robjmills
Auch wenn Ihr Checkout von Drittanbietern gehostet wird, legen Sie den EV-grünen Balken auf Ihrer Website ab, sobald der Kunde ernsthaftes Interesse daran zeigt, den Geldbeutel zu öffnen (zum Warenkorb hinzufügen, registrieren usw.) und Sie ROI sehen teuerste EV-Zertifikate, wenn Ihre Websites eine angemessene Menge an Verkehr bekommen. Der "Im Internet ist niemand weiß, du bist (nicht) ein Hund" Faktor ist riesig. - Terence Johnson
@TerenceJohnson Ich betreibe ein ziemlich großes E-Commerce-Zahlungs-Gateway mit rund 3k Zahlungen / Tag. Letzten Monat haben wir uns entschieden, EV-Zertifikate zugunsten von einfach alten abzulehnen. Bis jetzt hat sich kein einziger Zahler darüber beschwert und der Verkehr ist nicht geschrumpft. - kubanczyk


Ich kann Ihre Verwirrung definitiv verstehen, weil es ein etwas verwirrender Bereich ist. Wie andere hier gesagt haben, ist ein Zertifikat im Allgemeinen ein Zertifikat und bietet die gleiche Schutzstufe und sieht für die Endbenutzer gleich aus. Es gibt jedoch Unterschiede, vor allem in Bezug auf das Niveau der Überprüfung.

Überprüfungsebenen

Es gibt drei grundlegende Verifizierungsebenen: Nur Domäne, Domäne und Geschäft und Domäne Geschäft und Identität des Vertreters. Domain ist nur eine ziemlich schwache Authentifizierung, wenn Sie darüber nachdenken, es beweist nicht, dass Sie sind, wer Sie sagen, Sie sind oder dass Sie das Recht haben, die Marke zu verwenden. Den meisten Endbenutzern wird der Unterschied jedoch nicht bekannt sein und sie werden das gesperrte Symbol sehen. Domain und Business ist das, was typischerweise zur Verfügung gestellt wird, und sie erfordern normalerweise etwas Triviales wie eine Firmenkreditkarte, um zu bestätigen, dass Sie das fragliche Geschäft sind.

Die erweiterte Verifizierung ist der neue Standard, der von der Zertifizierungsstelle zusätzliche Schritte erfordert, um zu überprüfen, ob Sie tatsächlich der sind, von dem Sie sagen, dass er Sie ist, und dass die juristische Person berechtigt ist, unter diesem Namen zu handeln. Sehen Wikipedia-Eintrag für mehr Details. In Firefox wird ein EV-Zertifikat als grüne Box links neben der URL mit dem Firmennamen angezeigt.

Entschädigung

Jeder SSL-Anbieter wird eine andere Schadloshaltungsversicherung abschließen, falls jemand anders Ihr Zertifikat oder Ihre Domäne in betrügerischer Absicht von derselben Zertifizierungsstelle verwendet. Ich denke, es ist sehr selten, dass Menschen diesen Weg tatsächlich gehen müssen

Abdeckung über Browser hinweg

In der Regel werden alle wichtigen SSL-Anbieter sofort auf allen wichtigen Betriebssystemen unterstützt. Einige erfordern möglicherweise, dass Sie ein intermediäres Kettenbündel bedienen, was sehr mühselig sein kann.

Widerruf

Nicht alle CAs unterstützen die Fähigkeit, Zertifikate zu widerrufen - überraschend für mich, als ich das zum letzten Mal angeschaut habe, waren nur eine Handvoll Zertifikatswiderrufs-URLs aufgelistet. Wenn Sie Ihre Sicherheit ernst nehmen, wählen Sie eine mit einer Sperr-URL.

Zusammenfassung

Ihre Bedürfnisse klingen einfach und einfach, ich würde Ihnen empfehlen, etwas günstiges zu kaufen. RapidSSL, InstantSSL, GoDaddy oder einer der anderen großen Spieler sind alle in Ordnung.


5
2018-03-25 10:26





Ich habe ein Rapidssl-Zertifikat bekommen, das ich über www.rapidsslonline.com gekauft habe. Hatte nie ein Problem damit. Habe auch ein godaddy.com cert, hatte auch nie ein Problem damit. Die meisten Browser werden beide erkennen.

Verisign usw. ist nur eine Verschwendung von Geld, es sei denn, es besteht eine besondere Notwendigkeit, das Verisign-Logo oder etwas anderes zu zeigen.


2
2017-09-07 11:13



rapidSSL ist ein einzelnes Root-Zertifikat, das genug sein sollte und ich war an der Stelle, es zu kaufen, bis der Verkäufer den Kommentar über Test-Sites abgegeben hat. Ich denke, die Frage ist, ob eine weniger bekannte Marke negative Probleme haben wird - robjmills
wurde auch empfohlen die SSL123 von Thawte - es ist auch ein Einstiegs-Zertifikat, hat aber viel bessere Branding-Imo thawte.com/ssl-digital-certificates/ssl123/index.html - robjmills
Entsprechend der thawte selbst ist die SSL123 nur für interne Server oder IP-Adressen geeignet - robjmills
Die billigsten RapidSSL-Zertifikate können von namecheap.com erhalten werden - $ 10 / Jahr, wenn Sie zwei oder drei Jahre kaufen. - TRS-80