Pourquoi les certificats SSL sont-ils une dépense annuelle?
Je comprends que les certificats SSL coûtent de l'argent en raison de la réputation: la plupart/tous les navigateurs Web ont une liste limitée d'entreprises qui ont démontré qu'ils sont des sources fiables de certificats SSL et ne présentent donc pas aux utilisateurs un ( Retour à la sécurité! écran pour les produits de ces entreprises.
Ma question est pourquoi ce n'est pas une dépense unique? J'envisage de passer d'un certificat auto-signé, mais mon hébergeur vient de me dire qu'il commencerait à 35 $ par an , et ils peuvent facilement y aller jusqu'à des centaines par an. Pourquoi n'est-ce pas une redevance unique?
Il est facile de penser que le certificat a une durée de vie limitée juste pour facturer des frais récurrents, mais c'est en fait l'inverse: un certificat a une durée de vie limitée, et donc vous devrez en payer un nouveau lorsque la durée de vie sera écoulée.
Pour comprendre pourquoi c'est le cas, lisez le FAQ de Let's Encrypt , qui émet gratuitement certificats, mais limitent leur durée de vie à 90 jours. Leur principale justification est la suivante:
Ils limitent les dommages causés par les compromis clés et les erreurs de délivrance. Les clés volées et les certificats délivrés à tort sont valables pour une période plus courte.
Tant que le certificat est valide, toute personne obtenant une copie de ce certificat et de sa clé privée correspondante peut se faire passer pour le propriétaire de ce domaine. Si votre système est compromis, ou si vous vendez sur le domaine, ou toute autre chose concernant le statut du certificat change pendant cette période, les clients peuvent continuer à faire confiance au certificat .
Il est possible de révoquer un certificat au cours de sa durée de vie, mais cela repose sur la vérification par le client d'une liste de révocation maintenue par l'autorité de certification, il n'est donc pas aussi fiable que la date d'expiration qui fait partie du certificat inviolable.
C'est en fait l'une des forces revendiquées par Let's Encrypt: ils offrent le même niveau de validation que les certificats de base des services payants, mais en utilisant un système automatisé, ils éliminent la tentation d'acheter des certificats de longue durée.
Si vous n'avez pas besoin de "Extended Validation" (certification de votre identité d'entreprise, plutôt que de la seule propriété du domaine), utilisez Let's Encrypt et renouvelez plus fréquemment, mais gratuitement et automatiquement , peut être votre meilleur plan d'action. Sur certains hébergeurs Web, cela est désormais aussi simple que de cocher une case dans le panneau de configuration pour activer la configuration automatisée.
Commençons par la vue cynique:
Les autorités de certification sont des entreprises à but lucratif, donc elles factureront autant qu'elles le pourront!
Plus sérieusement, la gestion d'une autorité de certification est une activité coûteuse et à faible marge bénéficiaire, mais la réponse se résume vraiment au type de certificat que vous souhaitez.
Certificats validés par domaine (DV)
Pour un certificat DV de base qui donne à la barre d'adresse de votre navigateur l'apparence suivante: 
les coûts sont très bas - fondamentalement, l'autorité de certification doit simplement confirmer que la personne qui demande le certificat avait le contrôle du serveur au moment de la demande. Cela peut être entièrement automatisé. Comme le souligne @SteffenUllrich, en 2014, l'Electronic Frontier Foundation, Mozilla et l'Université du Michigan se sont associés pour mettre en place une CA 100% gratuite Let's Encrypt pour l'émission de certificats DV. Sur la base du cas d'utilisation que vous avez décrit dans la question, il semble que cela conviendrait à vos besoins.
Certificats de validation étendue (EV)
Si vous souhaitez que les certificats haut de gamme qui incluent le nom de votre entreprise vérifiée et le pays dans lequel il est enregistré apparaissent comme suit dans le navigateur:
alors il y a beaucoup plus de coûts pour l'AC. Avant de délivrer un certificat EV, l'AC doit faire vérifier par un humain tout un tas de choses sur le statut juridique de votre entreprise. Des choses comme: votre entreprise est-elle légalement enregistrée sous le nom indiqué dans la demande de certificat? La personne demandant le certificat figure-t-elle en tant que juriste de l'entreprise dans les documents d'enregistrement de l'entreprise? L'enregistrement DNS du site Web demandé est-il enregistré auprès de la même entreprise? etc.
Pourquoi des frais récurrents?
La raison pour laquelle les CA facturent des frais récurrents est la même raison que vous ne pouvez pas obtenir un certificat SSL de 10 ans: le forum CA/Navigateur exige que les certificats expirent et soient complètement revalidés chaque année ou deux. Les raisons de sécurité sont de forcer le roulement des clés, d'empêcher la société de faire faillite ou de changer de nom et un administrateur système voyou de continuer à utiliser le certificat de manière néfaste, etc.
L'AC doit effectuer toutes ces vérifications des antécédents non seulement lors de la première émission, mais également à chaque renouvellement du certificat. La valeur ajoutée pour vous est que vos clients obtiennent un niveau d'assurance plus élevé quant à la fiabilité de votre site Web (bien sûr, 99% des consommateurs ne le remarqueront pas, mais les auditeurs et les pirates le seront certainement!), Et aussi, Google se déplace vers une préférence de recherche plus élevée pour les sites proposant des certificats de meilleure qualité.
C'est pourquoi les certificats peuvent coûter des centaines de dollars par an; vous ne payez pas seulement pour quelques bits de données, vous payez pour le temps de l'humain qui doit faire la vérification.
Serveurs OCSP
Il existe également des coûts de serveur pour la maintenance d'un certificat, principalement les coûts de OCSP , ce qui nécessite que l'autorité de certification maintienne une bande passante élevée, une faible latence et aucun temps d'arrêt. des serveurs pour répondre aux vérifications de révocation de chaque certificat émis. Bien que cela puisse ne pas sembler coûteux, chaque navigateur Web doit envoyer une requête ping au serveur OCSP d'une autorité de certification lors de chaque chargement de page HTTPS. Chaque milliseconde supplémentaire que l'autorité de certification prend pour répondre ajoute au temps de chargement des pages chaque page sur Internet . L'exécution d'un serveur à faible latence à ce niveau de trafic est un problème d'ingénierie réseau délicat.
[divulgation: je travaille pour un CA]
Pendant la durée de vie du certificat, l'autorité de certification doit pouvoir le révoquer, ce qui signifie:
- gestion de la liste des certificats révoqués (CRL)
- répondre aux clients demandant le statut de révocation (OCSP).
Donc, tant que le certificat est valide, le certificat "coûte" quelque chose à l'autorité de certification.
De plus, l'autorité de certification doit maintenir un niveau élevé de sécurité et de confiance, pour éviter d'être démenti par les navigateurs.
Pour en savoir plus sur OCSP:
Chaque visiteur d'un site Web peut demander à l'AC une preuve de non-révocation. Cette preuve doit être récente, ce qui signifie que l'AC doit signer cette preuve régulièrement (environ tous les 10 jours) pour chaque certificat actif.
Pour avoir un aperçu réel de ce qu'il en coûte pour exécuter une autorité de certification (non commerciale):
https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
Dotation en personnel de 2,06 M $ US
Matériel/logiciel 0,20 M $ USD
Hébergement/Audit 0,30 M $ USD
Juridique/Administratif 0,35 M $ USD
Total 2,91 M $ USD
Bien sûr, pour une CA commerciale, vous devez ajouter le coût de la facturation, des annonces, de la rémunération des investisseurs ...
Et, pour les certificats OV/EV, vous devez ajouter le coût de la vérification manuelle des documents soumis pour prouver la propriété de l'entreprise.