와일드 카드 SSL 인증서를 구매할 위치를 결정하는 방법은 무엇입니까?


63

최근에 여러 개의 하위 도메인을 확보해야하므로 와일드 카드 SSL 인증서를 구매해야했으며 처음 구매할 곳을 검색 할 때 선택, 마케팅 청구 및 가격 범위에 압도당했습니다. 나는 대부분 의 인증 기관 (CA)이 그들의 사이트 전체에 석고를 바르는 마케팅 특수 효과를 볼 수 있도록 목록을 만들었습니다 . 결국 내 개인적인 결론은 중요한 것은 CA 웹 사이트의 가격과 유쾌함이라는 것입니다.

질문 : 가격과 멋진 웹 사이트 외에 와일드 카드 SSL 인증서를 구매할 위치를 결정할 때 고려해야 할 사항이 있습니까?


3
결정에 영향을 미치지 않는 한 가지 기준 은 CA의 보안입니다. 그리고 그 이유를 이해하는 것이 중요합니다. 그 이유는 비즈니스를 수행하지 않는 CA가 비즈니스를 수행하는 것과 마찬가지로 쉽게 보안을 손상시킬 수 있기 때문입니다. CA의 보안 수준이 좋지 않으면 두 가지 방법이 있습니다. 신용 카드 번호를 받으면 유출 될 수 있습니다 (다른 온라인 거래와 다르지 않음). 브라우저가 신뢰를 잃어 버릴 정도로 나쁜 일을한다면 짧은 시간 내에 다른 CA에서 새 인증서를 받아야합니다.
kasperd

답변:


49

와일드 카드 SSL 인증서를 구매할 위치를 결정할 때 SSL 인증서의 첫해 비용과 인증서 구매 및 설정에 대한 판매자 웹 사이트의 즐거움 (예 : 사용자 경험) 만 중요한 요소라고 생각합니다. .

다음을 알고 있습니다.

  • 보증에 대한 클레임 (예 : $ 10K, $ 1.25M)은 마케팅 특수 효과입니다 . 이러한 보증은 CA가 사기꾼 (예 : 피싱 사이트)에 인증서를 발급하여 사용자가 돈을 잃을 가능성으로부터 특정 웹 사이트의 사용자를 보호합니다 ( 그러나, 스스로에게 물어보십시오 : 누군가가 사기 사이트에서 $ 10K 이상을 지출 / 손실하고 있습니까? 오 기다려, 사기꾼이 아니십니까?

  • SSL 인증서를 활성화하려면 2048-bitCSR ( 인증서 서명 요청 ) 개인 키 를 생성 해야합니다. 개인 키 크기가 2048 비트 미만인 CSR 코드를 사용하는 최신 보안 표준에 따르면 허용되지 않습니다. 여기여기에서 자세히 알아보십시오 .

  • 의 항 99+%, 99.3%또는 99.9%브라우저 / 기기 호환성.

  • 빠른 발급 및 쉬운 설치의 주장 .

  • 환급 만족 보장을받는 것이 좋습니다 (15 일과 30 일이 일반적 임).

2018 년 5 월 30 일에 와일드 카드 SSL 인증서 기본 가격 (판매가 아님) 및 발급 기관 및 리셀러 목록이 업데이트되었습니다.

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity 및 SSL2BUY는 인증 기관이 아닌 리셀러입니다.

Namecheap은 Comodo / PostiveSSL과 Comodo / EssentialSSL 중 하나를 선택합니다 (두 브랜드와 마케팅 간에는 기술적 인 차이가 없지만 Namecheap과 Comodo 모두에 대해 물었습니다). ). DNSimple은 Comodo의 EssentialSSL을 재판매합니다. 이는 Comodo의 PositiveSSL과 기술적으로 동일합니다.

SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap 및 DNSimple은 가장 저렴한 와일드 카드 SSL 인증서를 제공 할뿐만 아니라 내가 검토 한 모든 사이트 중에서 마케팅 효과가 가장 적습니다. 그리고 DNSimple은 그다지 효과가없는 것 같습니다. 가장 저렴한 1 년 인증서에 대한 링크는 다음과 같습니다 (위의 표에서 연결할 수 없으므로).

2018 년 3 월 현재 Let 's Encrypt와일드 카드 인증서를 지원합니다 . DNSimple은 인증서 암호화를 지원합니다.


1
인스턴스 당 가격을 확인하십시오. 예를 들어 100000000000000 개의 서버를 보유하고 내 CA에 1 개의 가격 만 지불하면됩니다. 많은 CA가 모든 서버에 돈을 원합니다!
Arek B.

1
어쩌면 나는 그것을 놓쳤지만, 내가 본 CA 사이트에서 인스턴스 당 가격에 대한 언급을 보지 못했습니다 . 내 앱이 여러 dynos ( 가상 Unix 컨테이너 )에서 실행되는 Heroku에서 호스팅 하고 있으며 Heroku의 SSL 엔드 포인트 설명서 에는 인스턴스 또는 dyno에 대한 언급이 없으므로 인스턴스 당 가격 이 특정 요구 사항과 관련이 없다고 가정 합니다. 물론 다른 사람들이 귀하의 의견을 통찰력있게 찾을 수 있습니다. 어쨌든 고마워!
user664833

2
서버 당 가격은 의미가 없습니다. 인증서가 있으면 컴퓨터에서 자유롭게 내보내고 다른 인증서로 가져올 수 있습니다.
Massimo

@Massimo 서버 당 라이센스는 상당히 일반적이었습니다. 기존 Windows 라이센스 (계약 및 명예 시스템)를 시행하는 것처럼 시행됩니다.
ceejayoz

@ceejayoz Ok, 여러 서버에 동일한 인증서를 설치하는 데 기술적 제한 이 없다는 것을 의미했습니다 (실제로 부하 분산 웹 서버와 같은 시나리오가 필요합니다). 물론 계약은 그렇지 않다고 말할 수 있습니다.
Massimo

11

고려해야 할 또 다른 사항은 인증서 재발행입니다 .

나는 heartbleed 버그 가 나올 때까지 이것이 무엇을 의미하는지 실제로 이해하지 못했습니다 . 나는 그들이 당신에게 당신의 원본 증명서의 두 번째 사본을 줄 것을 의미한다고 가정했고, 나는 조직이 어떻게 그 서비스를 필요로해야하는지 궁금했습니다. 그러나 이는 최소한 일부 공급 업체가 원본 인증서의 유효 기간 동안 새 공개 키 를 작성 하는 것을 기뻐할 것임을 의미하지는 않습니다 . 그런 다음 원래 인증서를 CRL에 추가한다고 가정하지만 좋은 것입니다.

이렇게하려는 이유는 원래 개인 키를 손상 시키거나 잃어 버렸거나, 어떤 방법을 통해 해당 키에 대한 독점적 인 제어 권한을 잃어 버렸거나, OpenSSL에서 전 세계적으로 버그를 발견하여 개인 키가 될 가능성이 있기 때문입니다. 적의에 의해 키가 추출되었습니다.

가슴이 아프지 만, 나는 이것을 확실한 좋은 것으로 간주하고 앞으로 인증서 구매에서 그것을 주시하십시오.


2

가격이 중요한 문제 일 수 있지만 다른 문제는 공급자신뢰성 , 브라우저 승인 및 역량 수준 에 따라 설치 프로세스에 대한 지원 (특히 문제가 발생했을 때보 다 큰 문제)입니다.

Thawte와 Geotrust와 같은 다수의 공급자가 동일한 최고급 플레이어가 소유하고 있다는 점은 주목할 가치가 있습니다. Verisign은 모두 Symantec이 소유하고 있다고 생각합니다. 그러나 Thawte 인증서는 Geotrust보다 훨씬 비쌉니다. 이유.

다른 한편으로, StartSSL에서 발행 한 인증서 (노크하지 않는 모델은 멋지다고 생각합니다)는 브라우저에서 잘 지원되지 않으며 큰 플레이어와 동일한 수준의 신뢰성을 가지고 있지 않습니다. 사이트 전체에 "보안 위약 (security placebo)"을 석고로 사용하려는 경우 때로는 더 큰 규모의 플레이어에게 갈 가치가 있습니다. 와일드 카드 인증서에는 그다지 중요하지 않지만 EV 인증서에는 적합합니다.

다른 사람이 지적했듯이 또 다른 차이점은 인증서와 관련된 "정크의 고치기"일 수 있습니다. 이전에 단일 서버 에서만 사용할 수 있도록 지시 한 Thawte EV 인증서를 알고 지오 트러스트 인증서는 나중에 Thawte가 부과 한 전적으로 자의적인 제한으로,이를 대체하는 경영진은 더 저렴할뿐만 아니라 이러한 제한이 없었습니다.


4
공급자의 신뢰성은 거의 의미가 없습니다. 자물쇠 아이콘이 있으면 사용자는 신경 쓰지 않습니다. 보안 팀이있는 Fortune 500 회사와 함께 일하는 경우 특정 공급 업체가 필요할 수 있습니다. "모든 주요 브라우저는 StartSSL에 대한 지원을 포함"- : StartSSL에 관해서는, 그들은 광범위하게 지원 한 것으로 나타났습니다 en.wikipedia.org/wiki/StartCom을
ceejayoz

1
heartbleed 및 해킹당하는 점에서 회전에 대해 요금을 청구하는 제공자가 차이를 만들지 않고 인증서를 재생성하기위한 가동 중지 시간이 회사의 신뢰성을 손상시키지 않으면 Startssl은 신뢰성에 대한 것입니다 (startssl을 좋아하지만 다른 주제입니다). 브라우저 수용 률이 매우 높지만 다른 제공 업체보다 낮습니다. forum.startcom.org/viewtopic.php?f=15&t=1802
davidgo

3
a) 인증서를 발급 한 사람을 확인하고 b) Heartbleed 해지에 대한 StartSSL 청구에 대해 알고있는 최종 사용자 수는 몇 명입니까? 지옥, 나는 누가 SSL을 발행했는지 확인하지 않습니다. 그들이 한 일은 안됐다 . 인증서를 사용하여 잃어버린 사람들의 숫자는 아마도 한 자리 숫자 일 것입니다.
ceejayoz 2016 년

Chrome은 StartSSL을 더 이상 신뢰하지 않습니다. 참조 security.googleblog.com/2016/10/...을
sbrattla

@sbrattla yup-물론, startssl은 더 이상 내가이 의견을 썼을 때 회사가 아닙니다. Wosign은 2015 년 11 월에이를 은밀하게 인수했습니다.
davidgo

1

보안 요구에 따라 와일드 카드 SSL 인증서를 선택해야합니다.

와일드 카드 SSL 인증서를 구매하기 전에 아래 언급 된 몇 가지 요소에 대해 알아야합니다.

  1. 브랜드 평판 및 신뢰 수준 : SSL 인증 기관에 대한 W3Techs의 최근 조사에 따르면 Comodo는 시만텍을 제치고 시장 점유율이 35.4 %로 가장 신뢰할 수있는 CA가되었습니다.

  2. 유형 기능 또는 와일드 카드 SSL : Symantec, GeoTrust 및 Thawte와 같은 SSL 인증 기관은 비즈니스 검증을 통해 와일드 카드 SSL 인증서를 제공합니다. 더 많은 방문자를 유치하고 고객의 신뢰도를 높입니다. 다른 CA, Comodo 및 RapidSSL은 도메인 유효성 검사만으로 와일드 카드 SSL을 제공합니다.

시만텍의 와일드 카드 SSL은 악성 위협에 대해 각 단일 하위 도메인을 검사하는 일일 취약성 평가를 제공합니다.

비즈니스 유효성 검사가 포함 된 와일드 카드는 조직 이름을 URL 필드에 표시합니다.

  1. SSL 가격 : 시만텍은 와일드 카드와 함께 여러 기능을 제공하므로 Comodo 및 RapidSSL에 비해 가격이 높습니다.

따라서 비즈니스 검증을 통해 웹 사이트 및 하위 도메인을 보호하려면 Symantec, GeoTrust 또는 Thawte를 선택해야하며 도메인 검증을 위해 Comodo 또는 RapidSSL을 사용할 수 있습니다. 매일 취약성 평가를 통해 멀티 레이어 보안을 설치하려면 시만텍의 와일드 카드 솔루션을 사용하십시오.


5
답변 해 주셔서 감사합니다. 그러나 시장 점유율이 신뢰를 의미한다는 데 동의하지 않습니다. 웹 사이트 소유자는 시만텍보다 Comodo를 신뢰하지 않기 때문에 저렴한 인증서를 선호하기 때문에 Comodo는 시장 점유율이 가장 높을 수 있습니다. 시장 점유율이 3.3%시만텍보다 앞서 있을 때 Comodo가 가장 신뢰할 수 있다고 결론을 내릴 수는 없습니다 . 또한, 사이트에서 Verizon 인증서를 사용하고있는 것으로 확인되면 해당 신뢰는 Verizon의 SSL 인증서 시장 점유율 인 0.7%? -아니요. 비즈니스 유효성 검사는 매우 유용하지만 일반인에게 어떤 차이가 있는지 의문입니다.
user664833 2016 년

위의 의견에 동의합니다. 코모도는 두 번 이상 해킹 당했으며 서명 키가 훔쳤다. 해커의 성적 증명서는 오늘날까지도 웹 주위에 떠 있습니다 (ZF0 및 Comodo를 찾으십시오). 그들은 서명 증명서를 처리하는 데 매우 부주의했습니다.
Aaron
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.