¿Cuánto cuesta realmente un certificado SSL?

-

El mercado de SSL está creciendo a medida que las empresas se percatan de la importancia de la encriptación como una de las mejores prácticas de ciberseguridad.
Una variedad de tipos de certificados, soluciones, complementos y servicios se puede encontrar en numerosas autoridades de certificación (CA) ubicadas en todo el mundo.

Certificado SSL

Si tu estas comprando certificados SSL y comenzaste a buscar vendedores en línea, probablemente ya te encontraste con un amplio espectro de tipos de certificados, paquetes, soluciones y opciones de otros certificados. Decidir qué comprar puede ser algo complicado. Mi objetivo en escribir este blog es señalar algunos costos de usar los certificados SSL y cómo estos costos son cubiertos por las CAs.

Nivel Asegurado

La mayoría de las más grandes Autoridades Certificadoras ofrecen 3 niveles de aseguramiento para sus certificados SSL.

  • Validación Extendida (EV) – chequea el derecho del solicitante a usar el dominio mediante una estricta investigación sobre los antecedentes de la organización.
  • Validación Organizacional (OV) – Chequea el derecho del solicitante a usar el dominio y se investiga un poco sobre los antecedentes de la organización.
  • Validación de Dominio (DV) – chequea el derecho del solicitante a usar el dominio.


A mayor nivel de seguridad del certificado, más validaciones se deben hacer antes de implementar el certificado y mayor será la necesidad de recursos del departamento de veto de la CA. Los certificados EV SSL requieren la mayor diligencia debida, ya que nuestro equipo de investigación de antecedentes comprobará que eres el propietario del dominio, que tu organización es real, que existe la organización en los registros oficiales y tiene una presencia física y que tiene el derecho de dominio.

Todos los sitios que permiten transacciones seguras de pago necesitarán y les exigirán los certificados que den la mayor garantía, que permiten la "barra verde" (en función del navegador y la versión que está utilizando) mostrando su nombre de la empresa. visitantes del sitio web ven esto como una señal de que pueden confiar en el sitio y el sitio se beneficiará de un incremento en la confianza en marca. En comparación, un certificado SSL DV sólo requiere una CA para comprobar que se puede demostrar el control administrativo sobre el dominio y los visitantes del sitio web verán solamente un candado.

Chequeo de Phishing y Seguridad

Las autoridades de certificación como GlobalSign se enorgullecen de su reputación, por lo que gastan tiempo y dinero invirtiendo en herramientas integrales y en procesos humanos para identificar y rechazar las solicitudes de certificados de agentes maliciosos. Las CAs que no mantienen altos niveles de comprobación de datos pueden reducir sus costes a expensas de los certificados que emiten o a expensas de asegurar sitios de phishing o malware. Esto a su vez puede tener un impacto negativo en la reputación de la CA y los certificados que expiden.

Soporte

Los tipos de soporte ofrecidos por las entidades emisoras varían mucho y pueden abarcar desde foros (fuentes abiertas), soporte web a través de preguntas frecuentes, correo electrónico y teléfono. El soporte puede ser proporcionado solamente en el idioma local o puede estar disponible en varios idiomas. Las horas de operación también pueden variar en horario de oficina local o hasta 24x7. El coste de la prestación de apoyo depende del tipo, las horas y los idiomas del servicio de soporte.



Idiomas

Las CA que permiten ordenar certificados, presentar informes digitales y la presentación de documentación en línea, también puede querer ofrecer esto en varios idiomas. Esto incurre en un coste a la CA.


Programas raíz

Una de las principales ventajas de comprar un certificado SSL de una CA comercial es que ofrecen SSL personalizados que son de confianza para una amplia variedad de navegadores, dispositivos móviles, plataformas de juego SDK y varios otros dispositivos. Las CA gastan mucho tiempo y dinero asegurando sus certificados raíz estén incrustados en tantos dispositivos como sea posible para proporcionar a los clientes un protocolo SSL más ubicuo y ampliamente aceptado de SSL personalizados.

Auditorías

Otro factor importante que afecta a los costes, es el costo de cumplir con los requisitos y mantener el cumplimiento de los criterios de auditoría de la industria, así como sufragar los costes de auditorías anuales. Todas las entidades emisoras comerciales con raíces en los principales navegadores tienen que pasar WebTrust o auditorías ETSI con el fin de mantener sus raíces. Sin sus raíces en estas grandes plataformas, los certificados emitidos por la CA tendrían poco valor. Estas auditorías requieren que todas las entidades emisoras documenten sus procesos y luego hacen una verificación de antecedentes de los empleados, la oficina local, deberes de las personas en los roles de confianza y las políticas y procedimientos operacionales de los centros de datos. La creación de las políticas y el soporte a la auditoría es un compromiso de largo tiempo por sobre la costosa auditoría de costos.

Este mismo concepto se aplica a CAs patrocinadas por gobiernos o regiones, que por lo general tienen sus propias características especializadas, procedimientos de auditoría y los requisitos de seguridad que se sumarán a sus costes.

Infraestructura

Por supuesto, con una CA habrán costos de desarrollo de infraestructuras y costos para crear y operar aplicaciones que permitan pedidos de certificados, gestión y emisión, así como proporcionar un servicio de revocación fiable.

Las CAs requieren múltiples centros de datos seguros con bastidores especializadas de web, bases de datos y servidores de CA, dispositivos de red y los HSM para apoyar la emisión y gestión de certificados millones de un año.

Las CAs también necesitan estar constantemente innovando y ofreciendo nuevos servicios con el fin de satisfacer las necesidades cambiantes de los consumidores y los rápidos desarrollos en TI y la tecnología. Por cada nueva plataforma o tecnología puede ser una oportunidad para el cifrado SSL, así como una base de clientes que tendrá que asegurarse de que su servicio es seguro.

Garantías

Algunas entidades emisoras proporcionan garantías a sus suscriptores de certificados. Esto con el fin de cubrir errores en la identificación, la pérdida de documentos o errores intencionales o accidentales. Esto proporciona un valor añadido a sus clientes, pero se produce a costa de una póliza de seguro o de responsabilidad corporativa que funciona de garante.

¿Cómo cubren las CAs estos costos?

Los clientes que compren SSL / TLS personalizados necesitan comprender el alcance total de los costos de las entidades emisoras y entender cómo estas los solventan. Los costos pueden ser transmitidos en forma de precios de los certificados, las tarifas de suscripción, costos de instalación, contratos de soporte, los niveles de patrocinio, empaquetado con otros productos o servicios, gastos de hosting de la CA, etc. Incluso AC "gratis" necesitan ingresos para pagar sus costos utilizando uno de los anteriores.

¿Cómo definir qué comprar?

Antes de comprar un certificado que vale un peso de todos los factores que he mencionado arriba y analizar los factores que tendrán importancia para usted. Pregúntese:

  • ¿Cuánto importa la reputación de la CA a usted o sus clientes / visitantes de la web?
  • ¿Qué tipo de certificado SSL se puede pedir?
  • ¿Puede una CA proveerte de la totalidad de los SSL que necesitas, o será necesario comprometerse con múltiples CA para satisfacer todas sus necesidades? ¿Qué nivel de soporte se necesita y en qué idiomas deben ser?
  • El certificado raíz se utiliza para emitir Certificados SSL de confianza para todos los visitantes de su sitio web anticipadas?
  • ¿La CA ofrece el nivel de garantía y confianza que su empresa necesita?



Si luego de analizar todo esto, consideras que somos los indicados para ayudarte, contáctanos a ventas@seguridadamerica.com.

Comentarios

  1. Unknown11 de noviembre de 2016, 3:08 a.m.

    Sala de datos virtual protegida ofrece altos niveles de seguridad para superar cualquier desafió durante transacciones M&A. Las prácticas de desarrollo de son compatibles con el proyecto Open Web Application Security.

    ResponderBorrar
  2. Kinky Perez22 de septiembre de 2020, 11:42 a.m.

    los precios de certificados ssl son variados dependiendo la marca.

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más