さまざまな種類のSSL証明書は少し詐欺ですか？

39

ドメインを対象としたSSL証明書の取得を検討しており、以下をカバーしています。

autodiscover.example.com
remote.example.com
www.example.com

ワイルドカード証明書は高価すぎるため、サブドメインごとに1つの証明書を購入します（十分なIPアドレスがあります）。

私の質問は、10ドルの証明書が100ドルの証明書よりも優れているのは何ですか？

例えば、テイクジオトラストの製品範囲を。私はEVが何であるかを知っています（それを必要としません）。

しかし、RapidSSLを10ドルで入手できるのに、なぜ69ドルでQuickSSLを購入するのでしょうか？唯一の違いは、「ブランド認識」（中程度から中程度）と保険です。

誰もが「ブランド認識」の意味に何か光を広げることができますか？私たちの公開Webサイトは既にユーザーから信頼されており、他の2つのサブドメインはOutlook Anywhere専用です（したがって、ブラウザーに表示されません）。

_{https://serverfault.com/questions/82039/difference-between-ssl-productsから関連する質問を再投稿しました}

https security-certificate

— マーク・ヘンダーソン
ソース

1

高価なSSL証明書を購入した場合は、Shuttleworthが宇宙に入るのを手伝っています。どうしてそれが詐欺になるのでしょうか？

4

インターネットの古き良き時代に戻って、これらのサービスを提供するのは高価だったかもしれません。彼らはあなたが本人確認のためにサービスにお金を払っていると言った。私の経験での非eコマース証明書の調査は些細で偽りです。申し訳ありませんが、私はこのSSL業界全体を軽spしています。私は誰かが同じサービスを提供する非営利団体を作成することを望みます。

— シタデルグラード

1

ここでEV証明書に関連するいくつかの質問があります。webmasters.stackexchange.com/questions/2214/... webmasters.stackexchange.com/questions/3836/... webmasters.stackexchange.com/questions/3134/ssl-versus-ev-sslは

— ジェイソンバーチ

それは基本的に、ブラウザがあなたについてあなたに尋ねるときに「この男は合法だ」と言ってパーティーで最もクールな子供たちのようです。あなたはそれらのクールな子供たちにお金を払って、あなたを高く評価して話します。代わりに「この男は完全に叙事詩だ」と言って欲しいなら、もっとお金を使うことができます。そのSHA-256または類似のものである限り、検証は重要ではありません。検証機関をチェックする訪問者は、おそらく0.01％です。彼らにとって重要なのは、$ 10または$ 1000のロックにかかわらず、緑色のロックが表示されることです。

— ドーピン14年

@citadelgrad、彼らは非営利団体です。CaCert.orgと呼ばれます。webmasters.stackexchange.com/questions/28595/…–

— Pacerier

27

「私の質問は、10ドルの証明書が100ドルの証明書よりも優れているのは何ですか？」

通常、証明書が高価になるほど、認証会社は古くなります。信頼できる署名者のリストはブラウザに同梱されているため、新しい企業の証明書は古いブラウザでは信頼されない場合があります。

たとえば、10ドルの証明書はIE5によって信頼されていない可能性があります。

しかし、それはそれについてです。

— トーマス・ボニーニ
ソース

8

また、最新の標準に準拠したWebサイトを表示した後にIE5が表示する文字化けは、このような＃＆* $の一部のユーザーからも信頼されていません+1

— Tim Post

また、特定の種類の証明書については、発行会社はそれを要求する個人/会社の詳細の検証により多くの労力を注ぎます（en.wikipedia.org/wiki/Extended_Validation_Certificate）。ブラウザーが証明書がEVであると表示し、ユーザーがそれに気づいた場合、より自信があるかもしれません。私見彼らは気付かないでしょう。

— ポールモリス

あなたはポイントを逃しました、証明書がより高価である場合、あなたはもっと覆われています、あなたのウェブサイトがハッキングされた場合、100 $証明書はあなたに最大100万ドルを支払うかもしれませんが、10 $証明書はあなたに何も支払わないかもしれません。

— SSポーク

@SSpoke、「$ 1.5M USD」を請求しようとしても摩擦がなければ驚かれるでしょう。これらの数字は、平均的なユーザーではなく、大物が主張するためのものです。彼らが侵害を受け、30万人のユーザーに支払いをしなければならなかったと想像してください。ユーザーがそれぞれ100万ドルを受け取ることはできませんのでご安心ください。また、時の条件を参照positivessl.com/ssl-warranty.php

— Pacerier

13

カルテルはあなたが探している言葉だと思う

— アイデンベル
ソース

6

先日、DigiCertに同じことを尋ねました。なぜ、多くの証明書があなたのものよりもはるかに安いのですか（年間25ドル対100ドル）。ここに彼らが私に与えた答えがあります（私の言葉で）：

他の会社はあなたのドメイン名（証明書を取得した人がドメイン名を所有している）のみを検証しますが、DigiCert（およびその他）はドメイン名の背後にある会社を検証します。

これは、彼らがあなたの国の企業レジストリをチェックして、あなたの会社が存在し、あなたが会社と何らかの関係があることを確認する必要があることを意味します。多くの場合、これには電話やその他のチェックも必要です。このチェックなしで必要なのは、入力された情報でwhoisレコードを検証するコンピューターのみです。

したがって、私の評価では、顧客が何かにお金を払ったり、個人情報を入力したりするサイトで証明書を使用する場合は、より高価な証明書の方が適しています。サイトを社内（社内）で使用している場合は、おそらくより安価な証明書で十分です。

— ダリル・ハイン
ソース

DigiCertには、利子アラートに関する極端な競合があります（security.stackexchange.com/questions/13453/…も参照）。サポートスタッフは、他のCAのDV証明書とEV証明書を比較することにより、疑問を投げかけています。しかし、他のCA もEV証明書を大幅に割引価格で提供しています。

— Pacerier

4

「私の質問は、10ドルの証明書が100ドルの証明書よりも優れているのは何ですか？」

答えは何もありません。証明書は証明書です（「ブランド認識」は気にしないので）、EVパッケージがなければ証明書は単なる商品です。これは歴史を非常にうまく説明しています。

しかし、ブランド認知は一部のユーザーにとって重要であると思いますが、あなたが信頼できるソースであることが確かであれば、それについて心配することはありません。

— plntxt
ソース

2

また、一部のブラウザーが完全に優れたSSL証明書を多数選択し、それらを潜在的に安全でないとマークするという問題もあります。これは、ダリルが言ったことに一部起因します（あなたが誰であるかを確認するために、SSLベンダー側の勤勉さが増しました）。セキュリティ自体が実際に異なっているわけではなく、信頼のより良い層を提供することだけを目的としています。

また、管理機能（ドメイン名が突然変わったときに非常に便利だった証明書を遅滞なく心のコンテンツに発行して再発行できる）や、エクスペリエンスを向上させることができるその他の特典などもあります。しかし、10ドルのバージョンで必要なことができ、顧客が証明書の発行者を気にしない場合は、それを選択します。

時間が経つにつれて、Webプレゼンスの状況が変化しているという理由だけでベンダーを変更していることに気付く場合があります。そのため、開始する前にそれを考慮することが重要です。

— ミルナー
ソース

2

2015年半ばの時点で、EV証明書がコンバージョン率や売り上げを向上させるという独立した研究や事例証拠さえも見つけていません。EV SSL証明書への回答でそれを拡張しました-誰も気にしませんか？。

ショッピングカートの放棄を減らすように思われたのはトラストシールとバッジでした。このようなトラストシールは、EVの購入に付属しています。ちなみに、今日は7月4日であり、ComodoはEV証明書を500ドルではなく100ドルで販売しているため、この調査を促しました。私はいまだに完全に確信しているわけではありません。

— ダン・ダスカレスク
ソース