Зачем покупают дорогие и EV SSL сертификаты (Extended и Business validation или от DigiCert)?

Question

[Ярослав]

Сайт без сертификата сейчас иметь почти уже нельзя (и безопасность, и гугл просто не даст трафик). Но есть бесплатный LetsEncrypt и не другие _бесплатные_ альтернативы. Сайт будет работать с любыми браузерами. Но если не хочется (по имиджевым соображениям) пользоваться нищебродским LetsEncrypt, есть коммерческие дешевые сертификаты. У них есть разные уровни валидации (с разной ценой) и цена на технически одинаковый сертификат может сильно отличаться.

Например, GitHub:

$ showcert github.com
IP: 140.82.121.4
Names: github.com www.github.com
notBefore: 2022-03-15 00:00:00 (227 days old)
notAfter: 2023-03-15 23:59:59 (138 days left)
Issuer: C=US O=DigiCert Inc CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1

Смотрим https://onlinenic.com/en/Certificates/brandsdetail... , я не нашел там ничего со словом Hybrid, но самый дешевый стоит $255 в год, а с EV - $549 . При этом на том же сайте есть сертификаты от Positive SSL, обычный за $4.90, а EV - $67.20.

Если нет(?) разницы, зачем платить больше? Почему кто-то сам хочет заплатить 549 вместо 4.90 (или даже 0)? И даже если есть смысл в EV, то почему бы его не купить почти в 10 раз дешевле? Просто показать всем, что сириусбизнес, что "я могу такой же галстук на сто баксов дороже купить?"

И актуальны ли вообще EV сертификаты? Я понимаю, про более сложную валидацию, их сложнее получить, и вряд ли их получит хакер. Но ведь вебсайт делается для конечного пользователя ("бабушки"), а у бабушки даже на letsencrypt сертификат (который может получить хакер при успешной атаке на DNS через доменную валидацию) отрисуется "замочек", все как надо. В старых статьях были скрины, как браузер для EV-сайтов прямо в адресной строке пишет название компании в зеленом цвете.



Круто выглядит (выглядело). И хотя бы видно, что сайт отличается чем-то от студенческой поделки. Но сейчас везде "серый замочек". Попробуйте сами на apple.com (там EV). Чтобы увидеть, что сертификат EV'шный (я вот сейчас сам специально это захотел узнать, и "трудился") в Firefox нужно нажать на замочек (увидим: Certificate issued to: Apple Inc. - и за это файр-шоу 500 баксов?). А в хромоподобных - вообще аж два клика надо сделать, чтобы заметить разницу! Мне кажется, средний человек, даже ITшник с уклоном в веб и безопасность, за день посещает сотню сайтов, но не замечает, какие из них были с Extended Validation.

Люди платят за это, просто потому что могут, потому что не из своего кармана деньги? Или стараются угодить тем трем-пяти маньякам, которые откажутся покупать эппловскую технику если на apple.com будет стоять сертификат от LetsEncrypt или дешевый RapidSSL / PositiveSSL? Есть какая-то объективная практическая ежедневная выгода от использования EV сертификатов, и от использования сертификатов от дорогих CA?

Answer 1

[Drno]

Есть деньги - бери EV
нет денег - бери - LetsEncrypt

Comments

[Ярослав]

Деньги всегда есть. 549 - это не космические деньги. В крайнем случае, у кого нет, можно продать машину, почку, квартиру. Взять кредит в конце-концов. Интересно - зачем, какая отдача от этого EV. Особенно от EV от дорогого вендора.

Answer 2

[CityCat4]

EV - просто понты, типа надежность и крутость организации
OV - есть поля, которые нельзя поставить в DV сертификате, SAN например.

JFYI: Сайт - это только очень частное применение сертификата, вообще говоря спектр его применений значительно шире

Comments

[Ярослав]

SAN - Subject Alternative Name? Так они вроде и в обычных сертификатах есть (если он на два имени ), даже в letsencrypt.

Вот в habr.ru (как раз letsencrypt):

X509v3 Subject Alternative Name: 
                DNS:habr.ru, DNS:www.habr.ru

[CityCat4]

Ярослав, Блин, Ярославище, я не поглядел, что это ты :) В обычных сертификатах SAN - это как правило domain.ru и www.domain.ru. А если мне нужно в сертификате иметь domain.ru, zhopa.domain.ru, hren.domain.com и chertznaetchto.gde - такой сертификат можно (почему-то) получить только на организацию (хотя технически конечно же он ничем не будет отличаться)

[Ярослав]

CityCat4, я, я, натюрлих.

Letsencrypt вроде позволяет, вот у меня аж три zhopa.domain.com :-) Валидированы через DV.

$ showcert cp.okerr.com
IP: 159.69.106.12
Names: golf.okerr.com cp.okerr.com cur.okerr.com
notBefore: 2022-10-08 08:19:28 (21 days old)
notAfter: 2023-01-06 08:19:27 (68 days left)
Issuer: C=US O=Let's Encrypt CN=R3

[CityCat4]

Ярослав, Ну может быть. Я с LE никогда не заморачивался, тем более, что вот уже маза пошла про "сертификаты для сбербанка", значит уже вовсю готовится "импортозамещение в СA".