¿Por qué los certificados SSL son un gasto anual?

Navega tus respuestas
32

Entiendo que los certificados SSL cuestan dinero debido a su reputación: la mayoría / todos los navegadores web tienen una lista limitada de compañías que demostraron que son fuentes confiables de certificados SSL y por lo tanto no presentan a los usuarios un ¡Seguridad! pantalla para los productos de esas compañías.

Mi pregunta es ¿por qué esto no es un gasto de una sola vez? Estoy considerando cambiarme a un certificado autofirmado, pero mi proveedor de alojamiento web me acaba de decir que comenzaría con $ 35 por año , y pueden llegar fácilmente a cientos por año. ¿Por qué no se trata de una tarifa única?

    
pregunta user1717828 11.04.2017 - 17:00
fuente

4 respuestas

35

Es fácil pensar que el certificado tiene una duración limitada solo para cobrar una tarifa recurrente, pero en realidad es al revés: un certificado tiene una duración limitada, y por lo tanto lo hará tener que pagar por uno nuevo cuando se termine la vida útil.

Para comprender por qué este es el caso, lea las Preguntas frecuentes de Let's Encrypt , quienes emiten certificados gratuitos , pero limitan su vida útil a 90 días. Su principal justificación es esta:

  

Limitan el daño por el compromiso clave y la emisión incorrecta. Las claves robadas y los certificados emitidos incorrectamente son válidos por un período de tiempo más corto.

Mientras el certificado sea válido, cualquier persona que obtenga una copia de ese certificado y su clave privada correspondiente puede hacerse pasar por el propietario de ese dominio. Si su sistema está comprometido, o si vende en el dominio, o cualquier otra cosa sobre los cambios de estado del certificado en ese momento, los clientes pueden seguir confiando en el certificado.

Es posible revocar un certificado dentro de su vida útil, pero esto se basa en que el cliente verifique una lista de revocaciones mantenida por la Autoridad de Certificación, por lo que no es tan confiable como la fecha de caducidad que es parte del certificado a prueba de manipulación.

Este es realmente uno de los puntos fuertes reivindicados por Let's Encrypt: ofrecen el mismo nivel de validación que los certificados básicos de los servicios de pago, pero al usar un sistema automatizado, eliminan la tentación de comprar certificados de larga duración.

Si no necesita la "Validación ampliada" (certificación de su identidad corporativa, en lugar de solo su propiedad del dominio), entonces use Let's Encrypt y renueve con más frecuencia, pero de forma gratuita y automática , puede ser tu mejor curso de acción. En algunos servidores web, esto es ahora tan simple como marcar una casilla en el panel de control para habilitar la configuración automatizada.

    
respondido por el IMSoP 11.04.2017 - 19:15
fuente
64

Comencemos con la vista cínica:

Las Autoridades de Certificación son compañías con fines de lucro, ¡por lo que cobrarán tanto como sean capaces de salirse con la suya!

Más en serio, ejecutar una autoridad de certificación es un negocio costoso y con un margen de ganancia bajo, pero la respuesta realmente se reduce al tipo de certificado que desea.

Certificados de dominio validado (DV)

Para un certificado DV básico que hace que la barra de direcciones de su navegador se vea así:

loscostossonmuybajos;básicamente,laCAsolonecesitaconfirmarquelapersonaquesolicitaelcertificadoteníaelcontroldelservidorenelmomentodelasolicitud.Estopuedesercompletamenteautomatizado.Como@SteffenUllrichseñala,en2014,ElectronicFrontierFoundation,MozillaylaUniversidaddeMichiganseunieronparaestablecerunaCA100%gratuita Let's Encrypt para la emisión de certificados DV. Según el caso de uso que describió en la pregunta, parece que se ajustaría a sus necesidades.

Certificados de validación extendida (EV)

Si desea que los certificados de gama alta que incluyen el nombre de su empresa verificada y el país en el que está registrado aparezcan en el navegador de esta manera:

entonceshayuncostosignificativamentemayorparalaCA.AntesdeemitiruncertificadoEV,serequierequelaCAhagaqueunserhumanoverifiqueunmontóndecosassobreelestadolegaldesuempresa.Cosascomo:¿Estásuempresaregistradalegalmenteconelnombrequefiguraenlasolicituddecertificado?¿Lapersonaquesolicitaelcertificadofiguracomooficiallegaldelaempresaenlosdocumentosderegistrodelaempresa?¿ElregistroDNSdelsitiowebsolicitadoestáregistradoenlamismaempresa?etc.

¿Porquéunatarifarecurrente?

LarazónporlaquelasCAcobranunatarifarecurrenteeslamismarazónporlaquenopuedeobteneruncertificadoSSLde10años:elforodeCA/navegadorrequierequeloscertificadoscaduquenysevuelvanavalidarporcompletocadaunoodosaños.Lasrazonesdeseguridaddeestosonparaforzarlarenovacióndeclaves,paraevitarquelaempresaquiebreocambiedenombreyqueunadministradordesistemasdeshonestocontinúeutilizandoelcertificadodeformaindebida,etc.

LaCAdeberealizartodasestasverificacionesdeantecedentesnosoloenlaprimeraemisión,sinotambiéncadavezqueserenueveelcertificado.Elvaloragregadoparaustedesquesusclientesobtienenunmayorniveldeseguridadenlaconfiabilidaddesusitioweb(seguro,el99%delosconsumidoresnolonotarán,perolosauditoresypiratasinformáticosloharán)ytambién,Googleseestámoviendoparadarmayorpreferenciadebúsquedaasitiosconcertificadosdemayorcalidad.

Esporestoqueloscertificadospuedencostarcientosdedólaresalaño;Nosolopagasporunpardebitsdedatos,pagasporeltiempodelhumanoquetienequehacerlaverificación.

servidoresOCSP

Tambiénhaycostosdeservidorparamanteneruncertificado,principalmenteloscostosde OCSP , que requiere que la CA se mantenga alta - servidores de ancho de banda, baja latencia y tiempo de inactividad para responder a las verificaciones de revocación de cada certificado que emitieron. Si bien esto puede no parecer caro, cada navegador web debe hacer ping al servidor OCSP de una CA durante cada carga de páginas HTTPS. Cada milisegundo adicional que toma la CA para responder aumenta el tiempo de carga de la página de cada página en Internet . La ejecución de un servidor de baja latencia en este nivel de tráfico es un problema de ingeniería de red complicado.

[divulgación: trabajo para una CA]

    
respondido por el Mike Ounsworth 11.04.2017 - 17:35
fuente
11

Durante la vigencia del certificado, la CA debe poder revocarlo, lo que significa:

  • mantener la lista de certificados revocados (CRL)
  • responder a los clientes que solicitan el estado de revocación (OCSP).

Entonces, siempre que el certificado sea válido, el certificado "costará" algo a la CA.

Además, la CA debe mantener un alto nivel de seguridad y confianza, para evitar la falta de confianza de los navegadores.

Para obtener más información sobre OCSP:

Cada visitante de un sitio web puede solicitarle a la CA una prueba de no revocación. Esa prueba debe ser reciente, lo que significa que la CA debe firmar esa prueba regularmente (alrededor de cada 10 días) para cada certificado activo.

Para tener una visión real de lo que cuesta ejecutar una CA (no comercial):

enlace

  

Dotación de personal $ 2.06M USD

     

Hardware / Software $ 0.20M USD

     

Alojamiento / Auditoría $ 0.30M USD

     

Legal / Administrativo $ 0.35M USD

     

Total $ 2.91M USD

Por supuesto, para una CA comercial tiene que agregar el costo de Facturación, Anuncios, remuneración del Inversor ...

Y, para los certificados OV / EV, debe agregar el costo de la verificación manual de los documentos presentados para demostrar la propiedad de la empresa.

    
respondido por el Tom 11.04.2017 - 17:28
fuente
-2

Uno de los propósitos es que después de un año, su poder de cómputo puede romper el certificado, por lo que lo renuevan.

Si tuviera que otorgarle un certificado de por vida, luego de un año o dos, podría romper su certificado, por lo que no es una buena idea tener un certificado de por vida.

    
respondido por el Jeremy Shiklov 12.04.2017 - 10:49
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede juzgar la seguridad física de un candado? ¿Cómo genera OpenSSL un número primo grande tan rápido?