Diferença entre produtos SSL

10

Eu estou procurando alguns certificados SSL para domínios para cobrir o seguinte:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

Certificados curinga são muito caros, por isso vou comprar um único certificado para cada subdomínio (tenho endereços IP suficientes para percorrer).

Minha pergunta é: o que torna um certificado de $ 10 melhor que um certificado de $ 100?

Tome, por exemplo, a a gama de produtos GeoTrust . Eu sei o que é um EV (não preciso disso), e sei o que é um Selo Seguro (nossos usuários já confiam em nós, então não precisa disso).

Mas por que eu compraria um QuickSSL por US $ 69 quando eu conseguisse um RapidSSL por US $ 10? A única diferença é "Reconhecimento de marca" (moderado a médio) e seguro.

Alguém pode espalhar alguma luz sobre o que eles querem dizer com "Reconhecimento de marca"? Nosso site público já é bem confiável por nossos usuários, e os outros dois subdomínios são apenas para o Outlook em Qualquer Lugar (e, portanto, não serão exibidos em um navegador).

    
por Mark Henderson 06.11.2009 / 03:40

2 respostas

10

Da perspectiva típica dos usuários finais, não há diferença entre a maioria dos certificados. Alguns até chamam o sistema SSL de um golpe . Mesmo os certificados de EV realmente não fazem muito para o usuário final típico sobre um certificado barato. Desde que o navegador não reclame, a maioria dos usuários está feliz.

A menos que você tenha um banco ou tenha um grande número de profissionais de segurança altamente paranóicos como clientes, sugiro que obtenha o certificado mais barato possível.

    
por 06.11.2009 / 04:05
6

Esta é realmente uma questão complexa para responder adequadamente ...

Quando você está comprando um certificado SSL, você está basicamente comprando "confiança", o que obviamente não é um produto particularmente fácil de transformar em uma commodity.

Permita-me elaborar um pouco. O que um certificado SSL infere no final do dia?

Para mim, isso significa que alguma organização lá fora, no éter, tomou tempo para verificar se você é quem você diz que é e garante sua autenticidade.

Essa sempre foi a premissa completa por trás do SSL e, historicamente, quando você queria obter um certificado SSL, havia apenas algumas CAs (autoridades de certificação) por aí capazes de fornecer esse serviço. Eles realizariam um grande número de verificações para verificar se estavam fornecendo o certificado SSL para a entidade correta (ou seja, o proprietário ou administrador do domínio) e se a organização que usa o domínio estava legitimamente vinculada para a organização / nome da empresa. Naturalmente, eles estavam fornecendo este serviço a um prêmio absoluto ... E por que não? Eles estavam colocando seu nome e reputação por trás da autenticidade das empresas que estavam verificando.

À medida que o tempo passou, mais empresas conseguiram entrar em ação e tiveram seus certificados raiz agrupados como parte de navegadores comumente distribuídos. Como é o caminho com a concorrência, algumas dessas empresas tentaram se diferenciar largando as calças nos preços. Como parte disso, algumas CAs raiz começaram a oferecer certificados "encadeados" para outras empresas mais abaixo da linha que poderiam, então, vender certificados encadeados aos certificados raiz ... Como resultado de cobrar menos obviamente a qualidade dos cheques que estavam sendo concluídos pelos fornecedores de preço reduzido estavam sendo reduzidos. Hoje em dia, eu ficaria surpreso se muitos dos certificados SSL rápido / instantâneo / rápido / etc estiverem sujeitos a QUALQUER verificação. Obviamente, dado que essas verificações e verificações não estão sendo feitas, o valor de ter uma dessas empresas para atestar você é um pouco diminuído (ou inexistente) ... mas os usuários finais percebem isso? eles se importam?

Na maioria das vezes, provavelmente não.

Como você apontou, você já tem a confiança de seus usuários de qualquer forma ... então, supondo que você não esteja recebendo nenhum erro em seus aplicativos clientes, eu pessoalmente iria apenas pelos certificados mais baratos.

Por outro lado, se eu estivesse administrando um banco com milhares de usuários, eu pagaria um valor alto para essa verificação.

HTH.

    
por 06.11.2009 / 04:15

Tags