it-swarm-tr.com

Bulabileceğiniz en ucuz SSL sertifikasını almamak için herhangi bir teknik güvenlik nedeni var mı?

Blogum için temel bir SSL sertifikası alırken, daha iyi bilinen Sertifika Yetkililerinin birçoğunun giriş seviyesi bir sertifikasına (alıcının kimliğinin daha az sıkı bir şekilde doğrulanmasıyla) yaklaşık 120 $ ve üstü olduğunu buldum. Ama sonra Network Solutions'ın bu alt uç sertifikalarından birini 4 yıllık bir sözleşme ile 29,99 $ (12 saat önce 12,95 $) sunduğunu buldum.

En düşük uç sertifikayı satın aldığım için pişman olabileceğimi bilmem gereken herhangi bir teknik güvenlik nedeni var mı? Hepsi% 99 tarayıcı tanıma gibi şeyler vaat ediyorlar. Kriptografik veya PKI nedeni olup olmadığını bilmek istiyorum, bu yüzden çok az maliyetli bir sertifikadan kaçının. Diğerleri gibi "256 bit şifreleme" sunduğunu söylüyor.

140
Luke Sheppard

Bu tartışmanın amaçları doğrultusunda web imzalama sertifikaları arasında sadece birkaç fark vardır:

  1. Genişletilmiş ve standart doğrulama (yeşil çubuk).
  2. Sertifika isteğindeki bit sayısı (1024/2048/4096).
  3. Sertifika zinciri.

Daha kısa bir güven zinciri olan sertifikalar oluşturmak daha kolaydır, ancak doğrudan veya sadece bir seviye derin zincir ile ucuz sertifikalar vardır. Ayrıca daha büyük 2048 ve 4096 bit sertifikaları da ucuza alabilirsiniz.

Genişletilmiş doğrulamaya ihtiyacınız olmadığı sürece, daha pahalı sertifikalarla gitmek için hiçbir neden yoktur.

Daha büyük bir tedarikçiyle birlikte gitmenin belirli bir faydası vardır - satıcı ne kadar ana hatta olursa, bir ihlal durumunda güvenlerinin geri çekilme olasılığı o kadar düşük olur.
Örneğin, DigiNotar , Eylül 2011'de güvenlerini iptal edecek kadar talihsiz olan daha küçük bir tedarikçidir.

91
Tim Brigham

Diğer cevaplardaki iyi şeyler, doğru CA davranışı hakkında bazı açıklamalar eklememe izin verin.

CA'nın bir geçmişi varsa

  • güvenlik eksikliği politika uygulaması,
  • ihlal "tarayıcı onaylı CA" sözleşmesinin,
  • - DNS dışı adların imzalanması resmi kök sertifikalarını (IP adresleri veya var olmayan DNS adları f.ex. bosscomputer.private gibi) kullanarak,
  • şeffaflık eksikliği davranışı ve satıcıları hakkında,

ve son kullanıcı (benim gibi) sertifikanızı inceler ve bunu size kötü yansıyabilecek bir şey bilir. Özellikle bir şirket de bağlantı müdahalesi işinde bir şirket] alt bölümü olan herhangi bir CA.

Bir sertifika zincirinde USERtrust veya COMODO veya Verisign'ı gördüğümde olumlu etkilenmiyorum.

29
curiousguy

Teknik açıdan, önemli olan tek şey tarayıcı tanımasıdır. Ve tüm güvenilir yetkililer neredeyse% 100 kapsama sahiptir.

Daha fazlasını söyleyebilirim, ancak yinelenen çabalardan kaçınmak için, çok iyi yanıtlar veren neredeyse özdeş bir soru: Tüm SSL Sertifikaları eşit mi?

18
tylerl

latest NSA vahiy ışığında, ticari Kök CA'ların tüm konseptinin temelde kusurl olduğunu söyleyebilirim ve sadece satın almalısınız kök sertifikası tarayıcı ve işletim sistemi güven zincirlerine yüklenmiş olan en ucuz CA'dan.

Uygulamada, şu anki tek köklü güven zincirleri yerine multipl-rooted sertifika güven zincirlerine ihtiyacımız var. Bu şekilde, hükümetlerin "zorlama" ticari sağlayıcılara olan gerçek gücünü göz ardı etmek yerine, sertifikanızı birden çok (tercihen düşman) hükümet tarafından imzalamanız yeterlidir. Örneğin, ABD, Rusya, Çin, İzlanda ve Brezilya tarafından imzalanmış Bronies vs Juggalos kafes maçı web sitenize sahip olun. Bu daha pahalı olabilir ama gerçekten gizli anlaşma olasılığını azaltır.

13
LateralFractal

Hangi CA ile giderseniz gidin, kullanıcılarınızın sitenizle gerçekte iletişim kurduklarına ve bir saldırganla iletişim kurmadıklarına dair güvencesi tarayıcılarının güvendiği en kötü CA kadar iyidir - sertifika taklit etmek isteyen bir saldırgan kötü uygulamalarla CA'ya alışveriş yapabilir. Bu nedenle, sağladığınız bir anahtarı imzalamak yerine sizin için özel anahtarlar üreten veya büyük anahtar boyutlarına izin vermeyen bir CA seçmediğiniz sürece, CA seçiminizin sitenizin güvenliğini etkilediği konusunda makul bir argüman görmüyorum.

Bunun dışında, diğerlerinin söylediği gibi, kötü uygulamalar ve küçük boyutlu karışımı, güvenlerinin bir veya daha fazla tarayıcı tarafından iptal edilebileceğini akla getiren CA'lardan kaçınmak muhtemelen iyi bir fikirdir, çünkü bu erişilebilirliği (ve genel algıyı etkileyecektir) ) ekleyin.

Alan adı doğrulama sertifikası için önemli olan tek şey, tarayıcıların sertifikayı güvenilir olarak kabul edip etmemesidir. Bu nedenle, tüm tarayıcıların (veya önem verdiğiniz tüm tarayıcıların) güvendiği en ucuz sertifikayı alın. Bir tedarikçiyi diğerine tercih etmek için önemli bir şifreleme nedeni yoktur.

(Elbette genişletilmiş bir doğrulama sertifikası için daha fazla ödeme yapmanız gerekecek, ancak bu tamamen farklı bir sertifika sınıfı. Sanırım bunu zaten biliyorsunuz.)

10
D.W.

Yakında yapabileceksiniz Let's Encrypt. ile sıfır € 'luk düşük maliyetle sertifika alabilirsiniz.

Teknik olarak diğerlerinden daha iyidirler (genişletilmiş doğrulama, temel olarak tarayıcılarınızda yeşil çubuk olmadan), ana nokta tarayıcıların onu güvenilir olarak tanıma kapasitesidir ( niyet vardır ).

Tek dezavantajı, Lets 'Encrypt'ten sitenize veya DNS'ye geri arama yapılmasıdır, bu da sertifika oluşturma işlemini (internet dışı) siteler için ağrılı (imkansız değilse bile) yapar.

9
WoJ

Genel olarak muhtemelen aktarabileceğiniz iki şey EV'dir (çünkü sadece yeşil çubuk hile) ve SGC bugün gerçekten gerçek bir fayda sağlamaz (çünkü sadece IE5 günlerinden önceki tarayıcılar için geçerlidir)

Bu site SGC'den kaçınmanın nedenlerine ilişkin iyi bir genel bakış sunmaktadır: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Sertifika şifrelemenin teknik yönlerini göz ardı ederek dikkate alınması gereken konu güven ve itibardır. Yalnızca trafiğin şifrelenmesi konusunda endişeleriniz varsa, kendinden imzalı basit bir sertifika kullanabilirsiniz. Öte yandan, elde etmek istediğiniz şey, sizin veya sitenizin gerçekte kim/ne olduğunu iddia ettiği konusunda bir güven sağlamaksa, o zaman insanların güvendiği bir sertifika yetkilisinden bir sertifikaya ihtiyacınız vardır.

CA, bu güveni sertifika sattıkları kişilerin denetlenmesiyle elde eder. Daha ucuz sertifika sağlayıcılarının birçoğu operasyonel genel giderlerini azaltarak daha düşük fiyatlarını elde eder ve bu genellikle daha az titiz veterinerlik işlemleri yaparak yapılır.

Soru, "En ucuz sertifika sağlayıcısı kimdir" değil, "Hangi sertifika sağlayıcısının, hizmetimin kullanıcıları veya potansiyel kullanıcıları tarafından kabul edileceği güven ve itibar düzeyine sahip olması" olmalıdır.

Not; Ne yazık ki, bir dereceye kadar, tüm model zaten kırıldı. Birkaç kullanıcı, sertifikayı veren CA'nın kim olduğunu ve ilgili yetki zinciri hakkında çok az bilgiye veya anlayışa sahip olduğunu bile kontrol eder.

6
Tim X

Standart tipte kullanıcıları olan bir site için pragmatik bir bakış açısından, SSL sertifikası için önemli olan tek ölçüt, "kullanıcılarımın siteye erişmek için kullanacakları tarayıcılar tarafından desteklenmesidir". Olduğu sürece, olabildiğince ucuz olması iyi.

Bir süre önce potansiyel bir farklılaştırıcı, sertifikanın EV SSL olup olmadığıydı, ancak dürüst olmak gerekirse, bu konuda büyük bir farkındalık görmedim, bu yüzden paraya değmez.

3
Rory McCune

SSL sertifikası iki amaçla kullanılır.

  • Bunlardan biri, bir web tarayıcısı ile bir web sunucusu arasında iletilen çevrimiçi işlemleri ve özel bilgileri güvence altına almaktır.
  • İkincisi Güven, SSL müşteri güvenini artırmak için kullanılır. SSL, web sitenizin güvenli oturumunu kanıtlar, bu da müşterinizin web sitenize güvendiği anlamına gelir.

Her sertifikanın kendi doğrulama süreci vardır ve bu süreci izleyerek sertifika yetkilisi işinizin güvenilirliğini doğrular ve web siteniz için bir sertifika gönderir.

Temel ucuz bir SSL sertifikası yalnızca alan adı otoritenizi doğrular ve onaylayıcı e-posta doğrulama sistemi kullanılarak doğrulanır. Onaylayıcı, genel bir e-posta adresiyle bu sertifikayı birkaç dakika içinde kolayca alabilir.

Müşterinin güvenine bağlı OV ve EV SSL sertifikaları ve katı kimlik doğrulama işlemi sayesinde en üst düzeyde güven sağlar. EV SSL, alan adınızı ve işletme bilgilerinizi tanımlamanın çeşitli bileşenlerini doğrular. Manuel doğrulama sürecini takip eder ve bu işlem sırasında sistem, potansiyel yanlış işlem için işletmenizi doğrulayamaz veya sisteme sanık vermezse, siparişiniz manuel inceleme için sıralanabilir.

Güven faktörü ve marka itibarı arasındaki temel fark, müşterileriniz tarayıcınızda yeşil adres çubuğunu görürken daha güvenli hissediyor ve işlem yapmaya teşvik ediyor. Aksi takdirde, şifreleme, tarayıcı uyumluluğu, anahtar uzunluğu, mobil destekler vb.Gibi diğer özellikler arasındaki bazı farklılıklar.

Aksi takdirde, sertifika garantisi farklılıkları açıklar. Sertifika yetkilileri, web sitesi güvenliği için yaptığınız yatırımın değerini açıklayan bir SSL sertifikasının yanlış verilmesine karşı uzatılmış garanti (1K - 1.75M $) sağlar.

Bir sertifikanın fiyatına odaklanırken, sertifikanızı nereden alacağınız önemli değil - sertifika yetkilisi veya yetkili satıcı. Yetkili satıcı aynı SSL ürünlerini, aynı güvenlik özelliklerini, makul fiyatlarla daha iyi destek sunar.

Jason Parm'ın üyesi SSL2BUY (Global SSL Bayisi)

3
Jason Parms

Biraz geç oldu ama benim gibi diğerleri için hangi SSL Sertifikasının satın alacağını bulmak için ve işte araştırmamın sonucu:

Teknik tarafta, pahalı SSL Sertifikaları dinamik mühür sunar; bu, bir web sitesinde görüntülenen ve web sayfasının yüklendiği zamanı ve tarihi gösteren, mühürün yüklü olduğu etki alanı için geçerli olduğunu ve geçerli ve süresi dolmamış. Resim tıklandığında, Sertifika Yetkilisi'nden web sitesinin meşruiyetini doğrulayan web sitesinin profili hakkındaki bilgileri görüntüler. Bu, web sitesini ziyaret edenlerin sitenin güvenliğine olan güvenini artırır.

Statik Mühür, dijital sertifikanın nereden alındığını göstermek için web sitesine yerleştirilebilen statik bir grafik görüntüsüdür, ancak web sitesinin tıklama doğrulaması yoktur ve görüntü geçerli saati ve tarihi göstermez.

Ayrıca daha pahalı SSL satın alıyorsanız, ziyaretçileriniz için dolandırıcılık garantisinde daha fazla para alırsınız, ancak yalnızca Kurumun bir dolandırıcıya sertifika vermesi ve bir ziyaretçinin web sitesinin yasal olduğuna inanarak parasını kaybetmesi durumunda. Bir dolandırıcı değilseniz, yeşil adres çubuğunu göstermek ve ziyaretçilerinize olan güveni artırmak istemiyorsanız pahalı sertifika için gitmeniz için hiçbir neden yoktur.

Teknik olarak başka bir fark yok

3 ana SSL Sertifikası türü vardır

Tek Alan Adı

  • Alan adınızın www ve www olmayan sürümlerini korur
  • Örnekler: RapidSSL, Comodo Esential vb.

Joker

  • Www ve www olmayan sürümler de dahil olmak üzere tek bir etki alanı için tüm alt alanları korur
  • Örnekler Comodo Wildcard SSL, RapidSSL Wildcard vb.

Çoklu Alan Adı

  • Sertifika Yetkililerinin çoğu temel fiyat planlarıyla 3-5 alan adı verir
  • Ek alan adı başına ödeme yapmanız gerekir. Genellikle alan adı başına yıllık 15-20 ABD doları civarındadır
  • Örnekler Comodo Pozitif Çok Alanlı SSL

Ayrıca 3 tür alan adı doğrulaması

SSL Sertifikanızın yayınlanması için, Sertifika Yetkilisi, sertifika talep edildiğinde kendinize söylediğiniz kişi olduğunuzu doğrulamalıdır. Bir SSL alırken gerçekleştirmeniz gereken 3 doğrulama işlemi aşağıdadır

1. Alan Adı Doğrulaması

Alan adınızı doğrulamanız gerekiyor. Bu genellikle alan adınızdaki e-postalardan birine gönderilen URL bağlantısı veya sunucunuza dosya yükleme yoluyla olur. Şimdiye kadar bu en hızlı, en basit ve en ucuz SSL'dir. Bu tür bir doğrulama ile sahtekarlığa karşı garanti 10.000 dolara kadar.

2. Kuruluş Doğrulaması

Bu sertifikalardan birini alabilmek için kuruluşunuz hakkında destekleyici belgeler sağlamanız gerekir. Bu işlem biraz daha yavaştır ve birkaç gün sürebilir. Bu tür SSL güvenliği, büyük e-ticaret web siteleri veya hassas kullanıcı verilerini depolayan kuruluşlar için gereklidir. Genellikle bu sertifikalar, dinamik site mührü sunar ve yayıncıya bağlı olarak 1.500.000 dolara kadar daha yüksek garanti sunar.

3. Genişletilmiş Doğrulama

Bu en güvenilir Sertifikalardır ve tarayıcınızdaki adres çubuğunu kuruluşunuzun adını içeren yeşile çevirir. Detaylarınızı doğrulayan dış kuruluşa bağlı olarak, bir haftaya kadar olan en yavaş doğrulama işlemi. Şirket kuruluşu vb.Gibi SSL Otoritesini destekleyen belgeleri sağlamanız gerekecek ve geçerliliğini doğrulamak için bunu üçüncü taraflara iletecektir. Bu işlem başarıyla tamamlandığında, ihraççıya bağlı olarak en yüksek 2.000.000 $ 'lık güven ve garantiye sahip olursunuz.

Hangi sertifika alınacak

Bu tamamen size bağlı. Her ihtiyaç için çok şey sunan birçok Sertifika Yetkilisi vardır. Benim için öncü nokta, zorunlu olmadıkça harcama yapmayın. Temel SSL Sertifikası, piyasadaki en pahalı SSL ile hemen hemen aynı şeyi yapacaktır.

İşte bazı yararlı bağlantılar

Sertifika Yetkilileri

En ucuz satıcılardan bazıları

2
Pancho

DV çoğu tarayıcı için yeterli olmalıdır

" Riskleri anlama ve FUD'den kaçınma " = Zayıf Risk bir sertifika yetkilisi tarafından imzalanan sertifikaların üç güvence düzeyinden bahseder. Bu üçüne CA imzalı bir sertifika olmadan mümkün olan iki düşük güvence düzeyini ekleyeceğim. Bu, toplam beş HTTP güvenliği katmanını dikkate alır:

  1. TLS yok (http:)
  2. Kendinden imzalı veya başka bir şekilde bilinmeyen yayıncıdan alınan sertifikasına sahip TLS
  3. Bilinen bir yayıncıdan alan adı doğrulamalı (DV) sertifikalı TLS (sertifikanın bir parçası olmayan kuruluş)
  4. Bilinen bir yayıncıdan kuruluş onaylı (OV) sertifikalı TLS (sertifikadaki kuruluş adı)
  5. Bilinen bir EV yayıncısından Genişletilmiş Doğrulama sertifikasına sahip TLS (sertifikadaki kuruluş adı ve adresi)

Ticari bir CA'dan satın aldığınız sertifikalar 3, 4 veya 5 olacaktır. Çoğu web tarayıcısı, pasif saldırılara karşı 2'de 1'den daha iyi olmasına rağmen, 2'den başka hiçbir geçiş reklamı uyarısına izin vermez. Yaygın olarak ifade edilen gerekçe, bir https: Bilinmeyen bir CA'ya sahip URI, özellikle ortadaki bir adama karşı yanlış bir güvenlik hissi verirken, http: URI gerçek bir güvensizlik duygusu verir.

Ancak DV, Comodo Dragon kullanıcılarını korkutabilir

Ancak çok az sayıda kullanıcı, 3'ü de uyaran bir web tarayıcısı kullanıyor. Comodo Dragon kullanıcısı DV sertifikası kullanan bir HTTPS sitesini ziyaret ettiğinde, "karışık pasif içerik" simgesine benzeyen bir uyarı üçgeniyle farklı kilit simgesi görüntüler. Ayrıca siteyi görüntülemeden önce geçiş reklamı uyarı ekranı görüntüler. Bu uyarı, kendinden imzalı bir sertifika için tarayıcıların görüntülediği şeye benzer ve metni aşağıdaki gibi başlar:

Bu site ile bilgi alışverişi yapmak güvenli olmayabilir

Bu web sitesi için güvenlik (veya SSL) sertifikası, siteyi işleten kuruluşun yasal bir işletme olduğuna dair güvenilir üçüncü taraf doğrulamasından geçmemiş olabileceğini gösterir.

Bunun amacı, bir alan adı kaydeden saldırganları durdurmaktır bankofamerrica.example "Banko Famer Rica" için, Kosta Rika hakkında colorately yasal içerik koymak, bu etki alanı için bir DV sertifikası almak ve daha sonra Bank of America taklit bir siteye değiştirin. Ayrıca, bir etki alanının güvenliğini aşan, denetlediği bir alt etki alanı ekleyen ve o alt etki alanı için bir DV sertifikası alan bir saldırganın durdurulması da amaçlanmıştır. Böyle bir durum Aralık 2015'te ücretsiz DV CA Let's Encrypt yayınlandıktan sonra gerçekleşti. Ancak bu mesajı görüntülediği görülüyor Facebook için bile .

Dragon kullanıcılarını korkutmamak için DV sertifikalarından kaçınmanız gerekir. Ancak bir EV sertifikası almanıza gerek yoktur. Kuruluşunuzu kök sertifikası tüm büyük tarayıcılarda olan bir OV sertifikası satmak isteyen CA'ların bir listesini yapın. O zaman en ucuz olanı satın almamak için teknik bir güvenlik nedeni yoktur.

Blogunuzu bireysel olarak çalıştırıyorsanız, herhangi bir CA'dan OV sertifikası almaya hak kazanamayabilirsiniz. Bu durumda, Dragon'daki uyarıyla yaşamak zorundasınız ve sadece bir StartSSL, WoSign veya Let's Encrypt teklifleri gibi ucuz bir DV sertifikası ile gidebilirsiniz.

2
Damian Yerrick

Teknoloji 256 bit şifreleme ile aynı olsa da, aşağıdaki faktörleri de ödediğinizi eklemek istiyorum:

Doğrulama düzeyi - ihraççının şirketinizi veya web sitenizi doğrulamak için yapacağı kontrol miktarıdır

Alan sayısı - bu sertifikanın kaç alan için geçerli olacağı

Güven seviyesi - yukarıda belirtilen üyeler gibi, farklı doğrulama türleri için ödeme yapabilirsiniz kullanıcılar tarafından "güvenilir" daha fazla, böylece fiyat farkı

0
DomainsFeatured