WebサイトのSSL暗号化の強度または検証レベルは本当に重要ですか?
SSL証明書を取得しようとすると、多くのオプションが提示されます。たとえば Network Solutions を見てみましょう。ニースの比較表があるからです。
すぐに4つの主要なオプションがあるようです:安価な証明書、ビジネスクラスの証明書(安価な証明書と同じ機能を持ちますが、サポートと大きな被付与者がいます)、ワイルドカード証明書、および拡張検証証明書。
最終的にどの証明書を取得するかは本当に重要ですか?偏執的なセキュリティ以外の何人が、さらに進む前にすべてのHTTPSサイトの暗号化の強度と検証のレベルをチェックしますか?
安価な証明書またはビジネス証明書で問題ないのに、なぜ拡張検証をサイトに利用するのですか?この場合の拡張検証は、ビジネス証明書よりも4倍の費用がかかり、安価な証明書よりも30倍の費用がかかります。それは純粋に技術サポートと大規模な助成金のためですか、それとも別の理由がありますか?
あなたが指しているページの重要な部分は「保証」です:NetworkSolutionsがどれだけのお金を賭けているか。オプションはすべて、多かれ少なかれ直接、それに要約されます。
暗号学的に言えば、「暗号化強度」は、公開鍵(証明書に入れるもの)のタイプとサイズ、およびSSLサーバーで構成する暗号スイートに依存します。これは、証明書の「カテゴリ」とほぼ直交しています。 NetworkSolutions might公開キーにいくつかの要件を適用します(たとえば、より高価な証明書タイプには2048ビットのRSAキーが必要です)。しかし、SSLサーバーの構成は完全には不可能です。
事実上、エンドユーザーは発行者をチェックせず、確認したとしても、CAの相対的な品質について十分な情報に基づいて意思決定できる人はほとんどいません。
私の経験と意見は、EV-SSLは価値が低いということです。青いバーと緑のバーの違いをユーザーが認識するかどうかに応じて、大きな注文になります。いずれにせよ、悪意のある人物が不正な証明書を取得したとしても、実際の証明書がEVであるかどうかはユーザーには関係ありません。ここには反対の意見を持つ他の人もいると思いますが、これは価値があると考えてください。