適切なSSL証明書を選択する

18

eコマースサイトのログインページを保護するために、SSL証明書を購入することを検討しています。実際の支払いプロセスは、独自のベリサイン証明書で第三者によって保護されているため、セキュリティで保護する必要はありません。rapidSSLは適切な(そして安価な)オプションのように見えますが、営業担当者は「テストサイト」にのみ適していると言っており、4倍のコストの使用を推奨しています。誰も私たちが何を探し、何を考慮すべきかについて勧告をすることができますか?

ありがとう。

ssl  ssl-certificate 
robjmills
ソース

回答:

17

証明書は、営業担当者の意見に関係なく、客観的には暗号化に関してほとんど同じです。それらはすべて、「十分な」暗号化を可能にします。これは、ほとんどの場合、Webサーバーの構成とブラウザーの機能に大きく依存します。米国は強力な暗号化の輸出禁止を数年前に解除したため、サーバーがこれを提案すれば、今日ではほとんどすべてのブラウザーが128ビットのTwofishまたはAES暗号化をサポートします。(驚いたことに、多くのサーバーは、システム管理者の無知、またはサーバーのCPU負荷の低下により、56ビットDES、RC4、またはその他の弱いスキームを使用しています。)

長いデイジーチェーンの証明書の信頼関係の問題もほとんどなくなりました。現在、ほとんどのブラウザには、信頼できるCAがかなり完全にインストールされています。ブラウザの証明書UIを開いて、自分のものを確認します(Firefox 3:ツール>オプション>詳細設定>暗号化>証明書の表示)。

リセラーがComodo、Digicert、または同様の証明書を約20米ドル程度で提供するプロモーションを随時見つけることができます。

あなたのサイトが顧客に刺激する「信頼」のレベルは考慮事項かもしれません。おそらく、Verisignのサイトシールと準拠ブラウザの緑色の拡張検証バーは、GoDaddyからの証明書を使用した単純な128ビット暗号化よりも優れています。言うのは難しいですが、ユーザーの人口統計、年齢、コンピューターリテラシーなどに大きく依存します。

1つ:証明書を発行する前にCAがユーザーを確認する方法の重要な部分であるため、DNS Whois情報を正確に保つことは有益です。Webホスト/ DNSレジストラなど、既に取引をしている人から証明書を取得する方が、ComodoやThawteなどによって検証されるよりも簡単だと思います。

したがって、私の提案は、ユーザーを評価し、サイトシールの「信頼できる」ブランディングが売り上げを増やすかどうかです。そして、次のいずれかを実行します。

  • 再販業者/ DNSレジストラ/すでにアカウントを持っている人から、最も安い128ビットの証明書を入手してください。誰がCertに署名し、ルートCAが何であるかを簡単に調査することもできますが、かなり曖昧なCAチェーンでない限り、汗をかかないでください。
  • ブランド価値の高いVerisignまたは同様の有名な(そして血まみれの高価な)SSL証明書を取得し、サイトシールを目立つように表示します。拡張検証証明書の取得を検討してください。

Extended Validation」証明書は、ブラウザが緑のアドレスバー、著名な会社名などですべてがOKであることをユーザーに視覚的に保証するため、何らかの価値を私見に追加します。

ジェスパーM
ソース
どうもありがとう、これは私がやった決定です。おそらく、エントリー価格のタウト証明書は、価格の良さとブランドの再確立の間で妥協点があるためだろうと思います。
robjmills
チェックアウトがサードパーティでホストされている場合でも、顧客がウォレットを開くことに真剣に関心を示したら(カートに追加、登録など)、すぐにROIが表示されるようになりましたら、すぐにサイトにEV緑バーを配置しますサイトが適切な量のトラフィックを取得している場合、最も高価なEV証明書。「インターネットでは、あなたが犬であることを誰も知らない」という要因は巨大です。
テレンスジョンソン
@TerenceJohnson私は非常に大きなeコマース決済ゲートウェイを実行しており、1日あたり約3kの支払いがあります。先月、私たちはEV証明書を破棄して、古い証明書を支持する決定を下しました。今のところ、これについて不満を言っている支払者は一人もおらず、トラフィックは減少していません。
クバンチク
5

あなたの混乱は確かに理解できますが、それは少し混乱した領域だからです。他の人がここで言ったように、一般に証明書は証明書であり、同じレベルの保護を提供し、エンドユーザーに同じように見えます。ただし、主に検証のレベルに関して違いがあります。

検証レベル

検証には3つの基本レベルがあります。ドメインのみ、ドメインとビジネス、およびドメインビジネスと代表者のIDです。ドメインについて考えると、ドメインは実際には非常に弱い認証であり、自分が本人であると言ったり、ブランドを使用する権利があることを証明するものではありません。ただし、ほとんどのエンドユーザーには違いがわからず、ロックされたアイコンが表示されます。ドメインとビジネスは、通常提供されるものであり、通常、問題のビジネスであることを確認するには、企業のクレジットカードのような些細なものが必要です。

拡張検証は、あなたが実際にあなたが誰であるかを証明し、その名前で取引を許可されている法人であることを検証するためにCAによる追加の手順を必要とする新しい標準です。詳細については、ウィキペディアのエントリを参照してください。Firefoxでは、EV証明書は、会社名とともにURL自体の少し左にある緑色のボックスとして表示されます。

補償

他の誰かが同じCAからの証明書またはドメインを不正に使用した場合、各SSLプロバイダーは異なる保険に加入します。人々が実際にこの道を行く必要があることは非常にまれだと思います

ブラウザー全体のカバレッジ

通常、すべての主要なSSLプロバイダーは、すぐに使用できるすべての主要なOSでサポートされます。中間チェーンバンドルを提供する必要がある場合もありますが、これは面倒です。

失効

すべてのCAが証明書を取り消す機能をサポートしているわけではありません-驚いたことに、最後にこれを見ていたとき、証明書失効URLがリストされていたのはほんの一握りでした。セキュリティについて真剣に考えている場合は、失効URLがあるものを選択してください。

概要

あなたのニーズは基本的でシンプルに聞こえます。安いものを購入することをお勧めします。RapidSSL、InstantSSL、GoDaddy、または他の大規模なプレーヤーはすべて問題ありません。

hellomynameisjoel
ソース
2

www.rapidsslonline.comで購入したrapidssl証明書を取得しました。問題は一度もありませんでした。また、godaddy.comの証明書を取得しましたが、それでも問題はありませんでした。ほとんどのブラウザは両方を認識します。

ベリサインなどは、ベリサインのロゴなどを表示する特別な必要がない限り、単なるお金の無駄です。

クリストファーA
ソース
1
rapidSSLは十分な単一ルート証明書であり、販売員がテストサイトについてコメントするまで、私はそれを購入する段階にありました。私は質問があまり認知されたブランドが負の問題を持っているかどうかだと思います
robjmills
また、Thawte社によってSSL123を推奨されている-そのもエントリーレベルの証明書が、はるかに良い芋ブランディングたthawte.com/ssl-digital-certificates/ssl123/index.html
robjmills
SSL123は、内部サーバまたはIPアドレスにのみ適している自分自身をThawteのためにaccoring
robjmills
1
最も安いRapidSSL証明書は、namecheap.comから入手できます。2、3年購入すると、10ドル/年です。
TRS-80
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.