web-dev-qa-db-ja.com

SSL証明書がなぜ年間費用なのですか?

私は、SSL証明書が評判のために費用がかかることを理解しています。ほとんど/すべてのWebブラウザーは、SSL証明書の信頼できるソースであることを示す企業のリストが限られているため、ユーザーにBack To Safety!これらの会社の製品の画面。

私の質問は、なぜこれが一度限りの費用ではないのですか?自己署名証明書からの移行を検討していますが、私のWebホストから、年額35ドルからで始まると言われました。年間数百まで。なぜこれは1回限りの料金ではないのですか?

32
user1717828

定期的な料金を請求するためだけに証明書の有効期間が限られていると考えるのは簡単ですが、実際にはその逆です。証明書の有効期間は限られているため、したがって寿命が切れたら、新しいものを支払う必要があります。

これが事実である理由を理解するには、 the FAQ of Let's Encrypt を読んで、誰がfree証明書。ただし、有効期間は90日に制限されています。主な理由は次のとおりです。

これらは、鍵の侵害および誤発行による損傷を制限します。盗まれた鍵と誤って発行された証明書は、より短い期間有効です。

証明書が有効である限り、その証明書とそれに対応する秘密鍵のコピーを入手した人はだれでもそのドメインの所有者になりすますことができます。システムが危険にさらされている場合、またはドメインで販売されている場合、またはその間に証明書のステータスが変更された場合、クライアントは引き続き証明書を信頼する

証明書の有効期間内に証明書を取り消すことは可能ですが、これはクライアントが認証局によって維持されている取り消しリストをチェックすることに依存しているため、改ざん防止証明書の一部である有効期限と同じくらい信頼できる。

これは実際、Let's Encryptが主張する強みの1つです。有料サービスの基本的な証明書と同じレベルの検証を提供していますが、自動化システムを使用することで、長期的な証明書を購入するという誘惑を排除しています。

"Extended Validation"(ドメインの所有権だけでなく、企業IDの証明)が必要ない場合は、Let's Encryptを使用して更新をより頻繁に、無料で自動的に、あなたの最善の行動方針かもしれません。一部のWebホストでは、これは、自動構成を有効にするためにコントロールパネルのボックスをチェックするのと同じくらい簡単です。

35
IMSoP

シニカルビューから始めましょう:

認証局は営利目的の企業であるため、撤退できる範囲で料金を請求します。


もっと真剣に、認証局を運営することは、費用がかかり、利益率の低いビジネスですが、答えは本当にあなたが望む証明書のタイプに帰着します。

ドメイン検証済み(DV)証明書

ブラウザーのアドレスバーを次のようにする基本的なDV証明書: DV cert in browser address bar

コストは非常に低く、基本的にCAは、証明書を要求している人が要求時にサーバーを制御していたことを確認するだけで済みます。これは完全に自動化できます。 @SteffenUllrichが指摘するように、2014年にElectronic Frontier Foundation、Mozilla、およびミシガン大学が協力して、DV証明書を発行するための100%無料のCA Let's Encrypt をセットアップしました。質問で説明したユースケースに基づいて、それはあなたのニーズに合うように思えます。

拡張検証(EV)証明書

確認済みの会社名とそれが登録されている国を含むハイエンドの証明書を次のようにブラウザに表示する場合:

EV cert browser address bar

その後、CAのコストが大幅に増加します。 EV証明書を発行する前に、CAは人間にあなたの会社の法的地位についての山の全体を検証させる必要があります。次のようなもの:あなたの会社は、証明書リクエストにリストされている名前で合法的に登録されていますか?証明書を要求する人は、会社の登録書類に会社の法務担当者としてリストされていますか?リクエストされたウェブサイトのDNSレコードは同じ会社に登録されていますか?等.

なぜ定期的な料金ですか?

CAが繰り返し料金を請求する理由は、10年間のSSL証明書を取得できないのと同じ理由です。CA/ブラウザフォーラムでは、証明書の有効期限が切れ、毎年または2年ごとに完全に再検証される必要があります。これのセキュリティ上の理由は、キーのロールオーバーを強制すること、会社が破産したり名前を変更したりするのを防ぎ、悪意のあるシステム管理者が不正に証明書を使用し続けることなどを防ぐためです。

CAは、初回の発行時だけでなく、証明書が更新されるたびにも、このすべてのバックグラウンドチェックを実行する必要があります。あなたにとっての付加価値は、あなたの顧客があなたのウェブサイトの信頼性においてより高いレベルの保証を得るということです(確かに、消費者の99%は気づかないでしょうが、監査人とハッカーは確かにそうします!)そして、Googleは動いています品質の高い証明書を使用しているサイトを優先して検索します。

これが、証明書に年間数百ドルかかる可能性がある理由です。ほんの数ビットのデータに対して支払うだけでなく、検証を行わなければならない人間の時間に対しても支払うことになります。

OCSPサーバー

証明書を維持するためのサーバーコストもあり、主に [〜#〜] ocsp [〜#〜] のコストです。これにより、CAは高帯域幅、低遅延、ゼロダウンタイムを維持する必要があります。サーバーが発行した各証明書の失効チェックに応答するためのサーバー。これは高価に聞こえないかもしれませんが、すべてのWebブラウザーは、HTTPSページのロードのたびにCAのOCSPサーバーにpingを送信する必要があります。 CAが応答するのにかかる1ミリ秒ごとに、インターネット上のすべてのページのページ読み込み時間が加算されます。このレベルのトラフィックで低遅延サーバーを実行することは、ネットワークエンジニアリングのトリッキーな問題です。

[開示:私はCAで働いています]

64
Mike Ounsworth

証明書の有効期間中、CAは証明書を取り消すことができる必要があります。つまり、次のことを意味します。

  • 失効した証明書(CRL)のリストの維持
  • 失効ステータス(OCSP)を要求するクライアントに応答する。

したがって、証明書が有効である限り、証明書はCAに何らかの「コスト」をかけます。

さらに、CAは、ブラウザーに信頼されないようにするために、高レベルのセキュリティと信頼を維持する必要があります。

OCSPについて詳しく説明するには:

Webサイトの各訪問者は、失効しないことの証明をCAに要求する場合があります。その証明は最近のものである必要があります。つまり、CAはアクティブな証明書ごとに定期的に(約10日ごとに)証明に署名する必要があります。

(非営利)CAを実行するのにかかるコストの実際の概要を知るには:

https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html

人材派遣$ 2.06M USD

ハードウェア/ソフトウェア$ 0.20M USD

ホスティング/監査$ 0.30M USD

法務/行政$ 0.35M USD

合計$ 2.91M USD

もちろん、商用CAの場合、請求、広告、投資家の報酬のコストを追加する必要があります...

また、OV/EV証明書の場合、会社の所有権を証明するために提出されたドキュメントの手動検証のコストを追加する必要があります。

11
Tom