¿Importa realmente la solidez del cifrado SSL o el nivel de validación de un sitio web?

La parte importante en la página que señala es la "garantía": cuánto dinero pone en juego NetworkSolutions. Todas las opciones se reducen, más o menos directamente, a eso.

Hablando criptográficamente, la "fuerza de encriptación" dependerá del tipo y tamaño de su clave pública (la que ingresará en el certificado) y las suites de cifrado que configure en su servidor SSL; Esto es principalmente ortogonal a la "categoría" del certificado. NetworkSolutions podría imponer algunos requisitos en la clave pública (por ejemplo, requerir una clave RSA de 2048 bits para los tipos de certificados más caros); pero la configuración del servidor SSL está completamente fuera de su alcance.

Prácticamente ningún usuario final verifica al emisor, e incluso si lo hicieran, muy pocas personas podrían tomar una decisión informada sobre la calidad relativa de las CA.

Mi experiencia y opinión es que los EV-SSL son de bajo valor. Dependiendo de un usuario para reconocer la diferencia entre una barra azul y una barra verde es una tarea difícil. Y, en cualquier caso, si un malvado obtuviera un certificado deshonesto, a sus usuarios no les importará si el certificado real es EV. Estoy seguro de que hay otros con la opinión opuesta aquí, pero tome esto para lo que vale.

  

¿Cuántas personas, además de la gente de seguridad paranoica, comprueban el cifrado?   fuerza

Solo las personas mal informadas verificarían la fortaleza del cifrado.

¡Nadie ataca el cifrado SSL / TLS! Los cyphers son lo suficientemente fuertes, excepto por supuesto la mierda castrada de "exportación de EE. UU." De 40 bits.

Por ejemplo: en el caso del problema de Renegociación de Seguridad de la capa de transporte (TLS) descrito en enlace : la vulnerabilidad era Dentro de una característica del protocolo que no se usa con mucha frecuencia, no es un problema con el cripto en sí.

Los números de bits grandes SOLO están ahí para impresionar a las personas que NO comprenden la seguridad informática. No hace absolutamente ninguna diferencia en la práctica.

EV resuelve un problema que NO existe, y no hace nada para resolver los MUCHOS problemas que existen con este SSL PKI: EV es un truco de relaciones públicas. Si se tomara en serio el EV para la seguridad de WWW, tendríamos un nuevo esquema de URL "httpsEV:".

Los usuarios informados que se preocupan por los ataques contra la capa SSL NO se preocupan por el EV.

A los usuarios "paranoicos" informados les preocupa los cambios inesperados en los certificados, especialmente si cambia CA. Informe a los usuarios con antelación si cambia CA.

Los usuarios "paranoicos" informados SÍ se preocupan de que CA haya hecho cosas malas en el pasado, así que espere que algunos usuarios lo rechacen o al menos le pregunten acerca de los certificados COMODO.