web-dev-qa-db-fra.com

Y a-t-il une raison technique de sécurité de ne pas acheter le certificat SSL le moins cher que vous pouvez trouver?

En recherchant un certificat SSL de base pour mon blog, j'ai constaté que la plupart des autorités de certification les plus connues ont un certificat d'entrée de gamme (avec une validation moins stricte de l'identité de l'acheteur) pour environ 120 $ et plus. Mais ensuite, j'ai trouvé que Network Solutions propose l'un de ces certificats bas de gamme pour 29,99 $ (il y a 12 heures, il était de 12,95 $) avec un contrat de 4 ans.

Y a-t-il une raison technique de sécurité dont je devrais être conscient et qui pourrait me faire regretter d'avoir acheté le certificat le plus bas de gamme? Ils promettent tous des choses comme une reconnaissance du navigateur de 99%, etc. Je ne pose pas cette question sur SE pour comparer des choses comme la qualité du support de l'AC (ou son absence) ou quelque chose comme ça. Je veux savoir s'il y a une raison cryptographique ou PKI, alors évitez un certificat qui coûte si peu. Il, comme d'autres, dit qu'il offre "un cryptage jusqu'à 256 bits".

140
Luke Sheppard

Aux fins de cette discussion, il n'y a que quelques différences entre les certificats de signature Web:

  1. Validation étendue vs standard (barre verte).
  2. Nombre de bits dans une demande de certificat (1024/2048/4096).
  3. Chaîne de certificats.

Il est plus facile de configurer des certificats avec une chaîne de confiance plus courte, mais il existe des certificats peu coûteux avec une chaîne profonde directe ou à un seul niveau. Vous pouvez également obtenir les plus grands certificats 2048 et 4096 bits à peu de frais.

Tant que vous n'avez pas besoin de la validation étendue, il n'y a vraiment aucune raison d'aller avec les certificats les plus chers.

Il y a un avantage spécifique qui va avec un plus grand fournisseur - plus le fournisseur est principal, moins il est probable que sa confiance sera révoquée en cas de violation.
Par exemple, DigiNotar est un petit fournisseur qui a eu la malchance de voir sa confiance révoquée en septembre 2011.

91
Tim Brigham

Bonnes choses dans d'autres réponses, permettez-moi d'ajouter quelques remarques sur le bon comportement de l'autorité de certification.

Si l'AC a une histoire

  • de manque de sécurité application de la politique,
  • de violation de l'accord "CA approuvé par le navigateur",
  • of signature de noms non DNS en utilisant leur certificat racine officiel (comme des adresses IP ou des noms DNS inexistants f.ex. bosscomputer.private),
  • de manque de transparence sur son comportement et ses revendeurs,

et l'utilisateur final (comme moi) inspecte votre certificat, et le sait, cela pourrait avoir une mauvaise image de vous. Surtout tout CA qui est une subdivision de ne entreprise également dans le domaine de l'interception de connexion.

Lorsque je vois USERtrust ou COMODO ou Verisign dans une chaîne de certificats, je ne suis pas impressionné positivement.

29
curiousguy

D'un point de vue technique, la seule chose qui compte est la reconnaissance du navigateur. Et toutes les autorités de confiance ont une couverture de près de 100%.

Je pourrais en dire plus, mais pour éviter la duplication des efforts, voici une question presque identique avec beaucoup de réponses bien motivées: Tous les certificats SSL sont-ils égaux?

18
tylerl

À la lumière des dernières NSA , je dirais que le concept entier des autorités de certification racine commerciales est fondamentalement défectueux et vous devez simplement acheter auprès de l'autorité de certification la moins chère dont le certificat racine est installé dans les chaînes de confiance du navigateur et du système d'exploitation.

En pratique, nous avons besoin des chaînes de confiance à racines multiples au lieu des chaînes de confiance à racine unique actuelles. De cette façon, au lieu d'ignorer le pouvoir réel des gouvernements à "contraindre" les fournisseurs commerciaux - vous obtiendrez simplement votre certificat signé par plusieurs gouvernements (de préférence antagonistes). Par exemple, faites signer votre site de match Bronies vs Juggalos par les États-Unis, la Russie, la Chine, l'Islande et le Brésil. Ce qui pourrait coûter plus cher mais vraiment réduire le risque de collusion.

13
LateralFractal

Peu importe quelle autorité de certification vous utilisez, l'assurance de vos utilisateurs qu'ils communiquent réellement avec votre site et non un attaquant est seulement aussi bonne que la pire autorité de certification de leur navigateur - un attaquant qui veut forger un certificat peut rechercher une CA avec de mauvaises pratiques. Je ne vois donc aucun argument plausible selon lequel votre choix d'autorité de certification affecte la sécurité de votre site, à moins que vous ne choisissiez une autorité de certification qui génère des clés privées pour vous plutôt que de signer une clé que vous fournissez, ou qui n'autorise pas les grandes tailles de clé.

En dehors de cela, comme d'autres l'ont dit, c'est probablement une bonne idée d'éviter les autorités de certification dont le mélange de mauvaises pratiques et de petite taille rend plausible que leur confiance puisse être révoquée par un ou plusieurs navigateurs, car cela affecterait l'accessibilité (et la perception du public). ) de votre site.

Pour un certificat de validation de domaine, la seule chose qui compte est de savoir si les navigateurs acceptent le certificat comme approuvé. Alors, prenez le certificat le moins cher qui est approuvé par tous les navigateurs (ou tous les navigateurs qui vous intéressent). Il n'y a aucune raison cryptographique importante de préférer un fournisseur à un autre.

(Vous devrez bien sûr payer plus pour un certificat de validation étendu, mais c'est une classe de certificat entièrement différente. Je pense que vous le savez déjà.)

10
D.W.

Vous pourrez bientôt Vous pouvez obtenir des certificats pour le faible coût de zéro € avec Let's Encrypt.

Ils sont techniquement aussi bons que les autres (validation non étendue, essentiellement sans la barre verte de vos navigateurs), le point principal étant la capacité des navigateurs à le reconnaître comme fiable (ils volonté sont ).

Le seul inconvénient est qu'il y a un rappel de Lets 'Encrypt vers votre site ou DNS, ce qui rend la génération de certificats pénible (sinon impossible) pour les sites internes (non Internet).

9
WoJ

En général, les deux choses que vous pouvez probablement transmettre sont l'EV (car il ne s'agit que du gadget de la barre verte) et SGC ne fournit pas vraiment d'avantages réels aujourd'hui (car il ne s'applique qu'aux navigateurs des jours d'IE5 et avant)

Ce site donne un bon aperçu des raisons d'éviter SGC: http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

8
theonlylos

Ignorant les aspects techniques du chiffrement des certificats, le problème à considérer est la confiance et la réputation. Si vous n'êtes préoccupé que par le chiffrement du trafic, vous pouvez utiliser un simple certificat auto-signé. D'un autre côté, si ce que vous voulez réaliser est de fournir un niveau de confiance que vous ou votre site êtes vraiment qui/ce qu'il prétend être, alors vous avez besoin d'un certificat d'une autorité de certification à laquelle les gens font confiance.

L'AC atteint ce niveau de confiance en vérifiant les personnes à qui elle vend des certificats. Bon nombre des fournisseurs de certificats les moins chers atteignent leurs prix plus bas en réduisant leurs frais généraux opérationnels, ce qui se fait souvent par des processus de vérification moins rigoureux.

La question ne devrait pas être "Qui est le fournisseur de certificats le moins cher", mais plutôt "Quel fournisseur de certificats a la réputation et le niveau de confiance nécessaires que les utilisateurs ou les utilisateurs potentiels de mon service accepteront".

P.S. Malheureusement, dans une certaine mesure, le modèle entier est de toute façon cassé. Peu d'utilisateurs vérifient même qui est l'autorité de certification qui a délivré le certificat et ont peu de connaissances ou de compréhension de la chaîne d'autorité impliquée.

6
Tim X

D'un point de vue pragmatique pour un site avec des utilisateurs de type standard, le seul critère qui compte pour un certificat SSL est "est-il pris en charge par les navigateurs que mes utilisateurs utiliseront pour accéder au site". Tant qu'il est, vous êtes d'accord avec le fait qu'il soit aussi bon marché que possible.

Il y a quelque temps, un différentiateur potentiel était de savoir si le certificat était EV SSL ou non, mais pour être honnête, je n'ai pas vu une grande prise de conscience de la part des utilisateurs, donc il est peu probable que cela en vaille la peine.

3
Rory McCune

Le certificat SSL est utilisé à deux fins.

  • L'une consiste à sécuriser les transactions en ligne et les informations privées qui sont transmises entre un navigateur Web et un serveur Web.
  • La deuxième est la confiance, SSL est utilisé pour accroître la confiance des clients. SSL prouve la session sécurisée de votre site Web, cela signifie la confiance de vos clients sur votre site Web.

Chaque certificat a son propre processus de validation et à la suite de ce processus, l'autorité de certification valide la fiabilité de votre entreprise et envoie un certificat pour votre site Web.

Un certificat SSL basique bon marché ne valide que votre autorité de domaine et authentifié à l'aide du système de vérification de courrier électronique de l'approbateur. L'approbateur peut facilement obtenir ce certificat en quelques minutes avec une adresse e-mail générique.

Les certificats SSL OV et EV branchés avec la confiance du client et grâce à son processus d'authentification strict, il offre le plus haut niveau de confiance. EV SSL valide de multiples éléments d'identification de votre domaine et des informations commerciales. Il suit le processus de vérification manuelle et au cours de ce processus, le système ne vérifie pas ou les défendeurs du système de votre entreprise pour une éventuelle fausse action, puis votre commande peut être alignée pour un examen manuel.

La principale différence entre le facteur de confiance et la réputation de la marque, tandis que vos clients voient la barre d'adresse verte dans votre navigateur, ils se sentent plus en sécurité et encouragent à effectuer des transactions. Sinon, certaines différences entre d'autres fonctionnalités telles que le cryptage, la compatibilité du navigateur, la longueur de clé, les supports mobiles, etc.

Sinon, la garantie des certificats explique les différences. Les autorités de certification offrent une garantie étendue (1 000 $ à 1,75 M $) contre la mauvaise émission d'un certificat SSL, ce qui explique la valeur de votre investissement pour la sécurité du site Web.

Bien que nous nous concentrions sur le prix d'un certificat, peu importe où acheter votre certificat - l'autorité de certification ou un revendeur agréé. Un revendeur agréé propose les mêmes produits SSL, les mêmes fonctionnalités de sécurité, un meilleur support à un prix raisonnable.

Jason Parm est affilié à SSL2BUY (Global SSL Reseller)

3
Jason Parms

Il est un peu tard, mais pour d'autres comme moi, je cherche sur le Web quel certificat SSL acheter et voici le résultat de ma recherche:

Sur le plan technique, les certificats SSL coûteux offrent un sceau dynamique, ce qui signifie une image dynamique affichée sur un site Web qui montre l'heure et la date actuelles de chargement de la page Web, ce qui indique que le sceau est valide pour le domaine sur lequel il est installé et est actuel et non expiré. Lorsque l'image est cliquée, elle affichera des informations de l'autorité de certification sur le profil du site Web qui valident la légitimité du site Web. Cela donnera aux visiteurs du site Web une confiance accrue dans la sécurité du site.

Un sceau statique est simplement une image graphique statique qui peut être placée sur le site Web pour indiquer d'où le certificat numérique a été obtenu, mais il n'y a pas de validation par clic du site Web et l'image n'affiche pas l'heure et la date actuelles.

De plus, si vous achetez un SSL plus cher, vous obtiendrez plus d'argent en garantie contre la fraude pour vos visiteurs, mais uniquement si l'Autorité a délivré un certificat à un fraudeur et qu'un visiteur a perdu son argent en croyant que le site Web est légitime. Si vous n'êtes pas un fraudeur, il n'y a aucune raison que vous optiez pour un certificat coûteux, sauf si vous souhaitez afficher une barre d'adresse verte et augmenter la confiance en vos visiteurs.

Techniquement, il n'y a pas d'autre différence

Il existe 3 principaux types de certificats SSL

Domaine unique

  • Sécurise les versions www et non www de votre domaine
  • Exemples: RapidSSL, Comodo Esential, etc.

Caractère générique

  • Sécurise tous les sous-domaines pour un seul domaine, y compris les versions www et non www
  • Exemples Comodo Wildcard SSL, RapidSSL Wildcard etc.

Multi-domaine

  • La plupart des autorités de certification attribuent 3 à 5 domaines avec leur plan tarifaire de base
  • Vous devez payer par domaine supplémentaire. Généralement compris entre 15 et 20 USD/an par domaine
  • Exemples Comodo Positive Multi Domain SSL

Aussi 3 types de vérification de domaine

Afin d'obtenir votre certificat SSL émis, l'autorité de certification doit vérifier que vous êtes bien qui vous avez dit lorsque vous lui avez demandé le certificat. Voici 3 des processus de vérification que vous devez suivre lors de l'obtention d'un SSL

1. Validation de domaine

Vous devez valider votre domaine. Cela se produit généralement via un lien URL envoyé à l'un des e-mails de votre domaine ou lors du téléchargement de fichiers sur votre serveur. C'est de loin le SSL le plus rapide, le plus simple et le moins cher. La garantie contre la fraude avec ce type de validation est jusqu'à 10 000 $.

2. Validation de l'organisation

Vous devez fournir des pièces justificatives sur votre organisation afin d'obtenir l'un de ces certificats. Ce processus est un peu plus lent et peut prendre jusqu'à quelques jours. Ce type de sécurité SSL est requis pour les grands sites Web ou organisations de commerce électronique qui stockent des données utilisateur sensibles. En règle générale, ces certificats offrent un sceau de site dynamique et offrent une garantie plus élevée pouvant atteindre 1 500 000 $ selon l'émetteur.

3. Validation étendue

Ce sont les certificats les plus fiables et tourneront la barre d'adresse de votre navigateur en vert contenant le nom de votre organisation. De loin le processus de validation le plus lent pouvant aller jusqu'à une semaine, selon que l'organisme externe vérifie vos informations. Vous devrez fournir à l'Autorité SSL les pièces justificatives telles que l'incorporation de la société, etc. Une fois ce processus terminé avec succès, vous aurez la plus haute confiance et garantie pouvant atteindre 2 000 000 $ selon l'émetteur.

Quel certificat acheter

Tout dépend de vous. Il existe de nombreuses autorités de certification offrant beaucoup pour chaque besoin. Pour moi, le point principal est de ne pas dépenser sauf si vous le devez. Le certificat SSL de base fera à peu près la même chose que le SSL le plus cher du marché.

Voici quelques liens utiles

Autorités de certification

Certains des revendeurs les moins chers

2
Pancho

La DV devrait être suffisante pour la plupart des navigateurs

L'article " Comprendre les risques et éviter les FUD " sur Risque non atténué mentionne trois niveaux d'assurance des certificats signés par une autorité de certification. À ces trois, j'ajouterai deux niveaux d'assurance inférieurs possibles sans certificat signé par une autorité de certification. Cela fait un total de cinq niveaux de sécurité HTTP à considérer:

  1. Pas de TLS (http:)
  2. TLS avec un certificat auto-signé ou d'un émetteur inconnu
  3. TLS avec certificat validé par le domaine (DV) d'un émetteur connu (organisation ne faisant pas partie du certificat)
  4. TLS avec certificat validé par un émetteur connu (nom de l'organisation dans le certificat)
  5. TLS avec certificat de validation étendue d'un émetteur EV connu (nom et adresse de l'organisation dans le certificat)

Les certificats que vous achetez auprès d'une autorité de certification commerciale seront de 3, 4 ou 5. La plupart des navigateurs Web autorisent tout sauf 2 sans avertissement interstitiel, même si 2 est meilleur que 1 en résistance aux attaques passives. La justification généralement exprimée est qu'un https: L'URI avec une autorité de certification inconnue donne un faux sentiment de sécurité, en particulier contre un homme au milieu, tandis qu'un http: L'URI donne un véritable sentiment d'insécurité.

Mais DV peut effrayer les utilisateurs de Comodo Dragon

Mais une minorité d'utilisateurs utilisent également un navigateur Web qui avertit sur 3. Lorsqu'un utilisateur de Comodo Dragon visite un site HTTPS qui utilise un certificat DV, il affiche un icône de verrouillage différente avec un triangle d'avertissement, qui ressemble à l'icône "contenu passif mixte". Il affiche également un écran d'avertissement interstitiel avant de consulter le site. Cet avertissement ressemble à ce que les navigateurs affichent pour un certificat auto-signé et son texte commence comme suit:

Il peut ne pas être sûr d'échanger des informations avec ce site

Le certificat de sécurité (ou SSL) de ce site Web indique que l'organisation qui l'exploite n'a peut-être pas subi de validation par un tiers de confiance qu'il s'agit d'une entreprise légitime.

Ceci est destiné à arrêter les attaquants qui enregistrent un domaine bankofamerrica.example pour "Banko Famer Rica", mettez en place un contenu légitime sur le Costa Rica, obtenez un certificat DV pour ce domaine, puis changez-le en un site qui se fait passer pour Bank of America. Il vise également à arrêter un attaquant qui compromet un domaine, ajoute un sous-domaine qu'il contrôle et obtient un certificat DV pour ce sous-domaine. n de ces cas s'est produit en décembre 2015 une fois que le DV CA Let's Encrypt gratuit a été mis en ligne. Mais il a été vu pour afficher ce message même pour Facebook .

Pour ne pas effrayer les utilisateurs de Dragon, vous devez éviter les certificats DV. Mais vous n'avez pas besoin d'acheter un certificat EV. Faites simplement une liste des autorités de certification souhaitant vendre à votre organisation un certificat OV dont le certificat racine se trouve dans tous les principaux navigateurs. Ensuite, il n'y a aucune raison de sécurité technique de ne pas acheter la moins chère.

Si vous exploitez votre blog en tant qu'individu, il se peut que vous ne soyez pas admissible à un certificat OV d'une autorité de certification. Dans ce cas, il vous suffit de vivre avec l'avertissement dans Dragon, et vous pouvez simplement utiliser un certificat DV bon marché comme celui de StartSSL, WoSign ou Let's Encrypt.

2
Damian Yerrick

Je voudrais ajouter que bien que la technologie soit la même avec un cryptage 256 bits, vous payez également pour les facteurs suivants:

Niveau de validation - c'est le montant des contrôles que l'émetteur fera pour vérifier votre entreprise ou votre site Web

Nombre de domaines - pour combien de domaines ce certificat sera valide

Niveau de confiance - comme les membres mentionnés ci-dessus, vous pouvez payer pour différents types de validation avec plus de "confiance" des utilisateurs, d'où la différence de prix

0
DomainsFeatured