Por que pagar por um certificado SSL? Perguntas frequentes que você deve saber.

Por que pagar por um certificado SSL quando posso obter um de graça?

A principal razão pela qual você deve pagar por um certificado SSL é a proteção de responsabilidade. Os certificados SSL pagos fornecem proteção de responsabilidade muito melhor do que qualquer versão gratuita jamais poderia. Na verdade, muitas empresas de processamento de pagamentos nem mesmo aprovam um aplicativo para usar seus serviços, a menos que você tenha alguma forma de proteção de responsabilidade.

Isso ocorre porque, no caso de hackers ou outras invasões em que ocorre uma violação de dados e os detalhes de pagamento dos clientes são roubados, você estará segurado com base no nível de garantia do seu certificado SSL.

Certificados SSL gratuitos, uma vez que são “gratuitos” como geralmente são emitidos por autoridades de certificação SSL sem fins lucrativos (CAs). O mais popular deles é, obviamente, “Let's Encrypt”, que fornece SSL/TLS. O certificado SSL gratuito não oferece nenhuma proteção de responsabilidade e pode fazer com que as empresas de processamento de pagamentos rejeitem seu aplicativo, se, por exemplo, você deseja abrir uma loja de comércio eletrônico, por exemplo.

No entanto, existem outras situações em que certificados SSL pagos de terceiros também são normalmente necessários:

Uma dessas situações seria uma Verificação Estendida ou certificado SSL “EV” . Esse é o certificado SSL que dá a pequena barra verde no navegador que tem um nome legal de empresa. É uma ótima maneira de estabelecer confiança com o usuário.

Existem mais algumas razões pelas quais você pagaria por um certificado SSL. No entanto, eles se resumem principalmente à Garantia e Validação Estendida (EV).

Este certificado fornece certos níveis de proteção de responsabilidade financeira.

Se você precisa ou não desse nível de proteção de responsabilidade financeira depende, é claro, de quais tipos de transações financeiras ocorrerão em seu site, os valores dessas transações e, claro, a empresa de processamento de pagamentos com a qual você escolhe fazer negócios.

Na verdade, cada um dos certificados SSL pagos abaixo e os níveis de proteção de responsabilidade que eles fornecem também dependerão dos tipos de transações financeiras que ocorrerão em seu site, dos valores dessas transações e, claro, da empresa de processamento de pagamentos que você escolher para fazer negócios também.

Validação Estendida (EV).

Fornecedores como Sectigo ou Comodo emitem certificados EV SSL que verificam sua empresa como uma organização real e genuína.

Os certificados de Validação Estendida irão realmente dizer o nome da empresa e que foi verificado, em vez de apenas dizer “Seguro” e/ou apenas mostrar um cadeado.

Se você quiser ver alguns exemplos disso em ação, basta acessar Paypal.com ou Citi.com (Citibank). Você normalmente verá isso:

Se você for a um site com um simples SSL gratuito, o nome da empresa geralmente não será incluído no certificado.

Além disso, outros provedores geralmente oferecem seguro para problemas que surgem devido ao SSL ou coisas como testes de vulnerabilidade. Tudo depende de quem você obtém o certificado SSL.

Então o outro é apenas a vida do SSL. Let's Encrypt é de 90 dias, então você tem que renovar, mas isso agora pode ser automatizado, geralmente com um simples plugin. Outros provedores de certificados SSL são pagos por um ano ou mais de cada vez.

Por exemplo, quando você vir um cadeado verde antes de um URL (e não apenas um cadeado simples) e clicar nele, verá as informações de SSL desse site.

Garantia.

Os certificados que você compra também vêm com certos níveis de garantia. Essas garantias estão associadas a transações.

Se por algum motivo houver uma violação e os dados confidenciais de seu cliente forem comprometidos e causarem perdas ou danos financeiros, o fornecedor que emitiu o certificado EV os compensará até um determinado valor, dependendo do certificado adquirido e sua garantia.

Algumas pessoas que administram lojas de comércio eletrônico comprarão um EV apenas pela garantia.

Na verdade, mais empresas que realizam transações em que dados confidenciais do consumidor são passados ​​pelos servidores de seus sites devem verificar a garantia se levarem a sério a realização de negócios on-line.

Por exemplo, no Comodo , um certificado EV SSL de um ano custa US$ 179,99/ano e fornece uma garantia de US$ 1.750.000 caso algo dê errado.

Mesmo quando os sites usam Sagepay e Paypal para lidar com pagamentos, eles ainda podem obter detalhes suficientes do cliente para responsabilizá-los por quaisquer perdas devido a uma violação de segurança.

Como os certificados SSL pagos oferecem melhor proteção?

Os certificados SSL pagos não oferecem necessariamente uma melhor proteção de criptografia. No entanto, eles oferecem algum grau de proteção de responsabilidade, dependendo do certificado SSL que você obtém.

Os certificados SSL pagos, no entanto, fornecem ao usuário que está visualizando seu site por meio do navegador que seu site é seguro e foi verificado por uma Autoridade de Certificação.

Dessa forma, seu usuário pode se sentir mais confiante em realizar transações em seu site, pois sabe, por meio do certificado, que seu site é legítimo e não um site de fraude ou phishing.

No que diz respeito à criptografia, novamente, os certificados SSL pagos não oferecem criptografia mais forte do que os certificados SSL gratuitos, como o Let's Encrypt. Isso não quer dizer que todos os SSL oferecem a mesma proteção de criptografia.

Existem muitos fornecedores de certificados SSL que oferecem criptografia adicional para coisas como e-mail, etc. Isso também pode adicionar um nível extra de proteção ao seu site.

Por que alguns certificados SSL pagos custam mais do que outros?

O preço de um certificado SSL geralmente depende do tipo de certificado, da reputação do emissor, do processo de verificação e, mais importante, de sua garantia.

Ao comprar um certificado EV, você também paga uma garantia que cobrirá alguns casos de fraude relacionados a certificados. Quanto maior a garantia, maior o preço.

Você realmente tem que ler todas as letras miúdas do contrato para saber exatamente o que você está comprando. É seguro dizer que um certificado de $ 2.500 vem com uma garantia mais abrangente do que um certificado de $ 179,99.

Esses preços não refletem muito os custos operacionais, mas dependendo dos certificados EV que você escolheu, haverá uma verificação de identidade muito mais rigorosa antes da emissão do certificado.

Essa verificação envolve mais informações solicitadas ao cliente e, possivelmente, às pessoas reais que consultam as informações fornecidas.

Além disso, os servidores do fornecedor precisam estar operando 24 horas por dia, mesmo em cargas mais altas, porque todos os navegadores atuais verificarão a revogação antes de se conectarem a sites protegidos por EV. Os custos de administração do servidor por si só podem ser bastante pesados.

Eles também recusarão se o status de revogação não puder ser determinado. Além disso, provavelmente haverá pessoal disponível 24 horas por dia, 7 dias por semana, caso seja necessária uma revogação de emergência (que pode envolver a emissão de um novo certificado).

As duas principais funções dos certificados SSL EV pagos são basicamente:

• Proteger transações online e informações privadas que são transmitidas entre um navegador da web e um servidor da web.
• Confie, um EV SSL é usado para aumentar a confiança do cliente. Um EV SSL comprova uma sessão segura do seu site, significa que seu cliente pode confiar no seu site.

Cada certificado tem seus próprios procedimentos de validação. Seguindo esses procedimentos, a Autoridade Certificadora valida a confiabilidade de uma empresa e envia um certificado para o site.

O preço, portanto, também pode refletir o processo de autenticação e os níveis de confiança.

Por exemplo, um EV SSL valida muitos componentes de identificação de um domínio e informações comerciais.

A principal diferença é o fator confiança e a reputação da marca. Se seus clientes virem a barra de endereço verde no navegador, eles poderão se sentir mais seguros e incentivá-los a fazer transações.

Um certificado SSL barato ou gratuito apenas valida a autoridade de um domínio e o autentica usando o sistema de verificação de e-mail do aprovador. Um aprovador pode facilmente obter este certificado em apenas alguns minutos com um endereço de e-mail genérico como o Gmail.

Caso contrário, na maioria dos casos, a garantia de um certificado explica as diferenças. As Autoridades de Certificação podem fornecer uma garantia estendida de US$ 1 mil a US$ 2 milhões ou até mais contra a emissão incorreta de um certificado SSL.

Os certificados EV SSL caros às vezes também oferecem um selo dinâmico. Esta é uma imagem dinâmica exibida em um site que mostra a hora e a data atuais de quando a página da Web foi carregada.

Isso indica que o selo é válido para o domínio em que está instalado e é atual e não expirou.

Quando a imagem é clicada, ela exibirá informações da Autoridade de Certificação sobre o perfil do site que valida a legitimidade do site.

Isso novamente dará aos visitantes do site maior confiança na segurança do site.

Tipos de certificados SSL pagos.

Existem 3 tipos principais de certificados SSL pagos. Estes variam em custo, com um Certificado SSL EV de Domínio Único normalmente sendo o mais barato.

Domínio único

Protege as versões www e não www do seu domínio

Curinga

Protege todos os subdomínios de um único domínio, incluindo versões www e não www.

Vários domínios

A maioria das Autoridades de Certificação oferece de 3 a 5 domínios com seu plano de preços básico

Você precisa pagar por domínio adicional.

Os certificados SSL gratuitos são seguros?

Os certificados SSL gratuitos são tão seguros quanto os certificados SSL pagos. Se você olhar para o certificado SSL gratuito da Let's Encrypt, ele oferece um certificado SSL tão seguro quanto qualquer outro certificado SSL pago.

No entanto, o certificado SSL gratuito mais comum “Let's Encrypt” só emite certificados válidos por 90 dias. No passado, quando o certificado SSL Let's Encrypt gratuito foi lançado, essa era a reclamação número um que os usuários tinham.

Quer dizer, quem quer ter que renovar um SSL a cada 90 dias ou então enfrentar lapsos de cobertura, certo?

Bem, hoje em dia a frequência de renovação não é um problema, pois esse processo pode ser automatizado. De qualquer forma, Let's Encrypt agora é automatizado. Portanto, a configuração agora é muito mais fácil.

Alguns até argumentam que o Let's Encrypt é mais seguro. Pelo menos de uma maneira importante. Sua chave privada é gerada em seu servidor e nunca sai dele.

Um certificado SSL pago é mais seguro do que um certificado SSL gratuito?

Certificados SSL gratuitos como Let's Encrypt não são mais seguros do que certificados SSL pagos.

No começo eu acreditei que um certificado SSL pago seria mais seguro do que o certificado gratuito “Let's Encrypt”, mas quanto mais eu investigava, descobri que esse não era o caso.

Eles realmente fornecem o mesmo nível de criptografia.

Na verdade, o “nível de criptografia” é mais uma função dos servidores do seu próprio provedor de hospedagem na Web, do que qualquer outra coisa. Você pode gastar milhares de dólares em um certificado EV e ainda obter um “F” no teste Qualys SSL Labs .

Como obtenho um certificado SSL confiável?

Existem muitos provedores de certificados SSL confiáveis ​​por aí. Portanto, sempre vá com aqueles que estão por aí há mais tempo e são os mais respeitáveis. Meus três principais provedores de certificados SSL são:

• Comodo .
• Seção .
• Verisign .

Por que pagar por um certificado SSL? Conclusões SSL pagas.

A menos que você precise de uma validação estendida ou um curinga para questões de responsabilidade ou confiança, não há nenhum benefício real para uma opção de SSL paga. Se você tiver um site simples relacionado a conteúdo, um SSL gratuito é bom.

No entanto, no mínimo, se você tiver um site de comércio eletrônico, um certificado EV SSL pago exibirá o nome da sua empresa na barra de endereços do navegador e, como resultado, seu cliente confiará que seu site é um domínio autorizado.

Esperamos que isso não os faça hesitar ao realizar uma transação em que suas informações financeiras confidenciais precisam ser repassadas para compras, por exemplo.

Então, vamos resumir por que e quando você deve e não deve pagar por um certificado SSL:

• Se você tiver apenas um site comum não comercial, use o certificado SSL gratuito “Let's Encrypt”.
• Se você tiver um site de comércio eletrônico comercial com transações financeiras automatizadas, como carrinhos comerciais, um sistema de cobrança, vá em frente e pague por um certificado EV SSL.

Depende do nível de SSL.

No final, um SSL não torna seu site seguro. Isso torna os dados enviados de e para o seu site seguros. Isso protegerá os dados de serem tomados.

No entanto, não terá nenhum impacto nos ataques de Força Bruta ou em qualquer outra tentativa de invasão de sites.

Os certificados SSL também não o protegerão contra falhas de segurança nos temas ou plugins do WordPress, portanto, certifique-se de que eles estejam sempre atualizados.