Auswahl des richtigen SSL-Zertifikats

Wir möchten einige SSL-Zertifikate erwerben, um die Anmeldeseiten von E-Commerce-Websites zu sichern. Es ist nicht erforderlich, den tatsächlichen Zahlungsvorgang abzusichern, da dieser durch ein eigenes Verisign-Zertifikat von einem Dritten geschützt wird. rapidSSL sieht nach einer guten (und billigen) Option aus, aber ein Verkäufer hat mir gesagt, dass sie nur für "Test-Sites" geeignet sind, und hat empfohlen, eine zu verwenden, die das Vierfache der Kosten ist. Kann jemand Empfehlungen abgeben, wonach wir suchen und was wir berücksichtigen sollten?

Vielen Dank.

Zertifikate sind, unabhängig davon, was Verkäufer sagen, in Bezug auf die Verschlüsselung objektiv ziemlich gleich . Sie alle ermöglichen eine ausreichend gute Verschlüsselung, die hauptsächlich von der Konfiguration der Webserver und in gewisser Weise von den Fähigkeiten des Browsers abhängt. Das US-Exportverbot für starke Verschlüsselung wurde vor einigen Jahren aufgehoben, sodass heutzutage so ziemlich alle Browser eine 128-Bit-Twofish- oder AES-Verschlüsselung unterstützen, wenn der Server dies vorschlägt. (Überraschenderweise verwenden viele Server immer noch 56-Bit-DES, RC4 oder andere schwächere Schemata, weil sie den Sysadmin nicht kennen oder die CPU-Auslastung des Servers senken.)

Das Problem der langen, verketteten Vertrauensbeziehungen zwischen Zertifikaten ist auch so ziemlich verschwunden. Die meisten Browser verfügen heute über einen ziemlich vollständigen Satz vorinstallierter vertrauenswürdiger Zertifizierungsstellen. Öffnen Sie die zertifizierte Benutzeroberfläche Ihres Browsers, um Ihre anzuzeigen (Firefox 3: Extras> Optionen> Erweitert> Verschlüsselung> Zertifikate anzeigen).

Von Zeit zu Zeit finden Sie Sonderangebote, bei denen Wiederverkäufer Comodo, Digicert oder ähnliche Zertifikate für ca. 20 USD anbieten.

Das Maß an Vertrauen, das Ihre Website bei Kunden weckt, kann eine Überlegung sein . Ein Verisign-Site-Siegel und die grüne Leiste für die erweiterte Überprüfung in kompatiblen Browsern sind wahrscheinlich besser als eine einfache 128-Bit-Verschlüsselung mit einem Zertifikat von GoDaddy. Es ist schwer zu sagen, es wird viel von Ihrer Benutzer-Demografie, Ihrem Alter, Ihrer Computerkenntnis usw. abhängen.

Eine Sache: Es kann von Vorteil sein, Ihre DNS-Whois-Informationen genau zu halten, da dies einen großen Teil der Überprüfung durch Zertifizierungsstellen vor der Ausstellung eines Zertifikats ausmacht. Ich würde mir vorstellen, dass es einfacher ist, Ihr Zertifikat von jemandem zu erhalten, mit dem Sie bereits Geschäfte machen, z. B. Ihrem Webhost / DNS-Registrar, als sich von Comodo, Thawte usw. verifizieren zu lassen.

Mein Vorschlag ist also, Ihre Nutzer zu bewerten und zu prüfen, ob ein vertrauenswürdigeres Branding auf dem Site-Siegel zu mehr Verkäufen führt. Führen Sie dann einen der folgenden Schritte aus:

• Holen Sie sich das billigste 128-Bit-Zertifikat, das Sie erhalten können, bei einem Reseller / DNS-Registrar / bei wem auch immer Sie bereits ein Konto haben. Vielleicht sollten Sie kurz untersuchen, wer das Zertifikat unterzeichnet und was die Stammzertifizierungsstelle ist. Schwitzen Sie jedoch nicht, es sei denn, es handelt sich um eine ziemlich undurchsichtige Zertifizierungsstellenkette.
• Holen Sie sich ein Verisign oder ähnliches bekanntes (und verdammt teures) SSL-Zertifikat mit gutem Markenwert und zeigen Sie das Siegel der Website prominent an. Erwägen Sie ein Extended Validation-Zertifikat.

Die " Extended Validation " -Zertifikate sind meiner Meinung nach etwas wertvoller, da die Browser den Benutzern visuell versichern, dass mit der grünen Adressleiste, dem bekannten Firmennamen usw. alles in Ordnung ist. Leider sind diese Zertifikate auch teuer und lästiger zu validieren.

Ich kann Ihre Verwirrung definitiv verstehen, weil es ein verwirrender Bereich ist. Wie bereits erwähnt, handelt es sich bei einem Zertifikat im Allgemeinen um ein Zertifikat, das den gleichen Schutz bietet und für Endbenutzer gleich aussieht. Es gibt jedoch Unterschiede, hauptsächlich in Bezug auf den Überprüfungsgrad.

Überprüfungsstufen

Es gibt drei grundlegende Überprüfungsebenen: Nur Domäne, Domäne und Unternehmen sowie Domäne, Geschäft und Identität des Vertreters. Domain ist eigentlich nur eine recht schwache Authentifizierung, wenn Sie darüber nachdenken, es beweist nicht, dass Sie der sind, von dem Sie sagen, dass Sie es sind oder dass Sie das Recht haben, die Marke zu verwenden. Für die meisten Endbenutzer ist der Unterschied jedoch nicht erkennbar, und sie sehen das gesperrte Symbol. Domain und Unternehmen werden in der Regel bereitgestellt, und normalerweise ist eine Kleinigkeit wie eine Unternehmenskreditkarte erforderlich, um zu überprüfen, ob Sie das betreffende Unternehmen sind.

Extended Verification ist der neue Standard, der zusätzliche Schritte der Zertifizierungsstelle erfordert, um zu überprüfen, ob Sie tatsächlich der sind, von dem Sie sagen, dass Sie es sind, und ob es der juristischen Person gestattet ist, unter diesem Namen zu handeln. Siehe Wikipedia-Eintrag für weitere Details. In Firefox wird ein EV-Zertifikat als grünes Kästchen links neben der URL mit dem Firmennamen angezeigt.

Entschädigung

Jeder SSL-Anbieter bietet eine andere Freistellungsversicherung an, falls jemand anderes Ihr Zertifikat oder Ihre Domain betrügerisch von derselben Zertifizierungsstelle verwendet. Ich denke, es ist sehr selten, dass Menschen diesen Weg tatsächlich gehen müssen

Browserübergreifende Abdeckung

In der Regel werden alle gängigen SSL-Anbieter auf allen gängigen Betriebssystemen sofort unterstützt. Einige erfordern möglicherweise, dass Sie ein Zwischenkettenbündel bedienen, was ein Ärger sein kann.

Widerruf

Nicht alle Zertifizierungsstellen unterstützen die Möglichkeit, Zertifikate zu widerrufen - überraschend für mich, als ich das letzte Mal nachgesehen habe, war nur eine Handvoll der URLs für den Widerruf von Zertifikaten aufgeführt. Wenn Sie Ihre Sicherheit ernst nehmen, wählen Sie eine, die eine Widerrufs-URL hat.

Zusammenfassung

Ihre Bedürfnisse klingen einfach und einfach, ich würde Ihnen empfehlen, etwas billiges zu kaufen. RapidSSL, InstantSSL, GoDaddy oder die anderen großen Player sind alle in Ordnung.

Ich habe ein Rapidssl-Zertifikat erhalten, das ich über www.rapidsslonline.com gekauft habe. Hatte noch nie ein Problem damit. Ich habe auch ein godaddy.com-Zertifikat bekommen und hatte auch noch nie ein Problem damit. Die meisten Browser erkennen beide.

Verisign usw. ist nur eine Verschwendung von Geld, es sei denn, es besteht eine spezielle Notwendigkeit, das Verisign-Logo oder etwas anderes zu zeigen.