it-swarm.com.de

Warum sind SSL-Zertifikate eine jährliche Ausgabe?

Ich verstehe, dass SSL-Zertifikate aufgrund ihres guten Rufs Geld kosten: Die meisten Webbrowser haben eine begrenzte Liste von Unternehmen, die nachgewiesen haben, dass sie vertrauenswürdige Quellen für SSL-Zertifikate sind, und daher Benutzern kein Back To Safety) präsentieren ! Bildschirm für die Produkte dieser Unternehmen.

Meine Frage ist, warum dies keine einmalige Ausgabe ist. Ich denke darüber nach, von einem selbstsignierten Zertifikat zu wechseln, aber mein Webhost hat mir gerade gesagt, dass es bei 35 USD beginnen würde pro Jahr, und sie können leicht bis zu Hunderten pro Jahr steigen. Warum ist das keine einmalige Gebühr?

32
user1717828

Es ist leicht zu glauben, dass das Zertifikat eine begrenzte Lebensdauer hat, nur um eine wiederkehrende Gebühr zu erheben, aber es ist tatsächlich umgekehrt: Ein Zertifikat hat eine begrenzte Lebensdauer und daher Sie müssen für eine neue bezahlen, wenn die Lebensdauer abgelaufen ist.

Um zu verstehen, warum dies der Fall ist, lesen Sie die FAQ von Let's Encrypt , die free Zertifikate, beschränken ihre Lebensdauer jedoch auf 90 Tage. Ihre Hauptbegründung lautet:

Sie begrenzen den Schaden durch wichtige Kompromisse und Fehlausgaben. Gestohlene Schlüssel und falsch ausgestellte Zertifikate sind kürzer gültig.

Solange das Zertifikat gültig ist, kann sich jeder, der eine Kopie dieses Zertifikats und des entsprechenden privaten Schlüssels erhält, als Eigentümer dieser Domain ausgeben. Wenn Ihr System kompromittiert ist oder Sie in der Domäne verkaufen oder irgendetwas anderes über die Statusänderungen des Zertifikats in dieser Zeit, können Clients dem Zertifikat weiterhin vertrauen .

Es ist möglich, ein Zertifikat innerhalb seiner Lebensdauer zu widerrufen. Dies hängt jedoch davon ab, dass der Client anhand einer von der Zertifizierungsstelle verwalteten Sperrliste prüft, was nicht der Fall ist so zuverlässig wie das Ablaufdatum, das Teil des manipulationssicheren Zertifikats ist.

Dies ist tatsächlich eine der Stärken von Let's Encrypt: Sie bieten die gleiche Validierungsstufe wie Basiszertifikate von kostenpflichtigen Diensten, aber durch die Verwendung eines automatisierten Systems beseitigen sie die Versuchung, langlebige Zertifikate zu kaufen.

Wenn Sie keine "erweiterte Validierung" (Zertifizierung Ihrer Unternehmensidentität und nicht nur Ihres Eigentums an der Domain) benötigen, verwenden Sie Let's Encrypt und erneuern Sie häufiger, jedoch kostenlos und automatisch , kann Ihre beste Vorgehensweise sein. Auf einigen Webhosts ist dies jetzt so einfach wie das Aktivieren eines Kontrollkästchens in der Systemsteuerung, um die automatisierte Konfiguration zu aktivieren.

35
IMSoP

Beginnen wir mit der zynischen Sichtweise:

Zertifizierungsstellen sind gewinnorientierte Unternehmen, daher berechnen sie so viel, wie sie können!


Im Ernst, die Führung einer Zertifizierungsstelle ist ein teures Geschäft mit geringer Gewinnspanne, aber die Antwort hängt wirklich von der Art des gewünschten Zertifikats ab.

Domain-validierte (DV) Zertifikate

Für ein grundlegendes DV-Zertifikat, bei dem die Adressleiste Ihres Browsers folgendermaßen aussieht: DV cert in browser address bar

die Kosten sind sehr niedrig - im Grunde muss die Zertifizierungsstelle nur bestätigen, dass die Person, die das Zertifikat anfordert, zum Zeitpunkt der Anforderung die Kontrolle über den Server hatte. Dies kann vollständig automatisiert werden. Wie @SteffenUllrich hervorhebt, haben sich 2014 die Electronic Frontier Foundation, Mozilla und die University of Michigan zusammengetan, um eine 100% kostenlose CA Let's Encrypt für die Ausstellung von DV-Zertifikaten einzurichten. Basierend auf dem Anwendungsfall, den Sie in der Frage beschrieben haben, scheint dies Ihren Anforderungen zu entsprechen.

EV-Zertifikate (Extended Validation)

Wenn Sie möchten, dass die High-End-Zertifikate, die Ihren verifizierten Firmennamen und das Land, in dem sie registriert sind, enthalten, wie folgt im Browser angezeigt werden:

(EV cert browser address bar

dann entstehen der Zertifizierungsstelle erheblich mehr Kosten. Vor der Ausstellung eines EV-Zertifikats muss die Zertifizierungsstelle einen ganzen Haufen Dinge über den rechtlichen Status Ihres Unternehmens überprüfen lassen. Dinge wie: Ist Ihr Unternehmen legal unter dem Namen registriert, der in der Zertifizierungsanfrage aufgeführt ist? Ist die Person, die das Zertifikat anfordert, in den Registrierungsdokumenten des Unternehmens als juristischer Mitarbeiter des Unternehmens aufgeführt? Ist der DNS-Eintrag für die angeforderte Website bei derselben Firma registriert? usw.

Warum eine wiederkehrende Gebühr?

Der Grund, warum Zertifizierungsstellen eine wiederkehrende Gebühr erheben, ist der gleiche Grund, warum Sie kein 10-jähriges SSL-Zertifikat erhalten können: Für das CA/Browser-Forum müssen Zertifikate ablaufen und alle ein oder zwei Jahre vollständig neu validiert werden. Die Sicherheitsgründe dafür sind, einen Schlüssel-Rollover zu erzwingen, um zu verhindern, dass das Unternehmen bankrott geht oder den Namen ändert, und dass ein betrügerischer Systemadministrator das Zertifikat weiterhin schändlich verwendet usw.

Die Zertifizierungsstelle muss all diese Hintergrundprüfungen nicht nur bei der Erstausstellung, sondern auch bei jeder Erneuerung des Zertifikats durchführen. Der Mehrwert für Sie besteht darin, dass Ihre Kunden ein höheres Maß an Sicherheit in Bezug auf die Vertrauenswürdigkeit Ihrer Website erhalten (99% der Verbraucher werden es nicht bemerken, Auditoren und Hacker jedoch sicherlich!), Und Google bewegt sich ebenfalls um Websites mit höherwertigen Zertifikaten eine höhere Suchpräferenz zu geben.

Aus diesem Grund können Zertifikate Hunderte von Dollar pro Jahr kosten. Sie zahlen nicht nur für ein paar Daten, sondern auch für die Zeit des Menschen, der die Überprüfung durchführen muss.

OCSP-Server

Es gibt auch Serverkosten für die Wartung eines Zertifikats, hauptsächlich die Kosten für OCSP , was erfordert, dass die Zertifizierungsstelle eine hohe Bandbreite, geringe Latenz und keine Ausfallzeiten aufrechterhält Server für die Beantwortung von Widerrufsprüfungen für jedes von ihnen ausgestellte Zertifikat. Dies klingt möglicherweise nicht teuer, aber jeder Webbrowser muss bei jedem Laden der HTTPS-Seite den OCSP-Server einer Zertifizierungsstelle anpingen. Jede zusätzliche Millisekunde, die die Zertifizierungsstelle benötigt, um zu antworten, erhöht die Ladezeit der Seite von jeder Seite im Internet . Das Ausführen eines Servers mit geringer Latenz bei diesem Verkehrsaufkommen ist ein schwieriges Problem bei der Netzwerktechnik.

[Offenlegung: Ich arbeite für eine Zertifizierungsstelle]

64
Mike Ounsworth

Während der Lebensdauer des Zertifikats muss die Zertifizierungsstelle in der Lage sein, es zu widerrufen. Dies bedeutet:

  • pflege der Liste der widerrufenen Zertifikate (CRL)
  • antworten auf Kunden, die nach dem Widerrufsstatus (OCSP) fragen.

Solange das Zertifikat gültig ist, "kostet" das Zertifikat der Zertifizierungsstelle etwas.

Darüber hinaus muss die Zertifizierungsstelle ein hohes Maß an Sicherheit und Vertrauen aufrechterhalten, um zu vermeiden, dass Browser ihnen nicht vertrauen.

Um mehr über OCSP zu erklären:

Jeder Besucher einer Website kann die Zertifizierungsstelle um einen Nachweis des Nicht-Widerrufs bitten. Dieser Nachweis muss aktuell sein, dh die Zertifizierungsstelle muss diesen Nachweis regelmäßig (etwa alle 10 Tage) für jedes aktive Zertifikat unterzeichnen.

Um einen echten Überblick darüber zu erhalten, was es kostet, eine (nicht kommerzielle) Zertifizierungsstelle zu betreiben:

https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html

Personal $ 2.06M USD

Hardware/Software 0,20 Mio. USD

Hosting/Auditing 0,30 Mio. USD

Rechtliche/administrative $ 0,35 Mio. USD

Insgesamt 2,91 Mio. USD

Für eine kommerzielle Zertifizierungsstelle müssen Sie natürlich die Kosten für Abrechnung, Anzeigen, Anlegervergütung ...

Für OV/EV-Zertifikate müssen Sie die Kosten für die manuelle Überprüfung der eingereichten Dokumente hinzufügen, um das Eigentum des Unternehmens nachzuweisen.

11
Tom