क्या विभिन्न प्रकार के एसएसएल सर्टिफिकेट एक घोटाले की तरह हैं?

39

मैं निम्नलिखित को कवर करने के लिए डोमेन के लिए कुछ SSL प्रमाणपत्र प्राप्त कर रहा हूं:

  • autodiscover.example.com
  • remote.example.com
  • www.example.com

वाइल्डकार्ड प्रमाणपत्र बहुत महंगे हैं, इसलिए मैं प्रत्येक उपडोमेन के लिए एक एकल प्रमाण पत्र खरीदने जा रहा हूं (मेरे पास जाने के लिए पर्याप्त आईपी पते हैं)।

मेरा प्रश्न यह है कि $ १० प्रमाणपत्र की तुलना में $ १० का प्रमाणपत्र क्या बेहतर बनाता है?

उदाहरण के लिए, जियोट्रस्ट उत्पाद रेंज को ही लें । मुझे पता है कि ईवी क्या है (इसकी आवश्यकता नहीं है), और मुझे पता है कि सिक्योर सील क्या है (हमारे उपयोगकर्ता हमें पहले से ही भरोसा करते हैं, इसलिए इसकी आवश्यकता नहीं है)।

लेकिन मैं $ 69 के लिए क्विकएसएसएल के लिए क्यों जाऊंगा जब मुझे $ 10 के लिए रैपिडएसएसएल मिल सकता है? एकमात्र अंतर "ब्रांड मान्यता" (मध्यम से मध्यम) और बीमा है।

क्या कोई भी "ब्रांड मान्यता" से उनके मतलब पर प्रकाश डाल सकता है? हमारी सार्वजनिक वेबसाइट पहले से ही हमारे उपयोगकर्ताओं द्वारा अच्छी तरह से विश्वसनीय है, और अन्य दो उप डोमेन केवल कहीं भी आउटलुक के लिए हैं (और इस तरह एक ब्राउज़र में प्रदर्शित नहीं किया जाएगा)।

Https://serverfault.com/questions/82039/difference-between-ssl-procs से प्रासंगिक प्रश्न पुनः पोस्ट करें

https  security-certificate 
मार्क हेंडरसन
स्रोत
1
यदि आपने एक महंगा एसएसएल प्रमाणपत्र खरीदा है तो आपने शटलवर्थ को अंतरिक्ष में जाने में मदद की है। संभवत: यह घोटाला कैसे हो सकता है?
4
इंटरनेट के अच्छे पुराने दिनों में, थिसिस सेवाएं प्रदान करना महंगा हो सकता है। उन्होंने कहा कि आप अपनी पहचान सत्यापित करने के लिए सेवा का भुगतान कर रहे हैं। मेरे अनुभव में गैर-ईकॉमर्स प्रमाणपत्रों की जांच तुच्छ और स्पष्ट है। क्षमा करें, मैं अभी इस पूरे एसएसएल उद्योग को तुच्छ समझता हूं। मैं चाहता हूं कि कोई ऐसा गैर-लाभ पैदा करे जो समान सेवाएं प्रदान करे।
गढ़
1
वहाँ EV प्रमाणपत्र यहाँ से संबंधित कई प्रश्न हैं: webmasters.stackexchange.com/questions/2214/... webmasters.stackexchange.com/questions/3836/... webmasters.stackexchange.com/questions/3134/ssl-versus-ev-ssl
जेसनबिरच
मूल रूप से पार्टी में सबसे अच्छे बच्चों को यह कहते हुए "यह दोस्त वैध है" जब एक ब्राउज़र उनसे आपके बारे में पूछता है। आप उन शांत बच्चों के लिए भुगतान करते हैं ताकि आप स्वीकार कर सकें और आपसे अत्यधिक बात कर सकें। यदि आप चाहते हैं कि इसके बजाय "यह दोस्त पूरी तरह से EPIC है" , तो आप अधिक पैसा खर्च कर सकते हैं। जब तक इसके SHA-256 या इसी तरह के कुछ, सत्यापन कोई फर्क नहीं पड़ता। सत्यापन प्राधिकरण की जांच करने वाले आगंतुकों के शायद .01% हैं। उनके लिए यह सब मायने रखता है कि वे हरे रंग का ताला देखते हैं चाहे वह $ 10 का हो या $ 1000 का ताला।
धापिन
@ citadelgrad, उन्होंने गैर-लाभकारी बनाया है। इसे CaCert.org कहा जाता है। webmasters.stackexchange.com/questions/28595/…
Pacerier

जवाबों:

27

"मेरा सवाल है, क्या $ 10 प्रमाणपत्र एक $ 100 प्रमाण पत्र से बेहतर है?"

आमतौर पर प्रमाणपत्र जितना महंगा होता है, प्रमाणिक कंपनी उतनी ही पुरानी होती है। चूंकि ब्राउज़र के साथ विश्वसनीय हस्ताक्षरकर्ताओं के जहाजों की सूची, नई कंपनियों के प्रमाणपत्र पुराने ब्राउज़रों द्वारा भरोसेमंद नहीं हो सकते हैं।

उदाहरण के लिए, शायद $ 10 प्रमाणपत्र IE5 द्वारा विश्वसनीय नहीं है।

इसके बारे में बस इतना ही।

थॉमस बोनी
स्रोत
8
और ठीक से प्रदर्शित गड़बड़ है कि किसी भी आधुनिक मानकों के अनुरूप वेब साइट दिखाने के बाद IE5 प्रदर्शित करता है भी और * $ :) +1 # के इस तरह के एक टुकड़े के उपयोगकर्ता द्वारा अविश्वसनीय है
टिम पोस्ट
इसके अलावा, कुछ प्रकार के प्रमाणपत्र के लिए जारीकर्ता कंपनी उस व्यक्ति / कंपनी के विवरण को सत्यापित करने में अधिक प्रयास करती है ( en.wikipedia.org/wiki/Extended_Validation_Certificate )। यदि ब्राउज़र दिखाता है कि एक प्रमाण पत्र ईवी है और उपयोगकर्ता इसे नोटिस करते हैं तो उन्हें अधिक आत्मविश्वास हो सकता है। IMHO वे ध्यान नहीं देंगे।
पल्मोरिस १४'१४ को
आप इस बिंदु से चूक गए हैं, यदि कोई प्रमाण पत्र अधिक महंगा है तो आप अधिक कवर किए जाते हैं, यदि आपकी वेबसाइट हैक हो गई है तो 100 डॉलर का प्रमाण पत्र आपको 1 मिलियन डॉलर तक का भुगतान कर सकता है जहां 10 डॉलर के प्रमाण पत्र आपको कुछ भी भुगतान नहीं कर सकते हैं।
एसएसपोक
@SSpoke, मैं आश्चर्यचकित हो जाएगा कोई घर्षण हो, तो जब आप "का दावा करने की कोशिश $ 1.5M अमरीकी डालर "। ये संख्या केवल बड़े लड़कों के लिए दावा करने के लिए है, न कि औसत उपयोगकर्ता के लिए। कल्पना कीजिए कि उनके पास एक ब्रीच था और उन्हें 300k उपयोगकर्ताओं को भुगतान करना था, जो कि 450 बिलियन का था। निश्चिंत रहें कि आपके उपयोगकर्ता प्रत्येक को 1 मिलियन डॉलर नहीं दे पाएंगे। इसके अलावा नियम और शर्तें देखें positivessl.com/ssl-warthi.php
Pacerier
6

मैंने दूसरे दिन DigiCert की एक ही बात पूछी : बहुत सारे प्रमाण पत्र आपके मुकाबले इतने सस्ते क्यों हैं (~ $ 25 बनाम ~ $ 100 प्रति वर्ष)? इसका उत्तर उन्होंने मुझे दिया है (मेरे शब्दों में):

अन्य कंपनियां केवल आपके डोमेन नाम को सत्यापित करती हैं (कि प्रमाणपत्र प्राप्त करने वाला व्यक्ति डोमेन नाम का मालिक होता है) जबकि DigiCert (और अन्य) डोमेन नाम के पीछे कंपनी का सत्यापन करते हैं।

इसका मतलब है कि उन्हें यह सत्यापित करने की आवश्यकता है कि आपके देश में कॉर्पोरेट रजिस्ट्री की जाँच करें कि आपकी कंपनी मौजूद है और आप कंपनी से संबंधित हैं। इसके लिए अक्सर फोन कॉल और कुछ अन्य चेक की भी जरूरत होती है। इस जांच के बिना, जो भी आवश्यक है वह दर्ज किए गए जानकारी के साथ whois रिकॉर्ड को सत्यापित करने के लिए एक कंप्यूटर है।

इसलिए, मेरे आकलन में, यदि आप किसी ऐसी साइट पर प्रमाण पत्र का उपयोग करने जा रहे हैं, जहां ग्राहक किसी चीज़ के लिए भुगतान कर रहा है या अपनी व्यक्तिगत जानकारी दर्ज कर रहा है, तो एक अधिक महंगा प्रमाणपत्र बेहतर है। यदि आप साइट का उपयोग केवल आंतरिक रूप से (कंपनी के भीतर) कर रहे हैं तो एक सस्ता प्रमाण पत्र शायद आप सभी की आवश्यकता है।

डैरिल हेन
स्रोत
DigiCert में इंटरेस्ट अलर्ट पर अत्यधिक संघर्ष होता है ( सुरक्षा को भी देखें ।stackexchange.com/questions/13453/… )। सहायक कर्मचारी अन्य CA के DV समारोहों की तुलना उनके EV सेर्ट्स से करते हुए प्रश्न को घुमा रहे हैं। लेकिन अन्य सीए भी अपने से काफी कम कीमत पर ईवी सेर्ट की पेशकश करते हैं।
पचेरियर
4

"मेरा सवाल है, क्या $ 10 प्रमाणपत्र एक $ 100 प्रमाण पत्र से बेहतर है?"

उत्तर कुछ भी नहीं है। एक सर्टिफिकेट एक सर्टिफिकेट होता है (क्योंकि आप "ब्रांड रिकॉग्निशन" की परवाह नहीं करते हैं), इसलिए ईवी पैकेज के बिना एक सर्टिफिकेट सिर्फ एक कमोडिटी है। यह इतिहास को काफी बारीकी से समझाता है।

हालाँकि, मुझे लगता है कि ब्रांड की मान्यता कुछ उपयोगकर्ताओं के लिए महत्वपूर्ण हो सकती है, लेकिन यदि आप निश्चित हैं कि आप एक विश्वसनीय स्रोत हैं, तो मुझे इसकी चिंता नहीं होगी।

plntxt
स्रोत
2

वहाँ भी समस्या है जहाँ कुछ ब्राउज़र पूरी तरह से ठीक एसएसएल प्रमाणपत्रों की एक बहुत कुछ उठाते हैं और उन्हें संभावित असुरक्षित के रूप में चिह्नित करते हैं। यह डैरिल ने जो कहा उसके आसपास के हिस्से के कारण है (आप कौन हैं इसकी पुष्टि करने के लिए एसएसएल विक्रेता की ओर से परिश्रम बढ़ा)। ऐसा नहीं है कि सुरक्षा वास्तव में किसी भी अलग है, यह सिर्फ विश्वास की एक बेहतर परत प्रदान करना है।

प्रबंधन क्षमता जैसी चीजें भी हैं (मैं देरी के बिना मेरे दिल की सामग्री को सीट्स जारी और फिर से जारी कर सकता हूं, जो डोमेन नाम अचानक अलग हो जाने पर बहुत आसान हो गया है), और अन्य भत्ते जो आपके अनुभव को बेहतर बना सकते हैं। लेकिन अगर $ 10 संस्करण को आपकी ज़रूरत है, और आपके ग्राहकों को परवाह नहीं है कि प्रमाणपत्र किससे है, तो इसके लिए जाएं।

जैसे ही समय बढ़ता है आप पा सकते हैं कि आप विक्रेताओं को केवल इसलिए बदल रहे हैं क्योंकि आपकी वेब उपस्थिति का परिदृश्य बदल रहा है, इसलिए अब शुरू करने से पहले यह विचार करना महत्वपूर्ण है।

मिलनर
स्रोत
2

2015 के मध्य तक, मुझे कोई स्वतंत्र अध्ययन, या यहां तक ​​कि वास्तविक प्रमाण नहीं मिले हैं, कि ईवी प्रमाण पत्र रूपांतरण दर या बिक्री में वृद्धि करेंगे। मैंने ईवी एसएसएल सर्टिफिकेट के जवाब में उस पर विस्तार किया है - क्या कोई परवाह करता है?

शॉपिंग कार्ट परित्याग को कम करने के लिए क्या प्रतीत होता है विश्वास सील और बैज था । ऐसे ट्रस्ट सील ईवी की खरीद के साथ आते हैं। संयोग से, आज 4 जुलाई है और कोमोडो की 500 डॉलर के बजाय 100 डॉलर में ईवी सेर्ट्स की बिक्री है, जिसने इस शोध को प्रेरित किया। मैं अभी भी एक तरह से या दूसरे पर पूरी तरह से आश्वस्त नहीं हूं।

डैन डस्केल्सस्कु
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.