Как решить, где купить подстановочный сертификат SSL?

Хотя цена, вероятно, является ключевым вопросом, другими проблемами являются доверие к поставщику , принятие браузером и, в зависимости от уровня вашей компетенции, поддержка процесса установки (проблема более серьезная, чем кажется, особенно когда что-то идет не так).

Стоит отметить, что некоторые провайдеры принадлежат одними и тем же игрокам высшего уровня - например Thawte, Geotrust и я считаю, что Verisign принадлежат Symantec - сертификаты Thawte, однако, намного, намного дороже, чем Geotrust без каких-либо веских причин.

С другой стороны, сертификат, выданный StartSSL (кем я не являюсь) стучит, я считаю их модель крутой), не так хорошо поддерживается в браузере и не вызывает такого же уровня доверия, как у крупных игроков.Если вы хотите наклеить на свой сайт «плацебо безопасности», иногда стоит обратиться к более крупному игроку - хотя для сертификатов с подстановочными знаками это, вероятно, имеет гораздо меньшее значение, чем для сертификатов EV.

Как заметил кто-то другой, другой Разница может заключаться в "кучке мусора", который связан с сертификатом - я знаю сертификаты Thawte EV, которые мне ранее было поручено использовать только на одном сервере , в то время как сертификаты Geotrust, которые я позже убедил руководство по их замене было не только дешевле, но и не имело этого ограничения - полностью произвольного ограничения, наложенного Thawte.

Как заметил кто-то другой, еще одним отличием может быть «кучка мусора», связанная с сертификатом - я знаю сертификаты Thawte EV, которые мне ранее было поручено получить только для использования на одном сервере , тогда как сертификаты Geotrust, которыми я позже убедил руководство заменить их, были не только дешевле, но и не имели этого ограничения - полностью произвольного ограничения, наложенного Thawte.

Как заметил кто-то другой, еще одним отличием может быть «кучка мусора», связанная с сертификатом - я знаю сертификаты Thawte EV, которые мне ранее было поручено получить только для использования на одном сервере , тогда как сертификаты Geotrust, которыми я позже убедил руководство заменить их, были не только дешевле, но и не имели этого ограничения - полностью произвольного ограничения, наложенного Thawte.

Я тоже получил эту штуку, видимо, как-то просочился пароль одного пользователя. Что я сделал до сих пор:

1. Убил процесс с помощью -9 (это был единственный пользователь этого пользователя)
2. Очистил crontab этого пользователя с помощью sudo crontab -e -u
3. Отключил логин этого пользователя с помощью sudo usermod -s / usr / sbin / nologin (попробуйте / sbin / nologin или / bin / false , если он недоступен)
4. Изменил пароль пользователя и удалил ~ / .ssh / authorized_keys
5. . Пользователь мог писать в корень документации веб-сайта с поддержкой PHP. Поэтому я отключил этот сайт. Если они разместили здесь плохой сценарий, они могут запустить процессы снова.
6. Проверить, был ли процесс запущен снова (это было, повторите все до сих пор)
7. Установлено chkrootkit & rkhunter и запустил его (только ложные срабатывания)

Следующее, что нужно сделать, это перестроить весь сервер. Это всего лишь виртуальная машина, и я все равно хотел автоматизировать настройку с помощью Ansible , но делать это в спешке все равно неинтересно. Но это единственный способ убедиться, что ничего не подделано.

30 мая 2018 г. был обновлен следующий список базовых цен (не продаж) сертификатов SSL с подстановочными знаками, а также органов выдачи и торговых посредников:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* Обратите внимание, что DNSimple, sslpoint, Namecheap, CheapSSLShop, CheapSSLSecurity, и SSL2BUY, являются торговыми посредниками, а не центрами сертификации.

Namecheap предлагает на выбор Comodo / PostiveSSL и Comodo / EssentialSSL (хотя между ними нет технической разницы, только брендинг / маркетинг - я спросил об этом и Namecheap, и Comodo - тогда как EssentialSSL стоит на несколько долларов дороже (100 долларов против 94 долларов). DNSimple перепродает EssentialSSL от Comodo, который, опять же, технически идентичен PositiveSSL от Comodo.

Обратите внимание, что SSL2BUY, CheapSSLShop, CheapSSLSecurity, Namecheap и DNSimple предоставляют не только самые дешевые сертификаты SSL с подстановочными знаками, но и меньше всего маркетинговых уловок. сайты, которые я просмотрел; а в DNSimple, похоже, нет никаких уловок. Вот ссылки на самые дешевые годовые сертификаты (так как я не могу ссылаться на них в таблице выше):

• SSL2BUY
• CheapSSLShop
• CheapSSLSecurity
• sslpoint
• Namecheap
• DNSimple

По состоянию на март 2018 г. Let's Encrypt поддерживает подстановочные сертификаты . DNSimple поддерживает сертификаты Let's Encrypt.

Другой момент, который следует рассмотреть, это переоформление сертификатов .

Я не понимал, что это значит, пока не появился жучок сердечного кровотечения . Я предполагал, что это означает, что они дадут вам вторую копию вашего оригинального сертификата, и мне было интересно, насколько дезорганизованным должен быть человек, чтобы нуждаться в этой услуге. Но выяснилось, что это не значит, что: по крайней мере, некоторые поставщики с удовольствием проштампуют новый открытый ключ , если это произойдет в течение срока действия оригинального сертификата. Я предполагаю, что затем они добавят ваш оригинальный сертификат в какой-нибудь CRL, но это хорошо.

Причины, по которым вы захотите это сделать, в том, что вы испортили или потеряли ваш оригинальный закрытый ключ, или каким-то образом потеряли исключительный контроль над этим ключом, и, конечно, открытие всемирной ошибки в OpenSSL, которая делает вероятным, что ваш закрытый ключ был извлечен враждебно настроенной стороной.

Post-heartbleed, я считаю это определённо хорошей вещью, и теперь следите за этим при покупке сертификатов в будущем.

Вы должны выбрать SSL-сертификат с подстановочными знаками в зависимости от ваших требований безопасности.

Перед покупкой SSL-сертификата с подстановочными знаками вы должны знать о нескольких факторах, упомянутых ниже.

1. Уровень репутации и доверия бренда: Согласно недавнему обзору W3Techs центров сертификации SSL, Comodo обогнал Symantec и стал самым надежным центром сертификации с долей рынка 35,4%.

2. Типы функций или Wildcard SSL: Центры сертификации SSL такие как Symantec, GeoTrust и Thawte предлагают Wildcard SSL-сертификат с бизнес-проверкой. Это привлекает больше посетителей и увеличивает фактор доверия клиентов. В то время как другие CA, Comodo и RapidSSL предлагают SSL с использованием Wildcard только с проверкой домена.

Symantec Wildcard SSL также предлагает ежедневную оценку уязвимостей, которая сканирует каждый отдельный субдомен на предмет вредоносных угроз.

Wildcard с проверкой Business отображает название организации. в поле URL.

3. Цена SSL: Поскольку Symantec предлагает несколько функций вместе с подстановочными знаками, его цена высока по сравнению с Comodo и RapidSSL.

Итак, если вы хотите защитить свой веб-сайт и субдомены с помощью бизнес-валидации, вам нужно выбрать Symantec, GeoTrust или Thawte, а для валидации домена вы можете использовать Comodo или RapidSSL. А если вы хотите установить многоуровневую защиту с ежедневной оценкой уязвимостей, вы можете использовать решение Symantec Wildcard.