it-swarm-id.com

Apakah ada alasan keamanan teknis untuk tidak membeli sertifikat SSL termurah yang dapat Anda temukan?

Saat berbelanja untuk sertifikat SSL dasar untuk blog saya, saya menemukan bahwa banyak Otoritas Sertifikat yang lebih terkenal memiliki sertifikat entry-level (dengan validasi identitas pembeli yang kurang ketat) sekitar $ 120 ke atas. Tetapi kemudian saya menemukan bahwa Network Solutions menawarkan salah satu dari sertifikat kelas bawah ini seharga $ 29,99 (12 jam yang lalu adalah $ 12,95) dengan kontrak 4 tahun.

Apakah ada alasan keamanan teknis yang harus saya ketahui yang bisa membuat saya menyesal membeli sertifikat kelas bawah? Mereka semua menjanjikan hal-hal seperti pengakuan browser 99%, dll. Saya tidak menanyakan pertanyaan ini di SE untuk membandingkan hal-hal seperti kualitas dukungan CA (atau ketiadaan) atau hal-hal seperti itu. Saya ingin tahu apakah ada alasan kriptografi atau PKI jadi hindari sertifikat yang harganya sangat sedikit. Itu, seperti yang lain, mengatakan bahwa ia menawarkan "enkripsi hingga 256 bit".

140
Luke Sheppard

Untuk keperluan diskusi ini, hanya ada beberapa perbedaan antara sertifikat penandatanganan web:

  1. Diperpanjang vs validasi standar (bilah hijau).
  2. Jumlah bit dalam permintaan sertifikat (1024/2048/4096).
  3. Rantai sertifikat.

Lebih mudah untuk membuat sertifikat dengan rantai kepercayaan yang lebih pendek tetapi ada sertifikat murah di luar sana dengan rantai dalam langsung atau hanya satu tingkat. Anda juga bisa mendapatkan sertifikat 2048 dan 4096 bit yang lebih besar dengan biaya murah.

Selama Anda tidak memerlukan perpanjangan validasi, sebenarnya tidak ada alasan untuk menggunakan sertifikat yang lebih mahal.

Ada satu manfaat spesifik yang diberikan oleh vendor yang lebih besar - semakin besar arus utama vendor, semakin kecil kemungkinan kepercayaan mereka dicabut jika terjadi pelanggaran.
Misalnya, DigiNotar adalah vendor yang lebih kecil yang cukup disayangkan sehingga kepercayaan mereka dicabut pada September 2011.

91
Tim Brigham

Bagus di jawaban lain, izinkan saya menambahkan beberapa komentar tentang perilaku CA yang tepat.

Jika CA memiliki riwayat

  • of kurangnya keamanan penegakan kebijakan,
  • dari pelanggaran perjanjian "browser yang disetujui CA",
  • of penandatanganan nama-nama yang tidak DNS menggunakan sertifikat root resmi mereka (seperti alamat IP, atau nama-nama DNS yang tidak ada f.ex. bosscomputer.private),
  • of kurangnya transparansi tentang perilaku dan pengecernya,

dan pengguna akhir (seperti saya) memeriksa sertifikat Anda, dan tahu tentang ini, yang mungkin berdampak buruk pada Anda. Terutama setiap CA yang merupakan subdivisi dari sebuah perusahaan juga dalam bisnis intersepsi connexion.

Ketika saya melihat USERtrust atau COMODO atau Verisign di rantai sertifikat, saya tidak terkesan secara positif.

29
curiousguy

Dari sudut pandang teknis, satu-satunya hal yang penting adalah pengenalan browser. Dan semua otoritas tepercaya memiliki cakupan yang hampir 100%.

Saya bisa mengatakan lebih banyak, tetapi untuk menghindari upaya duplikasi inilah pertanyaan yang hampir identik dengan banyak tanggapan beralasan: Apakah semua Sertifikat SSL sama?

18
tylerl

Mengingat terbaru NSA wahy , saya akan mengatakan seluruh konsep CA Root komersial adalah secara fundamental cacat dan Anda hanya harus membeli dari CA termurah yang sertifikat akarnya dipasang di browser dan rantai kepercayaan sistem operasi.

Dalam praktiknya, kita membutuhkan multiply-rooted rantai kepercayaan bukan pengganti saat ini tunggal-rooted rantai kepercayaan. Dengan begitu, alih-alih mengabaikan kekuatan nyata pemerintah untuk "memaksa" penyedia komersial - Anda cukup membuat sertifikat Anda ditandatangani oleh beberapa pemerintah (lebih disukai antagonis). Misalnya, minta Bronies vs Juggalos situs pertandingan kandang Anda ditandatangani oleh AS, Rusia, Cina, Islandia, dan Brasil. Yang mungkin lebih mahal tetapi akan sungguh mengurangi kemungkinan kolusi.

13
LateralFractal

Apa pun CA yang Anda gunakan, jaminan pengguna Anda bahwa mereka benar-benar berkomunikasi dengan situs Anda dan bukan penyerang adalah hanya sebaik CA terburuk yang dipercayai peramban mereka - penyerang yang ingin memalsukan sertifikat dapat berbelanja untuk CA dengan praktik buruk. Jadi saya tidak melihat argumen yang masuk akal bahwa pilihan CA Anda berdampak pada keamanan situs Anda, kecuali jika Anda memilih CA yang menghasilkan kunci pribadi untuk Anda daripada menandatangani kunci yang Anda berikan, atau yang melarang ukuran kunci besar.

Selain itu, seperti yang dikatakan orang lain, mungkin merupakan ide yang baik untuk menghindari CA yang campuran praktik buruk dan ukuran kecil membuatnya masuk akal bahwa kepercayaan mereka mungkin dicabut oleh satu atau lebih browser, karena ini akan berdampak pada aksesibilitas (dan persepsi publik ) dari situs Anda.

Untuk sertifikat validasi domain, satu-satunya hal yang penting adalah apakah browser menerima sertifikat sebagai tepercaya. Jadi, ambil sertifikat termurah yang dipercaya oleh semua browser (atau semua browser yang Anda pedulikan). Tidak ada alasan kriptografis yang signifikan untuk memilih satu pemasok daripada yang lain.

(Tentu saja Anda harus membayar lebih untuk perpanjangan sertifikat validasi, tetapi itu adalah kelas sertifikat yang sama sekali berbeda. Saya pikir Anda sudah tahu itu.)

10
D.W.

Anda akan segera bisa Anda dapat memperoleh sertifikat dengan biaya rendah nol € dengan Mari Enkripsi.

Mereka secara teknis sebagus yang lain (validasi tidak diperpanjang, pada dasarnya tanpa bilah hijau di browser Anda), titik utama adalah kapasitas browser untuk mengenalinya sebagai tepercaya (mereka akan are ).

Satu-satunya kelemahan adalah bahwa ada panggilan balik dari Lets 'Encrypt ke situs Anda atau DNS, yang membuat generasi sertifikat terasa menyakitkan (jika bukan tidak mungkin) untuk situs internal (non-Internet).

9
WoJ

Secara umum dua hal yang mungkin dapat Anda sampaikan adalah EV (karena itu hanya gimmick bar hijau) dan juga SGC tidak benar-benar memberikan manfaat nyata hari ini (karena hanya berlaku untuk browser dari zaman IE5 dan sebelumnya)

Situs ini menyediakan tinjauan umum yang baik tentang mengapa harus menghindari SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Mengabaikan aspek teknis enkripsi sertifikat, masalah yang harus dipertimbangkan adalah kepercayaan dan reputasi. Jika Anda hanya khawatir tentang enkripsi lalu lintas, maka Anda dapat menggunakan sertifikat yang ditandatangani sendiri sederhana. Di sisi lain, jika apa yang ingin Anda capai adalah untuk memberikan tingkat kepercayaan bahwa Anda atau situs Anda sebenarnya adalah siapa/apa yang diklaimnya, maka Anda memerlukan sertifikat dari otoritas sertifikat yang dipercaya orang.

CA mencapai tingkat kepercayaan ini melalui pemeriksaan dari orang yang mereka jual sertifikat. Banyak penyedia sertifikat yang lebih murah mencapai harga yang lebih rendah dengan mengurangi biaya operasional mereka dan ini sering dilakukan dengan memiliki proses pemeriksaan yang kurang ketat.

Pertanyaannya seharusnya bukan "Siapa penyedia sertifikat termurah", tetapi "Penyedia sertifikat mana yang memiliki reputasi dan tingkat kepercayaan yang diperlukan yang akan diterima oleh pengguna atau calon pengguna layanan saya".

P.S. Sayangnya, sampai batas tertentu, keseluruhan model rusak. Beberapa pengguna bahkan memeriksa untuk melihat siapa CA adalah yang mengeluarkan sertifikat dan memiliki sedikit pengetahuan atau pemahaman tentang rantai otoritas yang terlibat.

6
Tim X

Dari sudut pandang pragmatis untuk situs dengan pengguna tipe standar, satu-satunya kriteria yang penting untuk sertifikat SSL adalah "apakah itu didukung oleh browser yang akan digunakan pengguna saya untuk mengakses situs". Selama itu, Anda baik-baik saja dengan menjadi semurah mungkin.

Beberapa waktu lalu pembeda potensial adalah apakah sertifikat itu EV SSL atau tidak tapi jujur ​​saya belum melihat kesadaran pengguna yang besar tentang itu, jadi tidak mungkin bernilai uang.

3
Rory McCune

Sertifikat SSL digunakan untuk dua tujuan.

  • Salah satunya adalah mengamankan transaksi online dan informasi pribadi yang ditransmisikan antara browser web dan server web.
  • Kedua adalah Kepercayaan, SSL digunakan untuk meningkatkan kepercayaan pelanggan. SSL membuktikan sesi aman situs web Anda, itu berarti kepercayaan pelanggan Anda pada situs web Anda.

Setiap sertifikat memiliki proses validasi sendiri dan mengikuti proses ini, otoritas sertifikat memvalidasi keandalan bisnis Anda dan mengirim sertifikat untuk situs web Anda.

Sertifikat SSL dasar yang murah hanya memvalidasi otoritas domain Anda dan diautentikasi menggunakan sistem verifikasi email pemberi persetujuan. Approver dapat dengan mudah mendapatkan sertifikat ini hanya dalam beberapa menit dengan alamat email umum.

Sertifikat OV dan EV SSL terhubung dengan kepercayaan pelanggan dan melalui proses otentikasi yang ketat, ia memberikan tingkat kepercayaan tertinggi. EV SSL memvalidasi berbagai komponen untuk mengidentifikasi domain dan informasi bisnis Anda. Ini mengikuti proses verifikasi manual dan selama proses ini sistem gagal untuk memverifikasi atau sistem terdakwa bisnis Anda untuk potensi tindakan salah maka pesanan Anda dapat didaftar untuk ditinjau secara manual.

Perbedaan utama dalam faktor kepercayaan dan reputasi merek, sementara pelanggan Anda melihat bilah alamat hijau di browser Anda maka mereka merasa lebih aman dan mendorong untuk melakukan transaksi. Jika tidak, beberapa perbedaan antara fitur lain seperti enkripsi, kompatibilitas browser, panjang kunci, dukungan seluler, dll.

Kalau tidak, jaminan sertifikat menjelaskan perbedaan. Otoritas sertifikat memberikan perpanjangan garansi ($ 1K hingga $ 1,75 juta) terhadap salah penerbitan sertifikat SSL yang menjelaskan nilai investasi Anda untuk keamanan situs web.

Meskipun kami fokus pada harga sertifikat, tidak masalah di mana Anda dapat membeli sertifikat - otoritas sertifikat atau pengecer resmi. Pengecer resmi menawarkan produk SSL yang sama, fitur keamanan yang sama, dukungan yang lebih baik dengan harga yang wajar.

Jason Parm berafiliasi dengan SSL2BUY (Pengecer SSL Global)

3
Jason Parms

Agak terlambat tetapi bagi orang lain seperti saya mencari di web untuk menemukan apa yang harus dibeli oleh Sertifikat SSL dan inilah hasil penelitian saya:

Di sisi teknis, Sertifikat SSL yang mahal menawarkan segel dinamis yang berarti gambar dinamis yang ditampilkan di situs web yang menunjukkan waktu dan tanggal saat ketika halaman web dimuat yang menunjukkan bahwa segel itu valid untuk domain tempat pemasangannya dan saat ini dan tidak kedaluwarsa. Ketika gambar diklik, itu akan menampilkan informasi dari Otoritas Sertifikat tentang profil situs web yang memvalidasi legitimasi situs web. Ini akan memberikan pengunjung kepercayaan situs web meningkat pada keamanan situs.

Static Seal hanyalah gambar grafik statis yang dapat ditempatkan di situs web untuk menunjukkan dari mana sertifikat digital diperoleh, namun tidak ada validasi klik-tayang situs web dan gambar tidak menunjukkan waktu dan tanggal saat ini.

Juga jika Anda membeli SSL yang lebih mahal, Anda akan mendapatkan lebih banyak uang dalam garansi penipuan untuk pengunjung Anda, tetapi hanya dalam kasus jika Otoritas mengeluarkan sertifikat kepada penipu dan pengunjung kehilangan uang mereka percaya situs web itu sah. Jika Anda bukan penipu, tidak ada alasan Anda harus mencari sertifikat mahal kecuali jika Anda ingin menampilkan bilah alamat hijau dan meningkatkan kepercayaan pada pengunjung Anda.

Secara teknis tidak ada perbedaan lain

Ada 3 jenis utama Sertifikat SSL

Domain Tunggal

  • Mengamankan versi www dan non-www dari domain Anda
  • Contoh: RapidSSL, Comodo Esential dll.

Wildcard

  • Mengamankan semua subdomain untuk satu domain termasuk versi www dan non-www
  • Contohnya Comodo Wildcard SSL, RapidSSL Wildcard dll.

Multi Domain

  • Sebagian besar Otoritas Sertifikat memberikan 3-5 domain dengan paket harga dasar mereka
  • Anda perlu membayar per domain tambahan. Biasanya berkisar $ 15- $ 20/tahun per domain
  • Contoh Comodo Positive Multi Domain SSL

Juga 3 jenis verifikasi domain

Untuk mengeluarkan Sertifikat SSL Anda, Otoritas Sertifikat harus memverifikasi bahwa Anda adalah siapa yang Anda katakan ketika diminta sertifikat itu bersama mereka. Berikut ini adalah 3 dari proses verifikasi yang harus Anda lalui saat mendapatkan SSL

1. Validasi Domain

Anda harus memvalidasi domain Anda. Biasanya ini terjadi melalui tautan URL yang dikirim ke salah satu email di domain Anda atau dengan unggahan file ke server Anda. Sejauh ini, ini adalah SSL tercepat, paling sederhana dan termurah. Jaminan terhadap penipuan dengan jenis validasi ini hingga $ 10.000.

2. Validasi Organisasi

Anda harus memberikan dokumentasi pendukung tentang organisasi Anda untuk mendapatkan salah satu dari sertifikat ini. Proses ini sedikit lebih lambat dan bisa memakan waktu hingga beberapa hari. Jenis keamanan SSL ini diperlukan untuk situs web atau organisasi e-commerce besar yang menyimpan data pengguna yang sensitif. Biasanya sertifikat ini menawarkan segel situs dinamis dan menawarkan garansi lebih tinggi hingga $ 1.500.000 tergantung pada penerbitnya.

3. Validasi Diperpanjang

Ini adalah Sertifikat yang paling tepercaya dan akan mengubah bilah alamat di browser Anda berwarna hijau yang berisi nama organisasi Anda. Sejauh ini, proses validasi paling lambat hingga satu minggu, tergantung pada badan eksternal yang memverifikasi detail Anda. Anda harus memberikan dokumen pendukung Otoritas SSL seperti pendirian perusahaan, dll. Dan mereka akan menyerahkannya kepada pihak ketiga untuk memverifikasi validitasnya. Setelah proses ini berhasil diselesaikan, Anda akan memiliki kepercayaan dan garansi tertinggi hingga $ 2.000.000 tergantung pada penerbitnya.

Sertifikat apa yang harus dibeli

Ini semua terserah kamu. Ada banyak Otoritas Sertifikat yang menawarkan banyak untuk setiap kebutuhan. Bagi saya poin utama adalah jangan menghabiskan kecuali Anda harus. Sertifikat SSL Dasar akan melakukan hampir sama dengan SSL termahal di pasaran.

Berikut ini beberapa tautan bermanfaat

Otoritas Sertifikat

Beberapa pengecer termurah

2
Pancho

DV harus cukup untuk sebagian besar browser

Artikel " Memahami risiko dan menghindari FUD " pada Risiko Tidak Teratasi menyebutkan tiga tingkat jaminan sertifikat yang ditandatangani oleh otoritas sertifikat. Ke tiga ini saya akan menambahkan dua tingkat jaminan yang lebih rendah mungkin tanpa sertifikat yang ditandatangani CA. Ini membuat total lima tingkatan keamanan HTTP untuk dipertimbangkan:

  1. Tidak ada TLS (http:)
  2. TLS dengan sertifikat yang ditandatangani sendiri atau dari penerbit yang tidak dikenal
  3. TLS dengan sertifikat yang divalidasi domain (DV) dari penerbit yang dikenal (organisasi bukan bagian dari sertifikat)
  4. TLS dengan sertifikat yang divalidasi organisasi (OV) dari penerbit yang dikenal (nama organisasi dalam sertifikat)
  5. TLS dengan sertifikat Validasi Diperpanjang dari penerbit EV yang dikenal (nama organisasi dan alamat dalam sertifikat)

Sertifikat yang Anda beli dari CA komersial adalah 3, 4, atau 5. Sebagian besar browser web memungkinkan semua kecuali 2 tanpa peringatan interstitial, meskipun 2 lebih baik dari 1 dalam perlawanan terhadap serangan pasif. Dasar pemikiran yang umum diungkapkan adalah bahwa https: URI dengan CA yang tidak diketahui memberikan rasa aman yang salah, terutama terhadap seorang pria di tengah, sedangkan http: URI memberikan rasa tidak aman yang sebenarnya.

Tetapi DV dapat menakuti pengguna Comodo Dragon

Tetapi sebagian kecil pengguna menggunakan browser web yang memperingatkan 3 juga. Ketika pengguna Comodo Dragon mengunjungi situs HTTPS yang menggunakan sertifikat DV, ini akan menampilkan ikon kunci berbeda dengan segitiga peringatan, yang menyerupai ikon "konten campuran campuran". Ini juga menampilkan layar peringatan interstitial sebelum melihat situs. Peringatan ini menyerupai apa yang ditampilkan browser untuk sertifikat yang ditandatangani sendiri, dan teksnya dimulai sebagai berikut:

Mungkin tidak aman untuk bertukar informasi dengan situs ini

Sertifikat keamanan (atau SSL) untuk situs web ini menunjukkan bahwa organisasi yang mengoperasikannya mungkin tidak menjalani validasi pihak ketiga yang tepercaya bahwa itu adalah bisnis yang sah.

Ini dimaksudkan untuk menghentikan penyerang yang mendaftarkan domain bankofamerrica.example Untuk "Banko Famer Rica", memasang konten yang berwarna sah tentang Costa Rica, mendapatkan sertifikat DV untuk domain itu, dan kemudian mengubahnya ke situs yang meniru Bank Amerika. Itu juga dimaksudkan untuk menghentikan penyerang yang membahayakan suatu domain, menambahkan subdomain yang dia kontrol, dan mendapatkan sertifikat DV untuk subdomain itu. Satu kasus seperti it terjadi pada bulan Desember 2015 begitu DV CA Let's Encrypt tanpa biaya ditayangkan. Tetapi terlihat untuk menampilkan pesan ini bahkan untuk Facebook .

Untuk tidak menakut-nakuti pengguna Dragon, Anda harus menghindari sertifikat DV. Tetapi Anda tidak perlu membeli sertifikat EV. Buat saja daftar CA yang bersedia menjual organisasi Anda sertifikat OV yang sertifikat akarnya ada di semua peramban utama. Maka tidak ada alasan keamanan teknis untuk tidak membeli yang termurah.

Jika Anda mengoperasikan blog Anda sebagai individu, Anda mungkin tidak memenuhi syarat untuk mendapatkan sertifikat OV dari CA mana pun. Dalam hal ini, Anda hanya harus hidup dengan peringatan di Dragon, dan Anda bisa langsung pergi dengan sertifikat DV murah seperti yang ditawarkan StartSSL, WoSign, atau Let's Encrypt.

2
Damian Yerrick

Saya ingin menambahkan bahwa sementara teknologinya sama dengan enkripsi 256 bit, Anda juga membayar untuk faktor-faktor berikut:

Tingkat validasi - ini adalah jumlah cek yang akan dilakukan penerbit untuk memverifikasi perusahaan atau situs web Anda

Jumlah domain - berapa banyak domain yang akan valid dengan sertifikat ini

tingkat kepercayaan - seperti anggota yang disebutkan di atas, Anda dapat membayar berbagai jenis validasi dengan yang "dipercaya" lebih banyak oleh pengguna, sehingga perbedaan harga

0
DomainsFeatured