escolhendo o certificado SSL correto

Os certificados são, independentemente do que as pessoas dizem, objetivamente praticamente iguais em relação à criptografia. Todos habilitam a criptografia "boa o suficiente", o que na verdade depende principalmente da configuração dos servidores da Web e um pouco dos recursos do navegador. A proibição dos EUA de exportar criptografia strong foi suspensa há alguns anos, então hoje praticamente todos os navegadores suportarão uma criptografia Twofish ou AES de 128 bits, se o servidor propuser isso. (Surpreendentemente, muitos servidores ainda usam 56 bits DES, RC4 ou outros esquemas mais fracos, devido à ignorância do sysadmin, ou para diminuir a carga de CPU no servidor.)

O problema das relações de confiança entre certificados longos e em cadeia também desapareceu. Atualmente, a maioria dos navegadores tem um conjunto bastante completo de CAs confiáveis pré-instaladas. Abra a interface do usuário do certificado do seu navegador para ver o seu (Firefox 3: Ferramentas > Opções > Avançado > Criptografia > Exibir certificados).

De tempos em tempos, você pode encontrar promoções em que os revendedores oferecem certificados Comodo, Digicert ou similares por ~ 20 USD ou mais.

O nível de 'confiança' que seu site inspira nos clientes pode ser considerado . Indiscutivelmente, um selo de site da Verisign e a barra verde Validação Estendida em navegadores compatíveis é melhor do que uma simples criptografia de 128 bits com um certificado da GoDaddy. É difícil dizer que isso dependerá muito da demografia, da idade, da alfabetização em informática e de seus usuários.

Uma coisa: pode ser benéfico manter as informações do Whois de DNS exatas, pois é uma parte importante de como as CAs o verificam antes de emitir um certificado. Eu imagino que obter seu certificado de alguém com quem você já está fazendo negócios, como seu registro de host / DNS, é mais fácil do que ser verificado por Comodo, Thawte, etc.

Então, minha proposta é avaliar seus usuários e se uma marca mais "confiável" no selo do site gerará mais vendas. E faça um dos seguintes procedimentos:

• Obtenha o certificado de 128 bits mais barato possível de um revendedor / registrador DNS / qualquer pessoa com quem você já tenha uma conta. Talvez investigue brevemente quem assina o Cert e o que é a CA raiz, mas não se preocupe, a menos que seja uma cadeia CA bastante obscura.
• Obtenha um certificado SSL da Verisign ou semelhante (e muito caro) com bom valor de marca e exiba o selo do site com destaque. Considere ir para um certificado Extended Validation.

Os certificados " Validação Estendida " adicionam algum valor IMHO, porque os navegadores visualmente garantem aos usuários que tudo está OK com o barra de endereços verde, nome da empresa proeminente, etc. Infelizmente, esses certificados também são caros e mais irritantes para serem validados.

Eu posso definitivamente entender sua confusão porque é uma área confusa. Como outros disseram aqui, geralmente um certificado é um certificado e fornece o mesmo nível de proteção e parece o mesmo para os usuários finais. No entanto, existem diferenças, principalmente em relação aos níveis de verificação.

Níveis de verificação

Existem três níveis básicos de verificação: somente domínio, domínio e negócios, e domínio empresarial e identidade do representante. Domínio só é realmente fraca autenticação quando você pensa sobre isso, não prova que você é quem você diz que é ou que você tem o direito de usar a marca. No entanto, para a maioria dos usuários finais, eles não saberão a diferença e verão o ícone bloqueado. Domínio e negócios são o que normalmente é fornecido, e eles normalmente exigem algo trivial como um cartão de crédito corporativo para verificar se você é o negócio em questão.

A verificação estendida é o novo padrão que exige etapas adicionais da autoridade de certificação para verificar se você é realmente quem diz ser e se é a entidade legal permitida a negociar com esse nome. Veja a entrada da wikipedia para mais detalhes. No Firefox, um certificado EV será exibido como uma caixa verde ligeiramente à esquerda da própria URL com o nome da empresa.

Indemnização

Cada provedor de SSL fornecerá um seguro de responsabilidade indenizável diferente se você usar outra pessoa fraudulentamente ou usar seu certificado ou seu domínio proveniente da mesma autoridade de certificação. Eu acho que é muito raro que as pessoas realmente precisem seguir esse caminho

Cobertura em navegadores

Normalmente, todos os principais provedores de SSL terão suporte imediato em todos os principais sistemas operacionais. Alguns podem exigir que você sirva um pacote de cadeia intermediária, o que pode ser um aborrecimento.

Revogação

Nem todos os CAs suportam a capacidade de revogar certificados - surpreendentemente para mim, quando olhei pela última vez, apenas um punhado tinha o URL de revogação de certificados listado. Se você levar a sério sua segurança, escolha uma que tenha um URL de revogação.

Resumo

Suas necessidades soam básicas e simples, eu recomendo que você compre algo barato. RapidSSL, InstantSSL, GoDaddy ou qualquer um dos outros grandes jogadores estão bem.

Comprei um certificado de rapidsl que comprei em www.rapidsslonline.com. Nunca tive problema com isso. Também tenho um certificado godaddy.com, nunca tive um problema com isso também. A maioria dos navegadores reconhecerá ambos.

A Verisign, etc., é apenas um desperdício de dinheiro, a menos que haja uma necessidade específica de mostrar o logotipo do verisign ou algo do tipo.