¿Hay algún motivo de seguridad técnica para no comprar el certificado SSL más barato que pueda encontrar?

137

Al comprar un certificado SSL básico para mi blog, encontré que muchas de las Autoridades de Certificación más conocidas tienen un certificado de nivel de entrada (con una validación menos estricta de la identidad del comprador) por aproximadamente $ 120 y más. Pero luego descubrí que Network Solutions ofrece uno de estos certificados de gama baja por $ 29.99 (hace 12 horas era de $ 12.95) con un contrato de 4 años.

¿Hay alguna razón de seguridad técnica de la que deba estar consciente que pueda hacerme arrepentirme de haber comprado el certificado de menor nivel? Todos prometen cosas como 99% de reconocimiento del navegador, etc. No estoy haciendo esta pregunta en SE para comparar cosas como la calidad de soporte de la CA (o la falta de ella) o algo por el estilo. Quiero saber si hay alguna razón criptográfica o PKI, así que evite un certificado que cuesta tan poco. Como otros, dice que ofrece "cifrado de hasta 256 bits".

    
pregunta Luke Sheppard 14.08.2012 - 21:19
fuente

14 respuestas

90

A los fines de esta discusión, solo hay un par de diferencias entre los certificados de firma web:

  1. Validación extendida vs estándar (barra verde).
  2. Número de bits en una solicitud de certificado (1024/2048/4096).
  3. Cadena de certificados.

Es más fácil configurar certificados con una cadena de confianza más corta, pero existen certificados económicos con una cadena directa o de un solo nivel. También puede obtener los certificados más grandes de 2048 y 4096 bits de forma económica.

Mientras no necesite la validación extendida, realmente no hay razón para utilizar los certificados más caros.

Hay un beneficio específico que ofrece un proveedor más grande: cuanto más importante es el proveedor, menos probable es que su confianza sea revocada en caso de incumplimiento.
Por ejemplo, DigiNotar es un proveedor más pequeño que tuvo la mala suerte de que se revocara su confianza en septiembre de 2011.

    
respondido por el Tim Brigham 14.08.2012 - 21:36
fuente
28

Lo bueno en otras respuestas, permítame agregar algunas observaciones sobre el comportamiento adecuado de la CA.

Si la CA tiene un historial

  • de falta de seguridad cumplimiento de políticas,
  • de violación del acuerdo "CA aprobado por el navegador",
  • de firma de nombres no DNS usando su certificado raíz oficial (como direcciones IP o nombres DNS inexistentes, por ejemplo, bosscomputer.private ),
  • de falta de transparencia sobre su comportamiento y sus revendedores,

y el usuario final (como yo) inspecciona su certificado, y sabe de esto, que podría reflejarse mal en usted. Especialmente cualquier CA que sea una subdivisión de una compañía también en el negocio de la intercepción de conexión .

Cuando veo a USERtrust o COMODO o Verisign en una cadena de certificados, no estoy impresionado positivamente.

    
respondido por el curiousguy 15.08.2012 - 03:21
fuente
17

Desde un punto de vista técnico, lo único que importa es el reconocimiento del navegador. Y todas las autoridades de confianza tienen una cobertura de casi el 100%.

Podría decir más, pero para evitar la duplicación de esfuerzos, aquí hay una pregunta casi idéntica con muchas respuestas bien razonadas: ¿Son iguales todos los certificados SSL?

    
respondido por el tylerl 15.08.2012 - 08:27
fuente
13

A la luz de las últimas revelaciones de la NSA , diría que todo el concepto de CA raíz comerciales es fundamentalmente defectuoso y debe comprarlo a la CA más barata cuyo certificado raíz está instalado en las cadenas de confianza del sistema operativo y el navegador.

En la práctica, necesitamos cadenas de confianza de múltiples raíces en lugar de las actuales cadenas de confianza de una sola raíz . De esa manera, en lugar de ignorar el poder real de los gobiernos para " coerce " proveedores comerciales: simplemente tendrá su certificado firmado por varios gobiernos (preferiblemente antagónicos). Por ejemplo, haga que su sitio web de combate en jaula Bronies vs Juggalos esté firmado por Estados Unidos, Rusia, China, Islandia y Brasil. Lo que podría costar más pero realmente reduciría la probabilidad de colusión.

    
respondido por el LateralFractal 15.10.2013 - 13:44
fuente
10

Para un certificado de validación de dominio, lo único que importa es si los navegadores aceptan el certificado como confiable. Entonces, tome el certificado más barato en el que confían todos los navegadores (o todos los navegadores que le interesan). No hay una razón criptográfica significativa para preferir un proveedor a otro.

(Por supuesto, tendrá que pagar más por un certificado de validación extendido, pero esa es una clase de certificado completamente diferente. Creo que ya lo sabe.)

    
respondido por el D.W. 14.08.2012 - 21:45
fuente
9

No importa con qué CA vaya, la garantía de sus usuarios de que realmente se están comunicando con su sitio y no un atacante es tan buena como la peor CA en la que confían sus navegadores : un atacante que quiere falsificar un certificado puede comprar una CA con malas prácticas. Por lo tanto, no veo ningún argumento plausible de que su elección de CA afecte la seguridad de su sitio, a menos que elija una CA que genere claves privadas para usted en lugar de firmar una clave que proporcione, o que no permita el uso de claves de gran tamaño.

Aparte de eso, como han dicho otros, es probablemente una buena idea evitar las AC cuya combinación de malas prácticas y tamaño reducido hace posible que su confianza sea revocada por uno o más navegadores, ya que esto afectaría la accesibilidad ( y percepción pública) de su sitio.

    
respondido por el R.. 17.09.2014 - 19:28
fuente
8

En general, las dos cosas que probablemente puede transmitir son el EV (ya que es solo el truco de la barra verde) y también el SGC no ofrece ningún beneficio real en la actualidad (ya que solo se aplica a los navegadores desde los días de IE5 y antes)

Este sitio proporciona una buena descripción general de por qué evitar el SGC: enlace

    
respondido por el theonlylos 15.08.2012 - 00:55
fuente
8

Pronto podrá Puede obtener certificados por el bajo costo de cero € con Let's Encrypt.

Técnicamente son tan buenos como cualquier otro (validación no extendida, básicamente sin la barra verde en sus navegadores), siendo el punto principal la capacidad de los navegadores para reconocerlos como confiables (ellos lo harán are ).

El único inconveniente es que hay una devolución de llamada de Lets 'Encrypt a su sitio o DNS, lo que hace que la generación de certificados sea dolorosa (si no imposible) para los sitios internos (no de Internet).

    
respondido por el WoJ 20.10.2015 - 10:26
fuente
6

Ignorando los aspectos técnicos del cifrado de certificados, el problema a considerar es la confianza y la reputación. Si solo le preocupa el cifrado del tráfico, puede utilizar un certificado autofirmado simple. Por otro lado, si lo que quiere lograr es proporcionar un nivel de confianza de que usted o su sitio realmente es quién o qué dice ser, entonces necesita un certificado de una autoridad de certificación en el que confíe la gente.

La CA logra este nivel de confianza a través de la verificación de las personas a quienes les venden certificados. Muchos de los proveedores de certificados más baratos logran sus precios más bajos al reducir sus gastos generales de operación y esto a menudo se realiza al tener procesos de verificación menos rigurosos.

La pregunta no debe ser "¿Quién es el proveedor de certificados más barato", sino más bien "Qué proveedor de certificados tiene la reputación y el nivel de confianza necesarios que los usuarios o posibles usuarios de mi servicio aceptarán".

P.S. Desafortunadamente, hasta cierto punto, todo el modelo está roto de todos modos. Pocos usuarios incluso verifican quién es el CA que emitió el certificado y tienen poco conocimiento o comprensión de la cadena de autoridad involucrada.

    
respondido por el Tim X 26.10.2012 - 00:01
fuente
3

Desde un punto de vista pragmático para un sitio con usuarios de tipo estándar, el único criterio que importa para un certificado SSL es "es compatible con los navegadores que mis usuarios usarán para acceder al sitio". Mientras sea así, está bien que sea lo más barato posible.

Hace un tiempo atrás, un posible diferenciador era si el certificado era EV SSL o no, pero para ser honesto, no he visto una gran conciencia de los usuarios al respecto, por lo que es poco probable que valga la pena el dinero.

    
respondido por el Rоry McCune 26.10.2012 - 00:16
fuente
3

El certificado SSL se utiliza para dos propósitos.

  • Uno es asegurar las transacciones en línea y la información privada que se transmite entre un navegador web y un servidor web.
  • El segundo es Trust, SSL se usa para aumentar la confianza del cliente. SSL prueba la sesión segura de su sitio web, lo que significa la confianza de su cliente en su sitio web.

Cada certificado tiene su propio proceso de validación y, tras este proceso, la autoridad de certificados valida la confiabilidad de su negocio y envía un certificado para su sitio web.

Un certificado SSL básico y barato solo valida la autoridad de su dominio y se autentica mediante el sistema de verificación de correo electrónico del aprobador. El aprobador puede obtener fácilmente este certificado en solo minutos con una dirección de correo electrónico genérica.

Los certificados OV y EV SSL se conectan con la confianza del cliente y, a través de su estricto proceso de autenticación, brindan el más alto nivel de confianza. EV SSL valida los múltiples componentes de la identificación de su dominio e información comercial. Sigue el proceso de verificación manual y, durante este proceso, el sistema no puede verificar o no los defensores del sistema de su empresa por una posible acción falsa, por lo que su orden puede estar lista para una revisión manual.

La principal diferencia en el factor de confianza y la reputación de la marca, mientras que sus clientes ven la barra de direcciones verde en su navegador, se sienten más seguros y los alientan a realizar transacciones. De lo contrario, algunas diferencias entre otras funciones, como el cifrado, la compatibilidad del navegador, la longitud de la clave, la compatibilidad móvil, etc.

De lo contrario, la garantía de los certificados explica las diferencias. Las autoridades de certificación brindan una garantía extendida ($ 1K a $ 1.75M) contra la emisión incorrecta de un certificado SSL que explica el valor de su inversión para la seguridad del sitio web.

Aunque nos centramos en el precio de un certificado, no importa dónde comprar su certificado: autoridad de certificación o un distribuidor autorizado. El revendedor autorizado ofrece los mismos productos SSL, las mismas características de seguridad y un mejor soporte a un precio razonable.

Jason Parm está afiliado a SSL2BUY (Global SSL Reseller)

    
respondido por el Jason Parms 23.06.2014 - 13:18
fuente
2

Es un poco tarde, pero para otros como yo, buscando en la web qué certificado SSL comprar y aquí está el resultado de mi investigación:

En el aspecto técnico, los costosos Certificados SSL ofrecen un sello dinámico que significa una imagen dinámica que se muestra en un sitio web que muestra la hora y fecha actuales en que se cargó la página web, lo que indica que el sello es válido para el dominio en el que está instalado. encendido y es actual y no caducado. Cuando se hace clic en la imagen, se mostrará información de la Autoridad de certificación sobre el perfil del sitio web que valida la legitimidad del sitio web. Esto dará a los visitantes del sitio una mayor confianza en la seguridad del sitio.

Un sello estático es simplemente una imagen gráfica estática que se puede colocar en el sitio web para indicar de dónde se obtuvo el certificado digital. Sin embargo, no hay una validación mediante clic del sitio web y la imagen no muestra la hora actual. fecha.

Además, si está comprando un SSL más caro, obtendrá más dinero en garantía de fraude para sus visitantes, pero solo en caso de que la Autoridad emitiera un certificado a un estafador y un visitante perdiera su dinero creyendo que el sitio web es legítimo. Si no es un estafador, no hay razón por la que deba solicitar un certificado costoso a menos que quiera mostrar la barra de direcciones verde y aumentar la confianza en sus visitantes.

Técnicamente no hay otra diferencia

Hay 3 tipos principales de certificados SSL

Dominio único

  • Asegura las versiones www y no www de tu dominio
  • Ejemplos: RapidSSL, Comodo Esential, etc.

Wildcard

  • Protege todos los subdominios para un solo dominio, incluidas las versiones www y no wwwli
  • Ejemplos Comodo Wildcard SSL, RapidSSL Wildcard etc.

Dominio múltiple

  • La mayoría de las Autoridades de certificación otorgan de 3 a 5 dominios con su plan de precios básico
  • Debes pagar por dominio adicional. Normalmente, alrededor de $ 15- $ 20 / año por dominio
  • Ejemplos Comodo Positive Multi Domain SSL

También 3 tipos de verificación de dominio

Para obtener su Certificado SSL emitido, la Autoridad de Certificación tiene que verificar que usted es quien dijo ser cuando solicitó el certificado con ellos. Los siguientes son 3 de los procesos de verificación por los que debe pasar al obtener un SSL

1. Validación de dominio

Tienes que validar tu dominio. Por lo general, esto sucede a través de un enlace URL enviado a uno de los correos electrónicos de su dominio o con la carga de archivos a su servidor. Por mucho, este es el SSL más rápido, simple y barato. La garantía contra el fraude con este tipo de validación es de hasta $ 10,000.

2. Validación de la organización

Debe proporcionar documentación de respaldo sobre su organización para obtener uno de estos certificados. Este proceso es un poco más lento y puede demorar hasta un par de días. Este tipo de seguridad SSL es necesario para los grandes sitios web de comercio electrónico u organizaciones que almacenan datos confidenciales de los usuarios. Por lo general, estos certificados ofrecen un sello dinámico del sitio y ofrecen una garantía más alta de hasta $ 1,500,000 dependiendo del emisor.

3. Validación extendida

Estos son los Certificados más confiables y cambiarán la barra de direcciones de su navegador de color verde que contiene el nombre de su organización. Con mucho, el proceso de validación más lento de hasta una semana, dependiendo del organismo externo que verifique sus detalles. Deberá proporcionar los documentos de respaldo de la Autoridad SSL, como la incorporación de la empresa, etc., y estos pasarán a terceros para verificar su validez. Una vez que este proceso se complete con éxito, tendrá la más alta confianza y garantía de hasta $ 2,000,000 dependiendo del emisor.

Qué certificado comprar

Todo depende de ti. Hay muchas Autoridades de Certificación que ofrecen mucho para cada necesidad. Para mí el punto principal es no gastar a menos que tenga que hacerlo. El certificado SSL básico hará prácticamente lo mismo que el SSL más caro del mercado.

Aquí hay algunos enlaces útiles

Autoridades de certificación

Algunos de los revendedores más baratos

respondido por el Pancho 20.10.2015 - 01:18
fuente
2

DV debería ser suficiente para la mayoría de los navegadores

El artículo " Comprende los riesgos y evita el FUD " en Unmitigated Risk menciona tres niveles de seguridad de Certificados firmados por una autoridad certificadora. A estos tres, agregaré dos niveles de seguridad más bajos posibles sin un certificado firmado por CA. Esto hace un total de cinco niveles de seguridad HTTP a considerar:

  1. Sin TLS ( http: )
  2. TLS con un certificado autofirmado o de un emisor desconocido
  3. TLS con certificado de dominio validado (DV) de un emisor conocido (organización que no forma parte del certificado)
  4. TLS con certificado validado por la organización (OV) de un emisor conocido (nombre de la organización en el certificado)
  5. TLS con certificado de validación extendida de un emisor EV conocido (nombre de la organización y dirección en el certificado)

Los certificados que compre de una CA comercial serán 3, 4 o 5. La mayoría de los navegadores web permiten todos menos 2 sin advertencia intersticial, aunque 2 es mejor que 1 en resistencia a ataques pasivos. La razón comúnmente expresada es que un https: URI con una CA desconocida da una falsa sensación de seguridad, particularmente contra un hombre en el medio, mientras que un http: URI da una verdadera sensación de inseguridad.

Pero DV puede asustar a los usuarios de Comodo Dragon

Pero una minoría de usuarios usa un navegador web que también advierte en 3. Cuando un usuario de Comodo Dragon visita un sitio HTTPS que usa un certificado DV, muestra un bloqueo diferente icono con un triángulo de advertencia, que se asemeja al icono de "contenido pasivo mixto". También muestra una pantalla de advertencia intersticial antes de ver el sitio. Esta advertencia se parece a lo que muestran los navegadores para un certificado autofirmado, y su texto comienza de la siguiente manera:

  

Puede que no sea seguro intercambiar información con este sitio

     

El certificado de seguridad (o SSL) para este sitio web indica que   la organización que lo opera puede no haber sido confiada   La validación de terceros es un negocio legítimo.

Está destinado a detener a los atacantes que registran un dominio bankofamerrica.example para "Banko Famer Rica", publican contenido legítimo de Costa Rica, obtienen un certificado DV para ese dominio y luego lo cambian a un sitio que se hace pasar por el Banco. de América. También tiene la intención de detener a un atacante que comprometa un dominio, agrega un subdominio que controla y obtiene un certificado DV para ese subdominio. Uno de estos casos ocurrió en diciembre de 2015, una vez que el DV CA Let's Let's Encrypt se lanzó sin cargo. Pero se ha visto que muestra este mensaje incluso para Facebook .

Para no asustar a los usuarios de Dragon, debe evitar los certificados DV. Pero no es necesario comprar un certificado EV. Simplemente haga una lista de las entidades emisoras de certificados que están dispuestas a vender a su organización un certificado OV cuyo certificado raíz se encuentra en todos los principales navegadores. Entonces no hay ninguna razón técnica de seguridad para no comprar la más barata.

Si está operando su blog como individuo, es posible que no califique para un certificado OV de ninguna CA. En este caso, solo tienes que vivir con la advertencia en Dragon, y puedes ir con un certificado DV barato como el que ofrecen las ofertas StartSSL, WoSign o Let's Encrypt.

    
respondido por el Damian Yerrick 02.12.2014 - 17:29
fuente
0

Me gustaría agregar que si bien la tecnología es la misma con el cifrado de 256 bits, también está pagando por los siguientes factores:

Nivel de validación : esta es la cantidad de cheques que el emisor realizará para verificar su empresa o sitio web

Número de dominios : para cuántos dominios será válido este certificado

Nivel de confianza : como los miembros mencionados anteriormente, puede pagar por diferentes tipos de validación con más "confianza" para los usuarios, por lo tanto, la diferencia en los precios

    
respondido por el DomainsFeatured 08.06.2016 - 21:08
fuente

Lea otras preguntas en las etiquetas