lunes, 26 de septiembre de 2016

¿Cuánto cuesta realmente un certificado SSL?


El mercado de SSL está creciendo a medida que las empresas se percatan de la importancia de la encriptación como una de las mejores prácticas de ciberseguridad.
Una variedad de tipos de certificados, soluciones, complementos y servicios se puede encontrar en numerosas autoridades de certificación (CA) ubicadas en todo el mundo.

Certificado SSL

Si tu estas comprando certificados SSL y comenzaste a buscar vendedores en línea, probablemente ya te encontraste con un amplio espectro de tipos de certificados, paquetes, soluciones y opciones de otros certificados. Decidir qué comprar puede ser algo complicado. Mi objetivo en escribir este blog es señalar algunos costos de usar los certificados SSL y cómo estos costos son cubiertos por las CAs.

Nivel Asegurado

La mayoría de las más grandes Autoridades Certificadoras ofrecen 3 niveles de aseguramiento para sus certificados SSL.

  • Validación Extendida (EV) – chequea el derecho del solicitante a usar el dominio mediante una estricta investigación sobre los antecedentes de la organización.
  • Validación Organizacional (OV) – Chequea el derecho del solicitante a usar el dominio y se investiga un poco sobre los antecedentes de la organización.
  • Validación de Dominio (DV) – chequea el derecho del solicitante a usar el dominio.


A mayor nivel de seguridad del certificado, más validaciones se deben hacer antes de implementar el certificado y mayor será la necesidad de recursos del departamento de veto de la CA. Los certificados EV SSL requieren la mayor diligencia debida, ya que nuestro equipo de investigación de antecedentes comprobará que eres el propietario del dominio, que tu organización es real, que existe la organización en los registros oficiales y tiene una presencia física y que tiene el derecho de dominio.

Todos los sitios que permiten transacciones seguras de pago necesitarán y les exigirán los certificados que den la mayor garantía, que permiten la "barra verde" (en función del navegador y la versión que está utilizando) mostrando su nombre de la empresa. visitantes del sitio web ven esto como una señal de que pueden confiar en el sitio y el sitio se beneficiará de un incremento en la confianza en marca. En comparación, un certificado SSL DV sólo requiere una CA para comprobar que se puede demostrar el control administrativo sobre el dominio y los visitantes del sitio web verán solamente un candado.

Chequeo de Phishing y Seguridad

Las autoridades de certificación como GlobalSign se enorgullecen de su reputación, por lo que gastan tiempo y dinero invirtiendo en herramientas integrales y en procesos humanos para identificar y rechazar las solicitudes de certificados de agentes maliciosos. Las CAs que no mantienen altos niveles de comprobación de datos pueden reducir sus costes a expensas de los certificados que emiten o a expensas de asegurar sitios de phishing o malware. Esto a su vez puede tener un impacto negativo en la reputación de la CA y los certificados que expiden.

Soporte

Los tipos de soporte ofrecidos por las entidades emisoras varían mucho y pueden abarcar desde foros (fuentes abiertas), soporte web a través de preguntas frecuentes, correo electrónico y teléfono. El soporte puede ser proporcionado solamente en el idioma local o puede estar disponible en varios idiomas. Las horas de operación también pueden variar en horario de oficina local o hasta 24x7. El coste de la prestación de apoyo depende del tipo, las horas y los idiomas del servicio de soporte.



Idiomas

Las CA que permiten ordenar certificados, presentar informes digitales y la presentación de documentación en línea, también puede querer ofrecer esto en varios idiomas. Esto incurre en un coste a la CA.


Programas raíz

Una de las principales ventajas de comprar un certificado SSL de una CA comercial es que ofrecen SSL personalizados que son de confianza para una amplia variedad de navegadores, dispositivos móviles, plataformas de juego SDK y varios otros dispositivos. Las CA gastan mucho tiempo y dinero asegurando sus certificados raíz estén incrustados en tantos dispositivos como sea posible para proporcionar a los clientes un protocolo SSL más ubicuo y ampliamente aceptado de SSL personalizados.

Auditorías

Otro factor importante que afecta a los costes, es el costo de cumplir con los requisitos y mantener el cumplimiento de los criterios de auditoría de la industria, así como sufragar los costes de auditorías anuales. Todas las entidades emisoras comerciales con raíces en los principales navegadores tienen que pasar WebTrust o auditorías ETSI con el fin de mantener sus raíces. Sin sus raíces en estas grandes plataformas, los certificados emitidos por la CA tendrían poco valor. Estas auditorías requieren que todas las entidades emisoras documenten sus procesos y luego hacen una verificación de antecedentes de los empleados, la oficina local, deberes de las personas en los roles de confianza y las políticas y procedimientos operacionales de los centros de datos. La creación de las políticas y el soporte a la auditoría es un compromiso de largo tiempo por sobre la costosa auditoría de costos.

Este mismo concepto se aplica a CAs patrocinadas por gobiernos o regiones, que por lo general tienen sus propias características especializadas, procedimientos de auditoría y los requisitos de seguridad que se sumarán a sus costes.

Infraestructura

Por supuesto, con una CA habrán costos de desarrollo de infraestructuras y costos para crear y operar aplicaciones que permitan pedidos de certificados, gestión y emisión, así como proporcionar un servicio de revocación fiable.

Las CAs requieren múltiples centros de datos seguros con bastidores especializadas de web, bases de datos y servidores de CA, dispositivos de red y los HSM para apoyar la emisión y gestión de certificados millones de un año.

Las CAs también necesitan estar constantemente innovando y ofreciendo nuevos servicios con el fin de satisfacer las necesidades cambiantes de los consumidores y los rápidos desarrollos en TI y la tecnología. Por cada nueva plataforma o tecnología puede ser una oportunidad para el cifrado SSL, así como una base de clientes que tendrá que asegurarse de que su servicio es seguro.

Garantías

Algunas entidades emisoras proporcionan garantías a sus suscriptores de certificados. Esto con el fin de cubrir errores en la identificación, la pérdida de documentos o errores intencionales o accidentales. Esto proporciona un valor añadido a sus clientes, pero se produce a costa de una póliza de seguro o de responsabilidad corporativa que funciona de garante.

¿Cómo cubren las CAs estos costos?

Los clientes que compren SSL / TLS personalizados necesitan comprender el alcance total de los costos de las entidades emisoras y entender cómo estas los solventan. Los costos pueden ser transmitidos en forma de precios de los certificados, las tarifas de suscripción, costos de instalación, contratos de soporte, los niveles de patrocinio, empaquetado con otros productos o servicios, gastos de hosting de la CA, etc. Incluso AC "gratis" necesitan ingresos para pagar sus costos utilizando uno de los anteriores.

¿Cómo definir qué comprar?

Antes de comprar un certificado que vale un peso de todos los factores que he mencionado arriba y analizar los factores que tendrán importancia para usted. Pregúntese:

  • ¿Cuánto importa la reputación de la CA a usted o sus clientes / visitantes de la web?
  • ¿Qué tipo de certificado SSL se puede pedir?
  • ¿Puede una CA proveerte de la totalidad de los SSL que necesitas, o será necesario comprometerse con múltiples CA para satisfacer todas sus necesidades? ¿Qué nivel de soporte se necesita y en qué idiomas deben ser?
  • El certificado raíz se utiliza para emitir Certificados SSL de confianza para todos los visitantes de su sitio web anticipadas?
  • ¿La CA ofrece el nivel de garantía y confianza que su empresa necesita?



Si luego de analizar todo esto, consideras que somos los indicados para ayudarte, contáctanos a ventas@seguridadamerica.com.

1 comentario:

  1. Sala de datos virtual protegida ofrece altos niveles de seguridad para superar cualquier desafió durante transacciones M&A. Las prácticas de desarrollo de son compatibles con el proyecto Open Web Application Security.

    ResponderEliminar

Populares