it-swarm.com.de

Wie kann man entscheiden, wo man ein Wildcard-SSL-Zertifikat kauft?

Vor kurzem musste ich ein Wildcard-SSL-Zertifikat kaufen (weil ich eine Reihe von Subdomains sichern muss), und als ich zum ersten Mal nach einem Kaufort suchte, war ich von der Anzahl der Auswahlmöglichkeiten, Marketingansprüche und der Preisspanne überwältigt. Ich habe eine Liste erstellt, die mir hilft, die Marketing-Gimmicks zu sehen, die die größere Mehrheit der Zertifizierungsstellen (CAs) auf ihren Websites verputzen. Am Ende ist meine persönliche Schlussfolgerung, dass so ziemlich nur der Preis und die Angenehmheit der CA-Website von Bedeutung sind.

Frage : Gibt es neben dem Preis und einer schönen Website etwas, das meiner Überlegung wert ist, zu entscheiden, wo ich ein Wildcard-SSL-Zertifikat kaufe?

63
user664833

Ich glaube, dass bei der Entscheidung, wo ein Wildcard-SSL-Zertifikat gekauft werden soll, die einzigen Faktoren von Bedeutung sind, die Kosten für ein SSL-Zertifikat im ersten Jahr und die Angenehmheit der Website des Verkäufers (dh die Benutzererfahrung) für den Kauf und die Einrichtung des Zertifikats .

Mir ist Folgendes bekannt:

  • Garantieansprüche (z. B. 10.000 USD, 1,25 Mio. USD) sind Marketing-Gimmicks - Diese Garantien schützen die Benutzer einer bestimmten Website vor der Möglichkeit, dass die Zertifizierungsstelle einem Betrüger (z. B. einer Phishing-Website) und dem Der Benutzer verliert dadurch Geld (aber fragen Sie sich: Gibt jemand 10.000 USD oder mehr für Ihre betrügerische Website aus/verliert er? Oh, warten Sie, Sie sind kein Betrüger? Es hat keinen Sinn.)

  • Es ist notwendig, ein 2048-bit CSR ( Zertifikatssignierungsanforderung ) privater Schlüssel zum Aktivieren Ihres SSL-Zertifikats. Nach modernen Sicherheitsstandards ist die Verwendung von CSR-Codes mit einer privaten Schlüsselgröße von weniger als 2048 Bit nicht zulässig. Erfahren Sie mehr hier und hier .

  • Ansprüche von 99+%, 99.3%, oder 99.9% Browser-/Gerätekompatibilität.

  • Ansprüche von schnelle Ausgabe und einfache Installation.

  • Es ist schön, eine Geld-zurück-Zufriedenheitsgarantie zu haben (15 und 30 Tage sind üblich).

Die folgende Liste der Basispreise für Platzhalter-SSL-Zertifikate (keine Verkäufe) sowie der ausstellenden Behörden und Wiederverkäufer wurde am 30. Mai 2018 aktualisiert:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Beachten Sie, dass DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity und SSL2BUY Wiederverkäufer und keine Zertifizierungsstellen sind.

Namecheap bietet eine Auswahl an Comodo/PostiveSSL und Comodo/EssentialSSL (obwohl es keinen technischen Unterschied zwischen beiden gibt, nur Branding/Marketing - ich habe sowohl Namecheap als auch Comodo danach gefragt - während EssentialSSL ein paar Dollar mehr kostet (100 USD gegenüber 94 USD). ). DNSimple verkauft Comodos EssentialSSL weiter, was wiederum technisch identisch mit Comodos PositiveSSL ist.

Beachten Sie, dass SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap und DNSimple nicht nur die billigsten Wildcard-SSL-Zertifikate bieten, sondern auch die geringsten Marketing-Gimmicks aller von mir überprüften Websites aufweisen. und DNSimple scheint überhaupt keine Spielerei zu haben. Hier sind Links zu den günstigsten 1-Jahres-Zertifikaten (da ich sie in der obigen Tabelle nicht verlinken kann):

Ab März 2018 Let's Encrypt unterstützt Wildcard-Zertifikate . DNSimple unterstützt Let's Encrypt-Zertifikate.

49
user664833

Ein weiterer zu berücksichtigender Punkt ist die Neuausstellung von Zertifikaten .

Ich habe nicht wirklich verstanden, was das bedeutet, bis der Heartbleed Bug kam. Ich hatte angenommen, dass dies bedeutete, dass sie Ihnen eine zweite Kopie Ihres Originalzertifikats geben würden, und ich fragte mich, wie unorganisiert man sein musste, um diesen Service zu benötigen. Es stellt sich jedoch heraus, dass dies nicht bedeutet: Zumindest einige Anbieter stempeln gerne einen neuen öffentlichen Schlüssel , solange dies während der Gültigkeitsdauer geschieht des Originalzertifikats. Ich nehme an, sie fügen dann Ihr Originalzertifikat einer CRL hinzu, aber das ist eine gute Sache.

Gründe, warum Sie dies tun möchten, sind, dass Sie Ihren ursprünglichen privaten Schlüssel beschädigt oder verloren haben oder auf irgendeine Weise die ausschließliche Kontrolle über diesen Schlüssel verloren haben, und natürlich die Entdeckung eines weltweiten Fehlers in OpenSSL, der es wahrscheinlich macht, dass Ihr privater Schlüssel wurde von einer feindlichen Partei extrahiert.

Nach dem Herzblut halte ich dies für eine definitiv gute Sache und achte jetzt bei zukünftigen Zertifikatskäufen darauf.

11
MadHatter

Während der Preis wahrscheinlich ein zentrales Thema ist, sind die anderen Themen Glaubwürdigkeit des Anbieters, Akzeptanz des Browsers und, abhängig von Ihrem Kompetenzniveau, nterstützung für die Installation process (ein größeres Problem als es scheint, besonders wenn etwas schief geht).

Es ist erwähnenswert, dass eine Reihe von Anbietern denselben Top-End-Spielern gehören - zum Beispiel Thawte und Geotrust, und ich glaube, Verisign gehören alle Symantec -, Thawte-Zertifikate sind jedoch viel, viel teurer als Geotrust, da sie nicht überzeugend sind Grund.

Auf der anderen Seite wird ein von StartSSL ausgestelltes Zertifikat (das ich nicht anklopfe, ich finde sein Modell cool) im Browser nicht so gut unterstützt und hat nicht die gleiche Glaubwürdigkeit wie die Big Player. Wenn Sie "Sicherheits-Placebos" auf Ihrer Website verputzen möchten, lohnt es sich manchmal, zu einem größeren Player zu gehen - obwohl dies für Wildcard-Zertifikate wahrscheinlich viel weniger wichtig ist als für EV-Zertifikate.

Wie jemand anderes betonte, kann ein weiterer Unterschied der "Müll" sein, der mit dem Zertifikat verbunden ist - ich kenne die Thawte EV-Zertifikate, die ich zuvor angewiesen hatte, nur für die Verwendung auf einem einzelnen Server zuzulassen Während die Geotrust-Zertifikate, durch die ich das Management später überredete, sie zu ersetzen, nicht nur billiger waren, sondern diese Einschränkung nicht hatten - eine völlig willkürliche Einschränkung, die von Thawte auferlegt wurde.

2
davidgo

Sie müssen das Wildcard-SSL-Zertifikat basierend auf Ihren Sicherheitsanforderungen auswählen.

Bevor Sie ein Wildcard-SSL-Zertifikat erwerben, müssen Sie einige der unten genannten Faktoren kennen

  1. Reputations- und Vertrauensniveau der Marke: Wie kürzlich mfrage von W3Techs -) Bei den SSL-Zertifizierungsstellen überholte Comodo Symantec und wurde mit einem Marktanteil von 35,4% zur vertrauenswürdigsten Zertifizierungsstelle.

  2. Typenfunktionen oder Wildcard-SSL: SSL-Zertifizierungsstellen wie Symantec, GeoTrust und Thawte bieten Wildcard-SSL-Zertifikate mit Geschäftsvalidierung an. Das zieht mehr Besucher an und erhöht auch den Vertrauensfaktor der Kunden. Während andere Zertifizierungsstellen, Comodo und RapidSSL Wildcard-SSL nur mit Domänenvalidierung anbieten.

Symantecs Wildcard SSL bietet außerdem eine tägliche Schwachstellenbewertung, mit der jede einzelne Subdomain auf böswillige Bedrohungen überprüft wird.

Wildcard mit Geschäftsüberprüfung zeigt den Organisationsnamen im URL-Feld an.

  1. SSL-Preis: Da Symantec neben Platzhaltern mehrere Funktionen bietet, ist der Preis im Vergleich zu Comodo und RapidSSL hoch.

Wenn Sie Ihre Website und Subdomains mit einer Geschäftsvalidierung sichern möchten, müssen Sie entweder Symantec, GeoTrust oder Thawte auswählen. Für die Domainvalidierung können Sie Comodo oder RapidSSL verwenden. Wenn Sie mehrschichtige Sicherheit mit täglicher Schwachstellenbewertung installieren möchten, können Sie sich für die Wildcard-Lösung von Symantec entscheiden.

1
Jake Adley