it-swarm-vi.com

Có bất kỳ lý do bảo mật kỹ thuật nào để không mua chứng chỉ SSL rẻ nhất bạn có thể tìm thấy không?

Trong khi mua một chứng chỉ SSL cơ bản cho blog của mình, tôi thấy rằng nhiều Cơ quan Chứng nhận nổi tiếng hơn có chứng chỉ cấp nhập cảnh (với xác nhận ít nghiêm ngặt hơn về danh tính của người mua) với giá khoảng 120 đô la trở lên. Nhưng sau đó tôi thấy rằng Giải pháp Mạng cung cấp một trong những loại máy cấp thấp này với giá 29,99 đô la (12 giờ trước là 12,95 đô la) với hợp đồng 4 năm.

Có bất kỳ lý do bảo mật kỹ thuật nào mà tôi nên biết về điều đó có thể khiến tôi hối hận khi mua chứng chỉ cấp thấp nhất không? Tất cả họ đều hứa những điều như nhận dạng trình duyệt 99%, v.v. Tôi không hỏi câu hỏi này trên SE để so sánh những thứ như chất lượng hỗ trợ của CA (hoặc thiếu nó) hoặc bất cứ điều gì tương tự. Tôi muốn biết nếu có bất kỳ lý do mật mã hoặc PKI nào, vì vậy hãy tránh một chứng chỉ có chi phí rất ít. Nó, giống như những người khác, nói rằng nó cung cấp "mã hóa lên tới 256 bit".

140
Luke Sheppard

Đối với mục đích của cuộc thảo luận này, chỉ có một vài khác biệt giữa các chứng chỉ ký web:

  1. Mở rộng so với xác nhận tiêu chuẩn (thanh màu xanh lá cây).
  2. Số bit trong yêu cầu chứng chỉ (1024/2048/4096).
  3. Chuỗi chứng chỉ.

Việc thiết lập chứng chỉ với chuỗi tin cậy ngắn hơn sẽ dễ dàng hơn nhưng có những loại giấy rẻ tiền ngoài kia với chuỗi sâu trực tiếp hoặc chỉ một cấp. Bạn cũng có thể nhận được các certs 2048 và 4096 bit lớn hơn với giá rẻ.

Miễn là bạn không cần xác nhận mở rộng, thực sự không có lý do gì để đi với các chứng chỉ đắt tiền hơn.

Có một lợi ích cụ thể mà một nhà cung cấp lớn hơn cung cấp - nhà cung cấp càng chính, họ càng ít bị thu hồi lòng tin trong trường hợp vi phạm.
[.__.] Ví dụ: DigiNotar là một nhà cung cấp nhỏ hơn không may bị thu hồi lòng tin vào tháng 9 năm 2011.

91
Tim Brigham

Những điều tốt trong các câu trả lời khác, hãy để tôi thêm một số nhận xét về hành vi CA thích hợp.

Nếu CA có tiền sử

  • của thiếu bảo mật thực thi chính sách,
  • của vi phạm của thỏa thuận "trình duyệt CA",
  • của ký tên không phải DNS bằng chứng chỉ gốc chính thức của họ (như địa chỉ IP hoặc tên DNS không tồn tại f.ex. bosscomputer.private),
  • của thiếu minh bạch về hành vi và các đại lý của nó,

và người dùng cuối (như tôi) kiểm tra chứng chỉ của bạn và biết về điều này, điều đó có thể phản ánh không tốt về bạn. Đặc biệt là bất kỳ CA nào là một bộ phận của một công ty cũng hoạt động trong lĩnh vực đánh chặn liên kết.

Khi tôi thấy USERtrust hoặc COMODO hoặc Verisign trong chuỗi chứng chỉ, tôi không ấn tượng tích cực.

29
curiousguy

Từ quan điểm kỹ thuật, điều duy nhất quan trọng là nhận dạng trình duyệt. Và tất cả các cơ quan đáng tin cậy có phạm vi bảo hiểm rất gần 100%.

Tôi có thể nói nhiều hơn, nhưng để tránh trùng lặp nỗ lực, đây là một câu hỏi gần như giống hệt nhau với rất nhiều câu trả lời có lý do: Tất cả các Chứng chỉ SSL có bằng nhau không?

18
tylerl

Trong ánh sáng của mới nhất NSA tiết lộ , tôi muốn nói rằng toàn bộ khái niệm về Root CA thương mại là về cơ bản là thiếu sót và bạn chỉ nên mua từ CA rẻ nhất có chứng chỉ gốc được cài đặt trong chuỗi tin cậy của trình duyệt và hệ điều hành.

Trong thực tế, chúng ta cần nhiều gốc chuỗi tin cậy chứng chỉ thay vì hiện tại gốc đơn chuỗi tin cậy. Bằng cách đó, thay vì bỏ qua sức mạnh thực sự của các chính phủ đối với "ép buộc" nhà cung cấp thương mại - bạn chỉ cần nhận được chứng chỉ của mình được ký bởi nhiều chính phủ (tốt nhất là đối kháng). Ví dụ: có Bronies vs Juggalos Trang web trận đấu lồng có chữ ký của Hoa Kỳ, Nga, Trung Quốc, Iceland và Brazil. Có thể tốn nhiều tiền hơn nhưng sẽ thực sự làm giảm khả năng thông đồng.

13
LateralFractal

Cho dù bạn đi với CA nào, người dùng của bạn đảm bảo rằng họ thực sự đang liên lạc với trang web của bạn chứ không phải kẻ tấn công là chỉ tốt như CA tồi tệ nhất mà trình duyệt của họ tin tưởng - kẻ tấn công muốn giả mạo một chứng chỉ có thể mua một CA với các thực hành xấu. Vì vậy, tôi không thấy bất kỳ lý lẽ hợp lý nào cho thấy lựa chọn CA của bạn ảnh hưởng đến bảo mật trang web của bạn, trừ khi bạn chọn một CA tạo khóa riêng cho bạn thay vì ký một khóa bạn cung cấp hoặc không cho phép kích thước khóa lớn.

Ngoài ra, như những người khác đã nói, có lẽ nên tránh CA có sự pha trộn giữa thực tiễn xấu và quy mô nhỏ khiến cho niềm tin của họ có thể bị thu hồi bởi một hoặc nhiều trình duyệt, vì điều này sẽ ảnh hưởng đến khả năng truy cập (và nhận thức của công chúng ) của trang web của bạn.

10

Đối với chứng chỉ xác thực tên miền, điều duy nhất quan trọng là liệu trình duyệt có chấp nhận chứng chỉ đó là tin cậy hay không. Vì vậy, hãy lấy chứng chỉ rẻ nhất được tin tưởng bởi tất cả các trình duyệt (hoặc tất cả các trình duyệt bạn quan tâm). Không có lý do mật mã đáng kể để thích một nhà cung cấp hơn một nhà cung cấp khác.

(Tất nhiên bạn sẽ phải trả nhiều tiền hơn cho chứng chỉ xác nhận mở rộng, nhưng đó là một loại chứng chỉ hoàn toàn khác. Tôi nghĩ bạn đã biết điều đó.)

10
D.W.

Bạn sẽ sớm có thể Bạn có thể nhận được chứng chỉ với chi phí thấp bằng 0 € với Hãy mã hóa.

Chúng có kỹ thuật tốt như mọi thứ khác (xác nhận không mở rộng, về cơ bản không có thanh màu xanh lục trên trình duyệt của bạn), điểm chính là khả năng trình duyệt nhận ra nó là đáng tin cậy (chúng sẽ đang ).

Hạn chế duy nhất là có một cuộc gọi lại từ Lets 'Encrypt đến trang web hoặc DNS của bạn, điều này khiến việc tạo chứng chỉ trở nên đau đớn (nếu không thể) đối với các trang web nội bộ (không phải Internet).

9
WoJ

Nói chung, hai thứ mà bạn có thể có thể vượt qua là EV (vì đó chỉ là mánh lới thanh màu xanh lá cây) và SGC không thực sự cung cấp bất kỳ lợi ích thực sự nào ngày nay (vì nó chỉ áp dụng cho các trình duyệt từ thời IE5 trở về trước)

Trang web này cung cấp một cái nhìn tổng quan về lý do để tránh SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certert.html

8
theonlylos

Bỏ qua các khía cạnh kỹ thuật của mã hóa chứng chỉ, vấn đề cần xem xét là niềm tin và uy tín. Nếu bạn chỉ quan tâm đến việc mã hóa lưu lượng, thì bạn có thể sử dụng chứng chỉ tự ký đơn giản. Mặt khác, nếu những gì bạn muốn đạt được là cung cấp một mức độ tin cậy rằng bạn hoặc trang web của bạn thực sự là ai/những gì nó tuyên bố, thì bạn cần một chứng chỉ từ cơ quan chứng nhận mà mọi người tin tưởng.

CA đạt được mức độ tin cậy này thông qua việc kiểm tra những người mà họ bán chứng chỉ. Nhiều nhà cung cấp chứng chỉ rẻ hơn đạt được mức giá thấp hơn bằng cách giảm chi phí hoạt động và điều này thường được thực hiện bằng cách có các quy trình kiểm tra ít nghiêm ngặt hơn.

Câu hỏi không nên là "Ai là nhà cung cấp chứng chỉ rẻ nhất", mà là "Nhà cung cấp chứng chỉ nào có uy tín và mức độ tin cậy cần thiết mà người dùng hoặc người dùng tiềm năng của dịch vụ của tôi sẽ chấp nhận".

P.S. Thật không may, ở một mức độ nào đó, toàn bộ mô hình bị hỏng. Ít người dùng thậm chí kiểm tra xem CA là ai đã cấp chứng chỉ và có ít kiến ​​thức hoặc hiểu biết về chuỗi thẩm quyền liên quan.

6
Tim X

Từ quan điểm thực dụng cho một trang web có người dùng loại tiêu chuẩn, tiêu chí duy nhất quan trọng đối với chứng chỉ SSL là "nó được hỗ trợ bởi các trình duyệt mà người dùng của tôi sẽ sử dụng để truy cập trang web". Miễn là nó, bạn ổn với nó càng rẻ càng tốt.

Một thời gian trước, một điểm khác biệt tiềm năng là liệu chứng chỉ có phải là EV SSL hay không nhưng thành thật mà nói tôi chưa thấy nhận thức tuyệt vời của người dùng về điều đó, vì vậy không có khả năng đáng tiền.

3
Rory McCune

Chứng chỉ SSL được sử dụng cho hai mục đích.

  • Một là bảo mật các giao dịch trực tuyến và thông tin cá nhân được truyền giữa trình duyệt web và máy chủ web.
  • Thứ hai là Tin cậy, SSL được sử dụng để tăng niềm tin của khách hàng. SSL chứng minh phiên an toàn của trang web của bạn, điều đó có nghĩa là niềm tin của khách hàng đối với trang web của bạn.

Mỗi chứng chỉ có quy trình xác nhận riêng và tuân theo thẩm quyền chứng chỉ quy trình này xác thực độ tin cậy kinh doanh của bạn và gửi chứng chỉ cho trang web của bạn.

Chứng chỉ SSL cơ bản giá rẻ chỉ xác nhận quyền hạn tên miền của bạn và được xác thực bằng hệ thống xác minh email người phê duyệt. Người phê duyệt có thể dễ dàng nhận được chứng chỉ này chỉ trong vài phút với một địa chỉ email chung.

Chứng chỉ SSL OV và EV được cắm với sự tin tưởng của khách hàng và thông qua quy trình xác thực nghiêm ngặt, nó mang lại mức độ tin cậy cao nhất. EV SSL xác nhận các thành phần đa dạng của việc xác định thông tin tên miền và doanh nghiệp của bạn. Nó tuân theo quy trình xác minh thủ công và trong quá trình hệ thống này không xác minh được hoặc hệ thống bị cáo doanh nghiệp của bạn có hành động sai trái tiềm ẩn thì đơn đặt hàng của bạn có thể được xếp hàng để xem xét thủ công.

Sự khác biệt chính về yếu tố tin cậy và uy tín thương hiệu, trong khi khách hàng của bạn nhìn thấy thanh địa chỉ xanh trong trình duyệt của bạn thì họ cảm thấy an tâm hơn và khuyến khích thực hiện giao dịch. Mặt khác, một số khác biệt giữa các tính năng khác như mã hóa, khả năng tương thích trình duyệt, độ dài khóa, hỗ trợ di động, v.v.

Nếu không, chứng nhận bảo hành giải thích sự khác biệt. Cơ quan cấp chứng chỉ cung cấp bảo hành mở rộng ($ 1K đến $ 1,75M) chống lại việc cấp sai chứng chỉ SSL, điều này giải thích giá trị đầu tư của bạn cho bảo mật trang web.

Mặc dù chúng tôi tập trung vào giá của chứng chỉ, việc mua chứng chỉ của bạn - cơ quan cấp chứng chỉ hoặc đại lý ủy quyền không quan trọng. Đại lý ủy quyền cung cấp các sản phẩm SSL giống nhau, cùng tính năng bảo mật, hỗ trợ tốt hơn với giá hợp lý.

Jason Parm được liên kết với SSL2BUY (Người bán lại SSL toàn cầu)

3
Jason Parms

Hơi muộn một chút nhưng đối với những người khác như tôi đang tìm kiếm trên web để tìm Chứng chỉ SSL để mua và đây là kết quả nghiên cứu của tôi:

Về mặt kỹ thuật, Chứng chỉ SSL đắt tiền cung cấp con dấu động có nghĩa là hình ảnh động được hiển thị trên trang web hiển thị thời gian và ngày hiện tại khi trang web được tải cho biết rằng con dấu hợp lệ cho tên miền được cài đặt và hiện tại và không hết hạn Khi hình ảnh được nhấp, nó sẽ hiển thị thông tin từ Tổ chức phát hành chứng nhận về hồ sơ của trang web xác nhận tính hợp pháp của trang web. Điều này sẽ giúp khách truy cập của trang web tăng sự tự tin về bảo mật của trang web.

Con dấu tĩnh chỉ đơn giản là một hình ảnh đồ họa tĩnh có thể được đặt trên trang web để cho biết chứng nhận kỹ thuật số được lấy từ đâu, tuy nhiên không có xác nhận nhấp chuột của trang web và hình ảnh không hiển thị ngày giờ hiện tại.

Ngoài ra, nếu bạn mua SSL đắt hơn, bạn sẽ nhận được nhiều tiền hơn trong bảo hành gian lận cho khách truy cập của mình, nhưng chỉ trong trường hợp nếu Cơ quan cấp giấy chứng nhận cho kẻ lừa đảo và khách truy cập bị mất tiền vì tin rằng trang web là hợp pháp. Nếu bạn không phải là một kẻ lừa đảo, không có lý do gì bạn nên đi lấy chứng chỉ đắt tiền trừ khi bạn muốn hiển thị thanh địa chỉ màu xanh lá cây và tăng sự tự tin cho khách truy cập của bạn.

Về mặt kỹ thuật không có sự khác biệt nào khác

Có 3 loại Chứng chỉ SSL chính

Tên miền đơn

  • Đảm bảo cả phiên bản www và không www của tên miền của bạn
  • Ví dụ: RapidSSL, Comodo Esential, v.v.

Ký tự đại diện

  • Đảm bảo tất cả các tên miền phụ cho một tên miền bao gồm các phiên bản www và không www
  • Ví dụ Comodo Wildcard SSL, RapidSSL Wildcard, v.v.

Đa miền

  • Hầu hết các Cơ quan Chứng nhận cung cấp 3-5 tên miền với gói giá cơ bản của họ
  • Bạn cần trả tiền cho mỗi tên miền bổ sung. Điển hình là $ 15- $ 20/năm cho mỗi tên miền
  • Ví dụ SSL SSL đa miền tích cực

Ngoài ra 3 loại xác minh tên miền

Để được cấp Chứng chỉ SSL, Cơ quan cấp chứng chỉ phải xác minh rằng bạn là người bạn đã nói khi được yêu cầu chứng nhận với họ. Sau đây là 3 trong số các quy trình xác minh bạn phải trải qua khi nhận SSL

1. Xác thực tên miền

Bạn phải xác nhận tên miền của bạn. Thông thường, điều này xảy ra thông qua liên kết URL được gửi đến một trong các email trên tên miền của bạn hoặc tải tệp lên máy chủ của bạn. Cho đến nay, đây là SSL nhanh nhất, đơn giản nhất và rẻ nhất. Bảo hành chống gian lận với loại xác nhận này lên tới 10.000 đô la.

2. Xác thực tổ chức

Bạn phải cung cấp tài liệu hỗ trợ về tổ chức của mình để có được một trong những chứng chỉ này. Quá trình này chậm hơn một chút và có thể mất đến vài ngày. Loại bảo mật SSL này là bắt buộc đối với các trang web hoặc tổ chức thương mại điện tử lớn lưu trữ dữ liệu nhạy cảm của người dùng. Thông thường, chứng chỉ này cung cấp con dấu trang web động và cung cấp bảo hành cao hơn lên tới 1.500.000 đô la tùy thuộc vào công ty phát hành.

3. Xác thực mở rộng

Đây là Chứng chỉ đáng tin cậy nhất và sẽ biến thanh địa chỉ trong trình duyệt của bạn thành màu xanh lá cây chứa tên của tổ chức của bạn. Cho đến nay, quá trình xác nhận chậm nhất lên đến một tuần, tùy thuộc vào cơ quan bên ngoài xác minh chi tiết của bạn. Bạn sẽ phải cung cấp các tài liệu hỗ trợ SSL Author như thành lập công ty, v.v. và họ sẽ chuyển nó cho bên thứ ba để xác minh tính hợp lệ của nó. Khi quá trình này hoàn tất thành công, bạn sẽ có mức độ tin cậy và bảo hành cao nhất lên tới 2.000.000 USD tùy thuộc vào công ty phát hành.

Giấy chứng nhận nào để mua

Đây là tất cả tùy thuộc vào bạn. Có rất nhiều Cơ quan Chứng nhận cung cấp rất nhiều cho mỗi nhu cầu. Đối với tôi, điểm hàng đầu là không chi tiêu trừ khi bạn phải làm. Chứng chỉ SSL cơ bản sẽ làm khá nhiều tương tự như SSL đắt nhất trên thị trường.

Đây là một số liên kết hữu ích

Cơ quan cấp chứng chỉ

Một số đại lý rẻ nhất

2
Pancho

DV phải đủ cho hầu hết các trình duyệt

Bài viết " Hiểu rủi ro và tránh FUD " trên Rủi ro không được thừa nhận đề cập đến ba cấp độ đảm bảo của chứng chỉ được ký bởi cơ quan cấp chứng chỉ. Đối với ba điều này, tôi sẽ thêm hai mức đảm bảo thấp hơn có thể mà không cần chứng chỉ có chữ ký CA. Điều này làm cho tổng cộng năm tầng bảo mật HTTP cần xem xét:

  1. Không có TLS (http:)
  2. TLS với chứng chỉ tự ký hoặc từ một công ty phát hành không xác định khác
  3. TLS với chứng chỉ xác thực tên miền (DV) từ một tổ chức phát hành đã biết (tổ chức không phải là một phần của chứng chỉ)
  4. TLS với chứng chỉ được xác thực bởi tổ chức (OV) từ một tổ chức phát hành đã biết (tên tổ chức trong chứng chỉ)
  5. TLS với chứng chỉ Xác thực mở rộng từ nhà phát hành EV đã biết (tên tổ chức và địa chỉ trong chứng chỉ)

Chứng chỉ mà bạn mua từ CA thương mại sẽ là 3, 4 hoặc 5. Hầu hết các trình duyệt web cho phép tất cả trừ 2 không có cảnh báo xen kẽ, mặc dù 2 có khả năng chống lại các cuộc tấn công thụ động tốt hơn 2. Lý do thường được thể hiện là một https: URI với một CA không xác định mang lại cảm giác an toàn sai lầm, đặc biệt là chống lại một người đàn ông ở giữa, trong khi một http: URI mang lại cảm giác bất an thực sự.

Nhưng DV có thể khiến người dùng Comodo Dragon sợ hãi

Nhưng một số ít người dùng sử dụng trình duyệt web cũng cảnh báo trên 3. Khi người dùng Comodo Dragon truy cập trang web HTTPS sử dụng chứng chỉ DV, nó sẽ hiển thị biểu tượng khóa khác với hình tam giác cảnh báo, giống như biểu tượng "nội dung thụ động hỗn hợp". Nó cũng hiển thị màn hình cảnh báo xen kẽ trước khi xem trang web. Cảnh báo này giống với những gì trình duyệt hiển thị cho chứng chỉ tự ký và văn bản của nó bắt đầu như sau:

Có thể không an toàn khi trao đổi thông tin với trang web này

Chứng chỉ bảo mật (hoặc SSL) cho trang web này cho biết rằng tổ chức vận hành nó có thể chưa trải qua xác nhận của bên thứ ba đáng tin cậy rằng đó là một doanh nghiệp hợp pháp.

Điều này nhằm ngăn chặn những kẻ tấn công đăng ký tên miền bankofamerrica.example cho "Banko Famer Rica", đưa ra nội dung hợp pháp rõ ràng về Costa Rica, lấy chứng chỉ DV cho tên miền đó, sau đó đổi nó thành một trang web mạo danh Bank of America. Nó cũng có ý định ngăn chặn kẻ tấn công xâm phạm một tên miền, thêm một tên miền phụ mà anh ta kiểm soát và lấy chứng chỉ DV cho tên miền phụ đó. Một trường hợp như vậy đã xảy ra vào tháng 12 năm 2015 khi DV CA Let Encrypt miễn phí được phát hành. Nhưng nó đã được nhìn thấy để hiển thị thông báo này ngay cả đối với Facebook .

Để không khiến người dùng Dragon sợ hãi, bạn cần tránh các chứng chỉ DV. Nhưng bạn không cần phải mua chứng chỉ EV. Chỉ cần tạo một danh sách các CA sẵn sàng bán cho tổ chức của bạn một chứng chỉ OV có chứng chỉ gốc có trong tất cả các trình duyệt chính. Sau đó, không có lý do bảo mật kỹ thuật để không mua cái rẻ nhất.

Nếu bạn đang điều hành blog của mình với tư cách cá nhân, bạn có thể không đủ điều kiện nhận chứng chỉ OV từ bất kỳ CA. Trong trường hợp này, bạn chỉ cần sống với cảnh báo trong Dragon và bạn chỉ có thể đi với chứng chỉ DV giá rẻ như một ưu đãi StartSSL, WoSign hoặc Let Encrypt.

2
Damian Yerrick

Tôi muốn nói thêm rằng mặc dù công nghệ giống với mã hóa 256 bit, bạn cũng đang trả tiền cho các yếu tố sau:

Mức xác thực - đây là số lượng kiểm tra mà nhà phát hành sẽ làm để xác minh công ty hoặc trang web của bạn

Số lượng tên miền - có bao nhiêu tên miền chứng chỉ này sẽ hợp lệ cho

Mức tin cậy - như các thành viên được đề cập ở trên, bạn có thể trả tiền cho các loại xác thực khác nhau với người dùng "đáng tin cậy" hơn, do đó, sự khác biệt về giá

0
DomainsFeatured