域名验证型(Domain Validation)SSL证书选购指南

最近兄弟我穷。穷不是少花钱的理由,不穷也不应该乱花钱。但是穷会有一个好处,就是催人开始考虑在维持供应水准的前提下,寻找开支比较低的替代方案。我的消费习惯是:先花正常的钱,看看正常的供应是什么样的。然后再根据钱包的情况,决定是提高预算来享受更高级的供应,还是降低预算来寻找同等级的供应或是虽然降低了等级或水准但是仍然可以接受的供应。为什么要先看正常的供应是什么样的呢?因为这样一方面可以知道,多花钱买到的是什么,从而不会花冤枉钱;另一方面也可以知道,少花钱要失去什么,这些失去的部分是否是你真的不需要的,而不是从一开始就以省钱为唯一的指标,从而造成根本不知道还有一些你本来可能需要的部分。为了寻找高性价比的供应而购买的正常供应,称为参考供应消费,这部分开支如非非常必要,是不应该节省的,我把这个消费称为学费。任何消费都不应该仅仅是消费,而应该从中学到一些什么。至少应该学到下次如果再购买同样的商品时,如何进行在性价比方面更称心如意的选择。人应该在消费中更好地认识自己、认识世界。换言之,应该做消费的主人,而不应该为了消费而成日忙碌而不反思,做了消费的奴隶。

了解SSL证书的分类和自己的需求

所以,谈到SSL证书的选购时,我们就需要知道自己的需求到底有哪些。从验证类型上说,SSL证书分成三类:域名验证型(Domain Validation,简称DV)、组织验证型(Organization Validation,简称OV)和扩展验证型(Extended Validation,简称EV)。DV证书需要验证的项目只是证书申请人拥有所签发证书的域名的所有权即可,不需要验证证书申请人的身份。而OV和EV证书则还要验证证书申请人的身份,这个身份还不能是个人,必须是企业或经过政府认定的合法组织等实体。相应地,DV证书只会显示证书和域名是否一致,而不会显示也无法显示证书申请人的身份。而OV和EV证书则还会显示证书申请实体信息,尤其是EV证书,会直接在浏览器的地址栏上以绿色显示出证书申请实体信息。总结一下,DV/OV/EV的区别如下:

DVOVEV
验证项目
  1. 对证书所对应域名的所有权

  1. 对证书所对应域名的所有权

  2. 证书申请实体证明材料

  1. 对证书所对应域名的所有权

  2. 证书申请实体证明材料

接受的申请者类型个人、企业或组织企业或组织企业或组织
申请过程可否自动化可以不可以不可以
签发时长若干分钟一周左右两周到数个月
是否显示证书申请实体信息不显示显示显示
证书申请实体信息显示方式不显示查看证书详情时显示直接在地址栏以绿色显示

从上面的信息可以看出来,DV证书要求验证的项目最少,并且对于域名所有权的验证过程可以自动化。同时,DV证书是唯一一种个人可以申请的证书。但是,从SSL证书起到的加密效果来说,所有的证书都是一样的。OV和EV证书无非是由于提供了额外的身份信息,从而从社会学角度,或者说从人类可理解的角度增强了可信度而已。当然,这一点对于某些项目的安全性要求来说,可能是必要的。但是,校验这些额外的身份信息肯定需要花费额外的人力物力,无法自动化。

如果以一个证书能够对应多少个域名来划分的话,SSL证书又可以划分为四种类型:单域名、泛域名、不支持泛域名的多域名、支持泛域名的多域名。单域名,就是说证书只对应于一个域名,比如:example.com。有些单域名证书还同时支持带www和不带www的两种形式,比如同时支持www.example.com和example.com,甚至有的单域名证书还支持子域名也有带www和不带www的两种形式,比如www.sub.example.com和sub.example.com。但是,有的单域名证书就不提供任何这样的支持,或不对子域名提供这样的支持。泛域名,就是证书对应于一个域名,和它的任意下一级子域名。比如:example.com和*.example.com,或sub.example.com和*.sub.example.com。请注意,泛域名都支持域名本身,都只支持下一级子域名,而大于一级的子域名则都不支持。比如,如果你购买了针对example.com的泛域名证书的话,则证书中是不包括level2sub.sub.example.com这样的二级子域名的,当然针对sub.example.com的泛域名证书也不包括level3sub.level2sub.sub.example.com这样的三级子域名,反过来它也不包括example.com和othersub.example.com这样的同级其他域名或上一级域名。

多域名证书的情况有一点复杂,但概念上也是简单的。多域名,就是指包括大于一个单域名和泛域名的组合。比如,一个多域名可能包括这样一些单域名或泛域名:example1.com、*.example2.com、*.sub.example3.com。对于上面这样一个多域名证书,是不是包括example2.com呢?包括的,因为泛域名证书是支持域名本身的。但是不是包括www.example1.com呢?那就不一定,这要看证书是不是同时支持带www和不带www的两种形式。如果支持就包括,否则就不包括。顾名思义,不支持泛域名的多域名就不允许包括泛域名,支持泛域名的多域名就允许包括泛域名。当然,包括的域名,不管是单域名还是泛域名,必须大于一个。如果一个证书里包括了域名example.com和www.example.com,那末它既可能是单域名证书,也可能是多域名证书,想想这是为什么?

EV证书是不支持任何形式的泛域名的,EV证书的设计意图在于证书中包括的每一个域名都必须明确经过人工审核,不允许存在“免检放行”的情况。这样,即使EV证书被盗也是没有太大用处的,除非把顶级的DNS服务都劫持了。但如果能做到后者,那还要盗取CA证书做什么呢?自签证书就够用了。所以,EV证书具有极高的安全性和彰显身份的浏览器的绿色信息,价格也非常贵。

如果把DV/OV/EV和单域名/泛域名/不支持泛域名的多域名/支持泛域名的多域名加以组合,就得到了下表:

DVOVEV
单域名支持支持支持
泛域名支持支持不支持
不支持泛域名的多域名支持支持支持
支持泛域名的多域名支持支持不支持

写到这里,其实只要问自己几个问题,就可以明确地得出你必须选择的证书类型,或排除掉你不能选择的证书类型了。

  • 你的身份是个人吗?你必须选择DV证书。
  • 你不想走人工审核流程而是想立刻获取系统自动化生成的证书吗?你必须选择DV证书。
  • 你想使用泛域名或想在多域名中包括泛域名吗?你不能选择EV证书。

好,以上的讨论其实已经超出本文标题的范围,变成《(任意)SSL证书选购指南》了。但为什么要写这些呢?主要还是因为很多人都对SSL证书没有起码的概念,所以必须得把什么是DV证书交代明白。我想,基本上看到这里,所有人都应该明白什么是DV证书,以及DV证书相对于其他类型的证书有什么特点了。总结起来,DV证书是适用申请人类型最广、签发速度最快且能够自动化签发的SSL证书,并且支持所有四种单域名、泛域名、不支持泛域名的多域名、支持泛域名的多域名类型,唯一的不足就是它不能够显示出证书申请人的身份信息,这对于一般的应用并不存在什么问题(除了一些知名企业或需要防止钓鱼的网站等),尤其对于个人用户而言完全不是什么限制,更何况也是他们的唯一可选的选项。

那么,技术层面的讨论基本告一段落,接下来到谈钱的时候了。证书是分品牌的,一般来说,同一品牌、同一商家的前提下,价格从低到高的排序一定是DV、OV、EV。在同一验证类型之下,价格从低到高的排序一般是单域名、不支持泛域名的多域名、泛域名、支持泛域名的多域名。这里的讨论中,同一品牌、同一商家这个前提非常重要,因为一个高端品牌的单域名证书的价格完全可能是一个亲民品牌的泛域名证书的数倍,甚至不在一个数量级上。而一模一样的证书,在不同的商家那里可以卖出上千倍的差价,一点不夸张。前者的价格差异,主要源于保险金额和售后服务水平的差异。而后者,基本上就是信息不对称带来的了。换句话说,品牌差异造成的价格差异决定的是“成本价格”的差异,这个是难以降低和控制的,除非有促销活动等事件发生;而商家差异造成的价格差异就需要非常仔细地考虑好这个商家到底凭什么加价,如果网站信息齐全、购买体验好、售后服务和支持好,加点价当然也情有可原。但是无论如何,信息不对称造成的差价,是一个成熟的买家绝对应该想办法降低和避免的。

开始吧。

不花钱的方案

免费永远是最好的,因为免费意味着可以获取任意数量,这基于一个简单的数学事实:零乘以任何有限量,其结果仍为零。《新概念英语》上就有一篇文章写道:免费是营销上的魔咒,这是很少会出错的。

并非所有的证书都要单独收费,但是真正完全免费的证书目前只有一种:Let’s Encrypt。此前倒还是有一家免费证书供应商叫做StartCom的,可惜由于被一家叫做沃通的中国证书供应商摆了一刀,现在也已经属于半死不活的状态——Chrome内核版本号57以上已经彻底拒绝信任了StartCom和沃通的证书(除了极少数由它们签发的EV证书以外——比如它们的官网)。这种情况要持续多久,甚至是否还有改变的可能,都是未知数。所以,如果想无条件地使用免费证书,那么至少目前唯一的选择就是Let’s Encrypt。

但是,要使用Let’s Encrypt的证书,需要一定的技术能力。和绝大多数证书供应商不同,Let’s Encrypt的证书签发过程并不是通过在官网上填写一系列信息,然后把生成证书下载链接或是把证书发送到指定邮箱里这样来完成,而通常是通过一种称为Certbot的软件(实际上是个Python脚本),根据不同的Web服务器软件和操作系统组合使用特定的命令来完成自动化的在线验证和证书签发。但是Certbot却并不支持Microsoft的Web服务器软件——IIS和Windows操作系统,如果不了解UNIX或Linux,确实就会比较头疼。当然,先在UNIX或Linux服务器上生成好证书然后再下载下来给IIS/Windows使用也是可以的,折腾一点罢了。具体的技术参考,初学者可以看下这篇文档,高级用户可以看下这篇文档。不过这两篇文档都有点小过时了,现在按照Certbot官方文档来操作,简单到无法再简化的程序,从零开始一共3条命令解决问题(还有2条是安装Certbot的命令),就是要懂点英文。

Let’s Encrypt的好处在于,它获得了广泛的浏览器支持,包括一些老旧的和最新的浏览器及客户端,并且它可以签发不支持泛域名的多域名证书——可以在同一张证书里包含不超过100个域名之多。可是它不可以签发泛域名证书,当然也不可以签发支持泛域名的多域名证书。 更新:2018年3月13日起,Let’s Encrypt已经支持签发泛域名证书

更新:2018年3月13日起,Let’s Encrypt已经支持签发泛域名证书,且支持签发包括泛域名证书的多域名证书。

Let’s Encrypt的不足之处在于要使用它,需要一定的技术能力。换句话说就是如果没有这样的技术能力,就没有办法使用它来签发证书。而别的证书供应商则提供了一些途径,使得没有技术能力的用户也能完成证书签发。另外,就是Let’s Encrypt的证书有效期只有90天,而一般别的证书供应商签发的证书有效期都是一年起。所以,这就意味着只要使用Let’s Encrypt的证书,一年内就至少需要对证书做四次续期操作(证书续期不可太频繁,一周内限制为最多5次)。一般来说,凡是使用了Let’s Encrypt证书的用户,都会在服务器上部署一个定期执行脚本来自动完成证书续期操作,而这反过来就需要更多的技术能力。总之,Let’s Encrypt的证书并不是给真正的小白用户用的。但要用它,也并不需要特别高的技术能力,对于UNIX/Linux有一两年经验的用户就能轻松完成签发和续期的工作。

更新:现在可以使用SSL For Free网站来通过网页操作签发基于 Let’s Encrypt技术的SSL证书,但用这样的方法,只能使用手动更新域名TXT记录的方式来进行签发和更新,且必须每三个月进行一次,而无法通过定期执行的脚本来享受自动化签发和更新的方便。所以,这只能说是个实在不懂技术或实在受到技术限制前提下的无奈补充手段,不宜作为主要方法。

如果不使用Let’s Encrypt的证书,又不想花钱,那么余下来的路径就是找那些作为附送证书的域名注册商或是云服务商了。比如著名的域名注册商Gandi就为新购的域名附送一年的SSL证书。传统上主要是主机商提供SSL证书,但现在一些新兴的云服务商也会提供附送的SSL证书,比如七牛。不过当然,和Let’s Encrypt的证书相比,这些服务商提供的免费证书都不会是无限期的,也是随时都可能取消的福利。

有些品牌的证书会提供一定期限的免费证书,比如Comodo就提供了有效期为90天的、免费的、测试用的证书。GeoTrust也有类似的证书提供。当然,和Let’s Encrypt这种真正免费的证书不同,这样的测试证书只支持单域名证书。

花钱但以省钱为目的的方案

再强调一遍,DV证书的基础效用是一样的,免费的也好,收费的也好,便宜的也好,贵的也好,使用起来在安全保护这个基础用途上没任何区别。就好比选购装纳旅行用品的容器时,一个LV的拉杆箱和一个普通的蛇皮口袋在装东西这个基础用途上没任何区别。但是,当然花了成本价以外的更多钱向证书供应商购买证书的话,可以得到两种额外的东西:一个是保险金额,即在部署了证书的前提下仍然在加密线路上被窃取了资料时,可以获得的赔偿金数额;一个是售后服务,也就是在如果你遇到技术问题时,供应商能够给你提供的支持到什么水平。这两者,当然也不是说不重要了,但是前者我个人认为真的不用考虑太多。若是真的遇到了高手,居然把加密算法都攻破了,那基本上也就只能认栽了。而且在这样的前提下去索赔,说实在的,能赔多少,理赔的手续都是大麻烦。所以,主要还是依据自己的技术水平来选择需要怎么样水平的售后服务比较实际。

那么,“成本价”在哪里呢?简而言之,如果你要购买的是单域名证书或多域名证书,答案就在GoGetSSL网站。在这里,你能够选购很多品牌的DV证书,而基本上在全网你已经不太可能找到更便宜的价格了。其中,最便宜的GoGetSSL的运营公司,总部位于拉脱维亚首都里加的EnVers Group SIA推出的定牌产品——GGSSL品牌证书,单域名证书仅售4美元左右一年,不支持泛域名的多域名证书仅售不到20美元(买满两年以上甚至年均价格可以降至16美元不到,而向证书里每增加一个域名仅须加8美元)。如果想买支持泛域名的多域名证书,那这个价格一下子就上去了。GGSSL品牌不提供这样的证书,最便宜的也是Comodo的子品牌——PositiveSSL品牌的支持泛域名的多域名证书,即使一次买三年以上,年均价格也要160美元,而且在配额以外每加一个域名(无论是否泛域名)都要再增加每年60美元。

在GoGetSSL网站上我们还可以申请免费试用版的Comodo和RapidSSL品牌的证书,而且号称可以“一直免费续期”。我自己是没有试过啦,但如果真的可以,倒是可以作为Let’s Encrypt的单域名证书的“无技术门槛替代物”。

从GoGetSSL网站我们可以看到几乎所有主流的证书品牌,也可以大致看到主流证书品牌之间的价格排序情况。当然,GoGetSSL的品牌是不够全的,如果把大的品牌都列出来,基本上是下面这样排序。这里要指出的是,位于排序的同一梯队的证书品牌(包括一些常见的子品牌,但下表并全品牌大全,更不是产品大全),很有可能相差并不大,甚至在某些网站会出现顺序不一致的情况,但很少会出现跨梯队价格反序的情形。当然,价格比较也需要是同一类型的产品,拿一个品牌的多域名证书和别一个品牌的单域名证书比价格,就好比拿Louis Vuitton的皮夹子和Coach的拉杆箱比价格然后说Louis Vuitton更便宜,是没有意义的。

廉价(年均20美元以内,支持泛域名的多域名证书除外)GGSSL < PositiveSSL(Comodo子品牌) < RapidSSL(GeoTrust子品牌) < EssentialSSL(Comodo子品牌) < InstantSSL(Comodo子品牌) < AlphaSSL(GlobalSign子品牌)
中间价格(年均200美元左右)Comodo < TrustAsia(Symantec子品牌) < thawte(Symantec子品牌) < GeoTrust < DigiCert < GlobalSign
高价(年均200美元以上,可能远超200美元)Symantec

如果说以上的是属于比较常规的购买渠道,那么在现在这个时代,任何电子商务渠道都不能不和淘宝作个比较。事实上,这也是为什么我一直没有在上面的讨论中列出泛域名证书这个选项的原因。因为,在淘宝上购买泛域名证书实在是太便宜了。可以找到一年只需要25元人民币的泛域名证书——和GGSSL的单域名证书相当,简直不可思议(一般都是AlphaSSL品牌)。那么有人可能要问了,是不是在淘宝上买单域名和多域名证书也更便宜呢?答案是不一定。在淘宝上可以的确时不时地可以看到1元人民币的证书,但是供应并不稳定,并且经常会有打着低价的幌子使用StartCom和沃通的证书来蒙人的商家——再说一遍,这两家的证书已经被使用Chrome内核的浏览器彻底封杀,而使用Chrome内核的浏览器市场占有率已经过半,所以这种证书绝对不可以购买!当然,如果你技术水平过关,完全知道如何分辨证书品牌,那逛一逛淘宝还是有可能淘到一些便宜的单域名或多域名证书的。但作为一个一般性的建议,必须照顾到小白用户,所以这里并不作为优选来推荐,毕竟GGSSL的证书已经足够便宜了。

小结一下,如果是打算花钱买证书但预算紧张,那么请选择GGSSL证书品牌,或在GoGetSSL网站来购买其他品牌的证书,作为单域名和多域名类型的证书的首选。淘宝上使用“通配符SSL证书”作为关键字搜索就可以搜到价格为一年25元人民币左右的(运气好的话甚至可以找到价格为一年5元人民币的)、AlphaSSL品牌的泛域名证书。作为一般性的建议,第一,既然DV证书用起来都一样,那末上面的建议已经完整了;第二,千万别犯傻去买那种一年几百上千,甚至近万元的DV证书,目前真的很多证书网站还在以这样的价格出售DV证书,本博客的读者应该不再会上那样的当。有钱干点什么不好?

一些小众的证书品牌

本来写到上面这一段结果,就可以结束了。但是我感觉任何时候都需要满足一个小众的需求,就是花钱买个与众不同的感觉这种需求——不差钱的主儿,往往有这种需求。

先说几个其实还是不算十分稀有的品牌,但是比起Comodo、GeoTrust、DigiCert、GlobalSign和Symantec这些大路品牌及其子品牌来说,已经算得是小众了。

一是Starfield Technologies,它提供了单域名、不支持泛域名的多域名和泛域名三种DV证书。单域名证书一年的费用也才不到8美元,想特立独行又预算不多者可考虑。这个域名可不简单,因为亚马逊的企业品牌证书就是以它为根的。

亚马逊这个证书很有意思,它虽然是继承于其他品牌的根证书,但也要给自己弄一层“根”(Amazon Root CA 1),儿皇帝也是皇帝嘛……

二是IdenTrust,这个证书说起来也是背景深厚的,正是它的根证书——Digital Signature Trust组织签发的这个证书衍生了著名的Let’s Encrypt免费证书。但是说来好笑,Let’s Encrypt并不提供OV/EV证书,但它又觉得自己的官网用个DV证书来加密又丢份儿,所以Let’s Encrypt的官网反倒用的是IdenTrust的OV证书。哎,自己的产品自己不用,这样真的好吗?

Let’s Encrypt证书可能是唯一一种没有泛域名证书也没有OV/EV证书的、完全为个人的免费证书而存在的证书品牌

三是一个Comodo的子品牌,喜欢日本文化者应该会倾向于选择它,这就是以篠咲える为代言形象的ShinoSaki品牌证书(也就是本文的特色图片里的那个可爱女生)。当然作为平民品牌Comodo的子品牌,这个证书也比较便宜,而且也是提供了单域名、不支持泛域名的多域名和泛域名三种DV证书(好像提供支持泛域名的多域名的DV证书选择不多,可能是人们都觉得这种证书的费用个人很难承担得起,并且也不愿意把这种域名范围比较容易扩张得很广泛的风险交给个人管理吧)。使用了这种证书的用户,其实就是在证书的“使用者”一项中多加了一行而已。

这种“一般人看不见而只有懂行的人看见了会心一笑”的东西,也是一种小确幸

文末,请大家了解一个事实:SSL证书虽然不是一种像女装那样有着数以十万计品牌的商品,但是品牌的数量也还是远远不止文中提到的这几个的。甚至连一些较为知名的品牌如GoDaddy都没有提,主要原因还是因为这些证书购买渠道比较狭窄,价格也没有什么竞争力。有一些证书品牌根本不提供DV证书品类(或者像Trustwave品牌的证书那样,在官网上不提供但通过代理商提供),也有一些证书品牌只提供给特别的国家和地区的个人和组织,在申请时需要提供身份证明,比如香港邮政所为香港市民提供的SSL证书。当然,像微软、谷歌和亚马逊这样的位于IT产业顶端的公司还是最不一般,它们都有自己的仅次于根证书的二级证书作为企业根证书,可以给自己的网站和应用几乎任意地颁发包含数量任意的、而且连泛域名数量也不限的证书,当然这些证书都不是DV证书,这里也只是在讨论证书品牌时讨论到这个话题。前面说过,亚马逊企业证书的根证书是Starfield Technologies的,而谷歌企业证书的根证书是GeoTrust的,微软企业证书的根证书是DigiCert的(但是是巴尔的摩区域的根证书)。

谷歌企业证书是用于它的一切服务的(包括最近推出的服务AutoDraw),目前来看它没有使用任何别的证书,相当自负
微软企业证书很有意思,它的根是个地方性的证书,这应该是个有历史痕迹的表现

当然,拥有自己的企业根证书的企业也不总是在首页使用这些证书。除谷歌以外,微软和亚马逊在官网首页仍然使用了Symantec品牌的证书,可见它在SSL证书界的江湖地位。

一个相对完整的根证书品牌列表,长度多少会令之前了解SSL证书概念却没有做过研究者吃上一惊。但无论如何,真相总比人们自以为了解的真相更复杂。这里要再次强调的是几点:并不是所有的证书品牌都提供DV证书的选项,上表中只列了主品牌没有列出子品牌(企业根证书也可以看作是一种不对外出售的子品牌)也没有列出区域品牌。很多内容都是作为一般的SSL证书知识提供的,但本文的核心在于让读者了解如何选购DV证书,如果时间有限的读者可以有空再慢慢看所有内容。

要点速记

  1. SSL证书可以分为三类:DV/OV/EV,其中DV证书仅需要验证域名所有权而无须验证企业身份信息,因而可以在线自动签发和续期,也因而是个人可以使用的唯一一种SSL证书。
  2. SSL证书按照包含的域名数量可以分为三类:单域名证书(有些单域名证书可以同时包含带www和不带www两个域名)/多域名证书/泛域名证书(泛域名证书只能验证一个级别的域名,而不能“向前”或“向后”伸缩,如*.example.com和*.test.example.com属于不同级别的证书,*.example.com不能验证形如level2subdomain.level1subdomain.example.com的域名)。多域名证书可能可以包含泛域名,也可能不可以包含泛域名。DV证书包括所有这些类型的证书。
  3. 真正免费的DV证书目前只有一种:Let’s Encrypt证书,但是使用起来需要一定的技术要求。如果完全没有技术能力,就不太能顺利地使用这种证书。之前在市场上还有两种免费DV证书:StartCom和沃通(WoSign)证书,但这两种证书目前已经被Chrome内核的浏览器彻底封杀,未来恢复信任也没有时间表,而且可能会有更多的浏览器将其封杀,请勿使用。
  4. 有些域名商或云服务商也会提供有条件的、有效时限较短的、作为服务附赠的或用作测试的免费或近乎免费的DV证书,但不像Let’s Encrypt,这种免费的DV证书一般地只提供单域名证书,而Let’s Encrypt则提供的是最多支持100个域名的多域名证书(但这100个域名中不可包括泛域名),免费的DV证书不会提供泛域名选项。
  5. 所有的DV证书的基础使用效果都是一样的,但不同品牌的DV证书的价格不同,不要以为花了更多钱买了不同品牌的DV证书,就有什么附加的效果——没有的。
  6. GoGetSSL网站提供了多个品牌的DV证书的全网最低价格(淘宝上可能偶而能找到更低的价格,但没有稳定供应),其中它自己的定牌产品——GGSSL品牌的DV证书价格最低,但该品牌没有支持泛域名的多域名选项。GoGetSSL网站提供了支持泛域名的多域名证书,是Comodo品牌,每年的价格是150美元左右,这也已经是全网的最低价格。
  7. DV泛域名证书应该去淘宝上买,可能可以找到低至每年5元人民币的AlphaSSL品牌的证书,但是每年30元到50元人民币是基本上肯定能找到的,这个价格仍然是非淘宝渠道的1/5左右。
  8. 综合3~7条,若以尽可能压低预算为目的,且不考虑偶发事件(如Symantec突然搞1元年费促销之类)来选择证书,则:
    • 如果有技术能力且不需要支持泛域名的多域名证书,应该选用Let’s Encrypt证书(年费为0);
    • 如果无技术能力且只需要单域名证书或不支持泛域名的多域名证书,应该从GoGetSSL网站选用GGSSL品牌的证书(单域名为年费5美元以内,不支持泛域名的多域名证书基础年费20美元以内且每加一个域名加8美元);
    • 如果需要泛域名证书,应该从淘宝购买(年费5到50元人民币);
    • 如果需要支持泛域名的多域名证书,应该从GoGetSSL网站选用Comodo品牌的、年费为150美元左右的证书;
    • 如果证书费用超出以上范围,唯一值得付更多钱的理由就是网站提供更好的服务,但是再好的服务也不值得让年费超过200元人民币(除了支持泛域名的多域名证书),那些把DV证书的年费标成1000元以上的供应商都在耍流氓,直接无视就可以了。
  9. SSL证书的品牌众多,如果想花点小钱买个与众不同,也未尝不可。文中也举了几个花钱怡情的例子,以及几个需要身份才能申请的证书品牌。但即使是“不求最好、但求最贵”的土豪,也要从GoGetSSL网站看一下到底这些证书值多少钱,即使花大钱最好也买个值这么多的东西。实在钱花不掉还有专门花钱移民取得身份去申请需要身份的证书的任性选项,以及专门花钱注册个企业或非盈利组织去申请OV/EV证书的升级选项,甚至可以花1000万美元以上自己成立一个CA这样的神级选项。千万不要担心在证书方面钱花不到位,多少钱都能给你花掉。当然,如果范围仅限于DV证书,那可能还真是只有移民花个百万级是最贵的。即使是Symantec品牌的DV证书,年费也不过是区区数千美元而已,这一点可能要让土豪失望了。

已发布

分类

来自

评论

《“域名验证型(Domain Validation)SSL证书选购指南”》 有 2 条评论

  1. maodei 的头像
    maodei

    专业!

  2. […] IT产业有着结构复杂的链条,一个边缘应用能够在它所在的软硬件系统上成功运行,决非表面上那般容易。举个非常简单的例子,现在的大多数网站,就不能在比较老旧的浏览器,比如Internet Explorer 8上打开。明明操作系统也能正常运行,浏览器也能正常运行,可是网站就是打不开,为什么呢?因为现在大多数的网站出于安全性考虑已经不再允许在连接时使用已经被证实存在重大安全隐患的加密通信协议——这包括SSL协议的所有版本,以及TLS协议的1.0和1.1版本——转而使用TLS协议的1.2及以上版本,而IE8只支持SSL协议的2.0和3.0版本以及TLS协议的1.0版本。更不用说,底层的HTTP协议也已经升级到了2.0版本并为大量的现代网站所采用,HTTP协议的3.0版本也已经呼之欲出,而IE8只支持HTTP协议的1.0和1.1版本。还有一个虽然不大但决非无关细要的细节,就是现代的SSL证书(是的,现在已经几乎没有人在SSL协议中使用它,但它还是叫SSL证书)分为两种类型——RSA和ECC,其背后使用了完全不同的非对称加密算法,而IE8只支持前者。只要加密通信协议版本、HTTP协议版本和SSL证书这三个条件中有一个不满足,连接都建立不起来,从而也就根本谈不上怎么解析网站内容这一步——尚未登堂,何谈入室!看到了吗?就是打开一个网站这样看起来人畜无害的事项,后面也是需要诸多的支撑条件才能成功完成。所以,类似地,有很多新的应用软件产品只能运行在新的系统软件产品上。因为在今天的遗留软件产品尚未被淘汰之时,它并不可能预见未来会添加怎么样的新功能,更不可能预见未来需要为怎么样的配套协议等做适配。因而,它们不能为那些从一开始就针对其后续版本开发的软件提供支持,也就毫不奇怪。 […]

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据