Frage Wie kann ich ein Wildcard-SSL-Zertifikat kaufen?


Vor kurzem musste ich ein Wildcard-SSL-Zertifikat kaufen (weil ich eine Reihe von Subdomains sichern muss), und als ich zum ersten Mal suchte, wo ich einen kaufen konnte, war ich überwältigt von der Anzahl an Auswahlmöglichkeiten, Marketingansprüchen und der Preisspanne. Ich habe eine Liste erstellt, um mir zu helfen, die Marketing-Gimmicks zu sehen die größere Mehrheit der Certificate Authorities (CAs) verputzen überall ihre Standorte. Am Ende ist meine persönliche Schlussfolgerung, dass so ziemlich alles, was zählt, der Preis und die Annehmlichkeit der CA-Website ist.

Frage: Neben dem Preis und einer netten Website, gibt es etwas, das es wert ist, dass ich darüber nachdenke, wo ich ein Wildcard-SSL-Zertifikat kaufen kann?


62
2018-05-28 20:32


Ursprung


Ein Kriterium, das sollte nicht fahren Sie Ihre Entscheidung ist die Sicherheit der CA. Und es ist wichtig zu verstehen, warum. Der Grund dafür ist, dass jede Zertifizierungsstelle, mit der Sie nicht Geschäfte machen, Ihre Sicherheit genauso gefährden könnte wie eine, mit der Sie Geschäfte machen. Es gibt zwei Möglichkeiten, wie die schlechte Sicherheit einer Zertifizierungsstelle Ihnen schaden kann. Wenn sie Ihre Kreditkartennummer erhalten, können sie diese verlieren (dies unterscheidet sich nicht von anderen Online-Transaktionen). Und wenn sie etwas so schlecht machen, dass Browser nicht mehr vertrauenswürdig sind, müssen Sie kurzfristig ein neues Zertifikat von einer anderen CA beziehen. - kasperd


Antworten:


Ich glaube, dass bei der Entscheidung, wo ein Wildcard-SSL-Zertifikat zu kaufen ist, nur die Kosten eines SSL-Zertifikats für das erste Jahr und die Attraktivität der Website des Verkäufers (dh Benutzerfreundlichkeit) für den Kauf und die Einrichtung des Zertifikats eine Rolle spielen .

Mir ist folgendes bekannt:

  • Ansprüche auf Garantien (z. B. $ 10K, $ 1,25M) sind Marketing-Gimmicks - Diese Garantien schützen die Benutzer einer bestimmten Website vor der Möglichkeit, dass die CA einem Betrüger ein Zertifikat ausstellt (z. B. Phishing-Site) und der Benutzer dadurch Geld verliert (aber fragen Sie sich selbst: Verauslagt / verliert jemand $ 10K oder mehr) auf deiner betrügerischen Seite? oh warte, du bist kein Betrüger? kein Punkt.)

  • Es ist notwendig, ein 2048-bit CSR (Zertifikatsignierungsanforderung) privater Schlüssel, um Ihr SSL-Zertifikat zu aktivieren. Gemäß modernen Sicherheitsstandards ist die Verwendung von CSR-Codes mit einer privaten Schlüsselgröße von weniger als 2048 Bit nicht erlaubt. Mehr erfahren Hier und Hier.

  • Ansprüche von 99+%, 99.3%, oder 99.9% Browser / Gerätekompatibilität.

  • Ansprüche von schnelle Ausgabe und einfache Installation.

  • Es ist schön, eine Geld-zurück-Zufriedenheitsgarantie zu haben (15 und 30 Tage sind üblich).

Die folgende Liste mit Preisen für Wildcard-SSL-Zertifikate und ausstellenden Behörden und Wiederverkäufern wurde am 30. Mai 2018 aktualisiert:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
   $42 | SSL2BUY / AlphaSSL *
   $70 | CheapSSLShop / Comodo (PositiveSSL) *
   $73 | CheapSSLSecurity / Comodo (PositiveSSL) *
   $89 | sslpoint / Comodo (PositiveSSL) *
   $94 | Namecheap / Comodo (PositiveSSL) * (Can$122)
  $100 | DNSimple / Comodo (EssentialSSL) *
       |
  $150 | AlphaSSL / GlobalSign
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Beachten Sie, dass DNSimple, Namecheap, CheapSSLSecurity, CheapSSLShop, SSL2BUY und sslpoint Reseller und keine Zertifizierungsstellen sind.

Namecheap bietet eine Auswahl an Comodo / PostiveSSL und Comodo / EssentialSSL (obwohl es keinen technischen Unterschied zwischen den beiden gibt, nur Branding / Marketing - ich habe sowohl Namecheap als auch Comodo gefragt), während EssentialSSL ein paar Dollar mehr kostet (100 USD gegenüber 94 USD) ). DNSimple verkauft Comodo's EssentialSSL, das wiederum technisch mit dem PositiveSSL von Comodo identisch ist.

Beachten Sie, dass SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap und DNSimple nicht nur die billigsten SSL-Zertifikate für Wildcards bieten, sondern auch die wenigsten Marketing-Gimmicks aller von mir überprüften Websites aufweisen. und DNSimple scheint überhaupt keine Spielereien zu haben. Hier finden Sie die Links zu den günstigsten 1-Jahres-Zertifikaten (wie ich in der obigen Tabelle nicht verlinken kann):

Ab März 2018 Lass uns verschlüsseln unterstützt Platzhalterzertifikate.


49
2018-05-28 20:32



Sehen Sie sich den Preis pro Instanz an - z. Ich kann 100000000000000 Server haben und an meine CA nur 1 Preis bezahlen. Viele CAs wollen Geld für jeden Server! - Arek B.
Vielleicht habe ich es verpasst, aber ich habe keinen Bezug darauf gesehen Preis pro Instanz auf den CA-Seiten, die ich angeschaut habe. Ich hosste auf Heroku, wo meine App auf mehreren Dynos läuft (virtualisierte Unix-Container), und Herokus SSL-Endpunktdokumentation erwähnt nichts über Instanzen oder Dynos - also nehme ich an pro Instanzenpreis ist für meine speziellen Bedürfnisse nicht relevant .. obwohl andere Ihren Kommentar aufschlussreich finden können. Danke trotzdem! - user664833
Pro-Server-Preise machen einfach keinen Sinn. Sobald Sie ein Zertifikat haben, können Sie es absolut frei von einem Computer exportieren und auf einem anderen Computer importieren. - Massimo
@Massimo Pro-Server-Lizenzen waren früher recht verbreitet. Erzwungen, genau wie Sie eine ältere Windows-Lizenz erzwingen würden - Verträge und das Ehrensystem. - ceejayoz
@ceejayoz Ok, ich meinte, dass es keine gibt technisch Einschränkungen bei der Installation des gleichen Zertifikats auf mehreren Servern (und es gibt in der Tat Szenarien, in denen dies erforderlich ist, z. B. Load-Balanced-Webserver). Verträge können natürlich anders lauten. - Massimo


Ein weiterer zu beachtender Punkt ist die Neuausstellung von Zertifikaten.

Ich habe erst wirklich verstanden, was das bedeutet der Heartbleed-Fehler kam mit. Ich hatte angenommen, dass das bedeutete, dass sie Ihnen eine zweite Kopie Ihres Originalzertifikats geben würden, und ich fragte mich, wie unorganisiert es sein musste, diesen Service zu brauchen. Aber es zeigt sich, dass das nicht heißt: Zumindest einige Anbieter werden es gerne tun ein neuer öffentlicher Schlüssel solange dies während der Gültigkeitsdauer des Originalzertifikats geschieht. Ich nehme an, dass sie dann zu einer CRL Ihr Originalzertifikat hinzufügen, aber das ist eine gute Sache.

Gründe dafür sind, dass Sie Ihren ursprünglichen privaten Schlüssel beschädigt oder verloren haben oder auf irgendeine Weise die ausschließliche Kontrolle über diesen Schlüssel verloren haben, und natürlich die Entdeckung eines weltweiten Fehlers in OpenSSL, der es wahrscheinlich macht, dass Ihr privater Schlüssel wurde von einer feindlichen Partei extrahiert.

Nach dem Herzbluten halte ich das für eine ganz gute Sache und halte es bei zukünftigen Zertifikatskäufen im Auge.


11
2017-08-07 06:41





Während der Preis wahrscheinlich ein Schlüsselthema ist, sind die anderen Fragen die Glaubwürdigkeit des Anbieters, Browserakzeptanz und, abhängig von Ihrem Kompetenzniveau, Unterstützung für den Installationsprozess (ein größeres Problem, als es scheint, besonders wenn Dinge schief gehen).

Es ist erwähnenswert, dass eine Reihe von Anbietern von den gleichen Top-End-Spieler gehört - zum Beispiel Thawte und Geotrust und ich glaube, dass Verisign alle von Symantec gehören - Thawte Certs sind jedoch viel, viel teurer als Geotrust für nicht zwingend Grund.

Auf der anderen Seite ist ein Zertifikat von StartSSL (das ich nicht klopfe, ich denke, dass sein Modell cool ist), im Browser nicht so gut unterstützt und hat nicht die gleiche Glaubwürdigkeit wie die großen Spieler. Wenn Sie "Sicherheit Placebos" über Ihre Website putzen möchten, ist es manchmal Wert, zu einem größeren Spieler zu gehen - obwohl dies wahrscheinlich weniger für Wildcard-Zertifikate zählt, dann ist es für EV Certs.

Wie jemand anders hervorhob, könnte ein anderer Unterschied der "Krempel des Junks" sein, der mit dem Zertifikat assoziiert ist - ich kenne die Thawte EV Certs, die ich zuvor angewiesen hatte, nur für den Gebrauch auf einem zu bekommen einzelner Server, während die Geotrust certs ich später das Management überredete, sie zu ersetzen, war nicht nur billiger, aber hatte diese Begrenzung nicht - eine völlig willkürliche Beschränkung, die von Thawte auferlegt ist.


2
2018-05-30 23:52



Die Glaubwürdigkeit des Anbieters ist ziemlich bedeutungslos. Wenn es das Vorhängeschloss-Symbol hat, ist es den Nutzern egal. Wenn Sie mit einem Fortune-500-Unternehmen mit einem Sicherheitsteam zusammenarbeiten, benötigen sie möglicherweise einen bestimmten Anbieter, aber ansonsten ... wen interessiert das? Wie bei StartSSL scheinen sie weit verbreitet zu sein: "Alle gängigen Browser unterstützen die StartSSL" - en.wikipedia.org/wiki/StartCom - ceejayoz
Wenn ein Anbieter, der wegen Herzbleichs Gebühren erhebt und sie gehackt werden, keinen Unterschied macht, und stundenlange Ausfallzeiten zur Regeneration von Zertifikaten nicht die Glaubwürdigkeit eines Unternehmens schädigen, dann haben Sie Glaubwürdigkeit (ich mag startssl, aber das ist ein anderes Thema). Während ihre Browserakzeptanz sehr hoch ist, ist sie niedriger als bei anderen Anbietern - siehe forum.startcom.org/viewtopic.php?f=15&t=1802 - davidgo
Wie viele Endnutzer denken Sie a), um zu sehen, wer ein Zertifikat ausgestellt hat und b) über StartSSL-Gebühren für Heartbleed-Widerrufsbelehrungen? Hölle, ich Überprüfe nicht, wer ein SSL ausgestellt hat. Was sie getan haben ist scheiße. Die Anzahl der Personen, die Sie verlieren würden, wenn Sie ihre Zertifikate verwenden, sind wahrscheinlich Zahlen in den einstelligen Zahlen. - ceejayoz
Beachten Sie, dass StartSSL Google Chrome nicht mehr vertraut. Sehen security.googleblog.com/2016/10/ ... - sbrattla
@sbrattla yup - natürlich ist startssl nicht mehr die Firma, als ich diesen Kommentar geschrieben habe. Wosign hat es - im November 2015 - heimlich erworben. - davidgo


Sie müssen das Wildcard-SSL-Zertifikat basierend auf Ihren Sicherheitsanforderungen auswählen.

Vor dem Kauf eines Wildcard-SSL-Zertifikats müssen Sie einige der unten genannten Faktoren beachten

  1. Ruf der Marke und Vertrauensebene: Wie neu Umfrage für W3Techs Bei den SSL-Zertifizierungsstellen überholte Comodo Symantec und wurde mit einem Marktanteil von 35,4% zum vertrauenswürdigsten CA.

  2. Typen Features oder Wildcard-SSL: SSL-Zertifizierungsstellen wie Symantec, GeoTrust und Thawte bieten ein Wildcard-SSL-Zertifikat mit Geschäftsvalidierung an. Das zieht mehr Besucher an und erhöht den Vertrauensfaktor des Kunden. Während andere CA, Comodo und RapidSSL Wildcard SSL nur mit Domain-Validierung anbieten.

Wildcard SSL von Symantec bietet außerdem eine tägliche Schwachstellenanalyse, bei der jede einzelne Subdomäne auf bösartige Bedrohungen überprüft wird.

Platzhalter mit Geschäftsvalidierung zeigt den Organisationsnamen im URL-Feld an.

  1. SSL-Preis: Da Symantec mehrere Funktionen zusammen mit Platzhaltern bietet, ist der Preis im Vergleich zu Comodo und RapidSSL hoch.

Wenn Sie also Ihre Website und Subdomains mit einer Geschäftsvalidierung sichern möchten, müssen Sie entweder Symantec, GeoTrust oder Thawte auswählen und für die Domain-Validierung können Sie mit Comodo oder RapidSSL arbeiten. Wenn Sie mehrschichtige Sicherheit mit täglicher Schwachstellenanalyse installieren möchten, können Sie Symantec Wildcard Solution nutzen.


1
2018-05-07 10:00



Danke für Ihre Antwort, aber ich stimme nicht zu, dass Marktanteil Vertrauen bedeutet. Comodo hat möglicherweise den größten Marktanteil, da Website-Besitzer billigere Zertifikate bevorzugen, nicht weil sie Comodo mehr als Symantec vertrauen. Es ist ein ziemlicher Fortschritt, dass Comodo am meisten Vertrauen genießt, wenn sein Marktanteil ein bloßer ist 3.3% vor Symantec; Wenn eine Person außerdem erkennt, dass eine Website ein Verizon-Zertifikat verwendet, entspricht ihr Vertrauen dem Marktanteil von Verizons SSL-Zertifikat 0.7%? - Nein. Die Geschäftsvalidierung ist eine nette Geste, aber ich frage mich, welchen Unterschied dies für die normale Person macht. - user664833
Ich stimme dem obigen Kommentar zu. Comodo wurde mehr als einmal gehackt und ihre Signierschlüssel gestohlen. Die Transkriptionen der Hacker schweben noch immer im Internet (suche nach ZF0 und Comodo). Sie waren sehr schlampig in der Handhabung ihrer Signing-Zertifikate. - Aaron