最近、ワイルドカードSSL証明書を購入する必要があり(多数のサブドメインを保護する必要があるため)、最初にどこで購入するかを検索したとき、選択肢の数、マーケティングの主張、および価格帯に圧倒されました。私は、認証局(CA)の大多数がサイト全体に貼付するマーケティングギミックを通過したことを確認するためのリストを作成しました。結局のところ、私の個人的な結論は、問題となるのはCAのWebサイトの価格と快適さだけです。
質問:価格と素敵なWebサイト以外に、ワイルドカードSSL証明書をどこで購入するかを決める際に検討すべきことはありますか?
ワイルドカードSSL証明書の購入場所の決定に関して重要なのは、SSL証明書の初年度の費用と、証明書の購入と設定に関する販売者のWebサイトの快適さ(つまり、ユーザーエクスペリエンス)だけだと思います。 。
私は次のことを認識しています。
保証に関するクレーム(たとえば、1万ドル、125万ドル)はマーケティングの仕掛けです -これらの保証は、CAが詐欺師(たとえば、フィッシングサイト)に証明書を発行する可能性から、特定のWebサイトのユーザーを保護します。ユーザーは結果としてお金を失います(しかし、あなた自身に尋ねてください:誰かがあなたの詐欺サイトで1万ドル以上を使ったり失ったりしていますか?ああ、待ってください、あなたは詐欺師ではありませんか?
SSL証明書をアクティブ化するには、2048-bit
CSR( 証明書署名要求 )秘密鍵を生成する必要があります。 2048ビット未満の秘密鍵サイズのCSRコードを使用する最新のセキュリティ標準によると、許可されていません。詳細 ここ および ここ 。
99+%
、99.3%
、または99.9%
ブラウザーとデバイスの互換性の主張。
迅速な発行と簡単なインストールの主張。
返金保証が付いているのは素晴らしいことです(15日と30日が一般的です)。
以下のワイルドカードSSL証明書の基本価格(販売ではありません)、発行機関、および再販業者のリストが2018年5月30日に更新されました。
price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
$0 | DNSimple / Let's Encrypt *
$49 | SSL2BUY / AlphaSSL (GlobalSign) *
$68 | CheapSSLSecurity / PositiveSSL (Comodo) *
$69 | CheapSSLShop / PositiveSSL (Comodo) *
$94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
$95 | sslpoint / AlphaSSL (GlobalSign) *
$100 | DNSimple / EssentialSSL (Comodo) *
|
$150 | AlphaSSL (GlobalSign) *
$208 | Gandi
$250 | RapidSSL
$450 | Comodo
|
$500 | GeoTrust
$600 | Thawte
$600 | DigiCert
$609 | Entrust
$650 | Network Solutions
$850 | GlobalSign
|
$2,000 | Symantec
*
DNSimple、sslpoint、Namecheap、CheapSSLShop、CheapSSLSecurity、SSL2BUYはリセラーであり、認証局ではないことに注意してください。
Namecheapは、Comodo/PostiveSSLとComodo/EssentialSSLの選択肢を提供します(2つの間に技術的な違いはありませんが、ブランディング/マーケティングだけです-これについてNamecheapとComodoの両方に質問しましたが、EssentialSSLは数ドル以上かかります(USD $ 100対$ 94) )。 DNSimpleはComodoのEssentialSSLを再販しますが、これもComodoのPositiveSSLと技術的に同じです。
SSL2BUY、CheapSSLShop、CheapSSLSecurity、Namecheap、およびDNSimpleは、最も安価なワイルドカードSSL証明書を提供するだけでなく、レビューしたすべてのサイトの中で最もマーケティングの仕掛けが少ないことに注意してください。そして、DNSimpleには、何か特別なものはないようです。最も安い1年間の証明書へのリンクを次に示します(上の表ではそれらにリンクできないため)。
2018年3月現在 Let's Encryptはワイルドカード証明書をサポートしています 。 DNSimpleはLet's Encrypt証明書をサポートしています。
考慮すべきもう1つのポイントは、証明書の再発行です。
ハートブリードバグ が現れるまで、私はこれが何を意味するのか本当に理解していませんでした。私はそれが彼らがあなたにあなたの元の証明書の2番目のコピーを与えることを意味すると思いました、そして私はそのサービスを必要とするためにどれが無秩序である必要があるのか疑問に思いました。しかし、それが意味しているわけではないことは明らかです:少なくとも一部のベンダーは、有効期間中に発生する限り、新しい公開キーにスタンプを喜んでスタンプします元の証明書の。次に、元の証明書をCRLに追加すると思いますが、それは良いことです。
これを実行する理由は、元の秘密鍵を破損または紛失したか、何らかの方法でその鍵の排他的な制御を失ったこと、そしてもちろん、OpenSSLの世界的なバグが発見されたため、秘密鍵が鍵は敵対者によって抽出されました。
ハートブレッド後、これは間違いなく良いことだと私は考えており、今後の証明書の購入でそれを監視します。
価格はおそらく重要な問題ですが、他の問題はプロバイダーの信頼性、ブラウザーの受け入れそして、あなたの能力レベルに応じて、インストールプロセスのサポート(特に、問題が発生した場合、それよりも大きな問題) )。
多くのプロバイダーが同じトップエンドプレーヤーによって所有されていることは注目に値します。たとえば、ThawteとGeotrustやVerisignはすべてSymantecが所有していると思います。ただし、Thawte証明書は、Geotrustよりもはるかに高価で、魅力的ではありません。理由。
反対に、StartSSLによって発行された証明書(私はノックしていない、私は彼らのモデルは素晴らしいと思います)は、ブラウザーでは十分にサポートされておらず、大手プレイヤーと同じレベルの信頼性を備えていません。サイト全体で「セキュリティプラシーボ」を構築したい場合は、より大きなプレーヤーに行く価値がある場合があります。これは、ワイルドカード証明書の場合はEV証明書の場合よりもはるかに重要ではありません。
他の誰かが指摘したように、もう1つの違いは、証明書に関連付けられている「がらくたの塊」である可能性があります。私は以前単一サーバー、後で管理にそれらを置き換えるように説得したGeotrust証明書は安価であるだけでなく、この制限もありませんでした-Thawteによって課された完全に恣意的な制限。
セキュリティのニーズに基づいて、ワイルドカードSSL証明書を選択する必要があります。
ワイルドカードSSL証明書を購入する前に、以下に述べるいくつかの要素について知っておく必要があります
ブランドの評判と信頼レベル:最近の W3Techs SSL認証局では、ComodoがSymantecを追い抜き、35.4%の市場シェアを持つ最も信頼できるCAとなりました。
タイプ機能またはワイルドカードSSL:Symantec、GeoTrust、ThawteなどのSSL認証局は、ビジネス検証付きのワイルドカードSSL証明書を提供しています。はより多くの訪問者を引き付け、同様に顧客の信頼度を高めます。他のCA、Comodo、RapidSSLは、ドメイン検証のみのワイルドカードSSLを提供しています。
シマンテックのワイルドカードSSLは、悪意のある脅威に対して各サブドメインをスキャンする毎日の脆弱性評価も行います。
ビジネス検証付きのワイルドカードでは、URLフィールドに組織名が表示されます。
したがって、ビジネス検証でWebサイトとサブドメインを保護する場合は、Symantec、GeoTrust、またはThawteのいずれかを選択する必要があります。ドメイン検証には、ComodoまたはRapidSSLを使用できます。また、毎日の脆弱性評価を伴う多層セキュリティをインストールする場合は、シマンテックのワイルドカードソリューションを使用できます。