未分類
10 1 月 2021

免费和收费 SSL 证书有什么不同吗?没看到优缺点

免费和收费 SSL 证书有什么不同吗?没看到优缺点

資深大佬 : LUREN 6

如题,就像 Let’s Encrypt 用的就挺好的呀,虽然只有三个月,但设置好自动续期就不用管了。反而收费证书要定期续费,而且好像也没什么优势,免费的都能好好用,没有遇到过问题。

挺纳闷的,求解!

大佬有話說 (28)

  • 資深大佬 : chuckzhou

    以前有区别,从 2019 年 8 月开始,没有了。

  • 資深大佬 : shpasspass

    @chuckzhou 2019 年 8 月开始发生什么事情了?

  • 資深大佬 : captain2011

    市面上有免费的 SSL 证书和付费的 SSL 证书,他们之间有什么差别呢?

    SSL 证书分为 OV 型(组织性)、DV 型(域名型)、和 EV 型(增强型)这三种类型。

    OV 型证书的时候,是要网站提交身份的资质文件(营业执照了、身份证、组织机构代码证等等),并且经过人工审核成功后才会颁发,安全系数高。

    EV 型证书的话,在此之前的基础上还加上律师函的审核,,安全系数极高。

    DV 型证书就简单的多了,只要通过程序自动匹配申请人或或者机构信息和所申请的域名信息,匹配一致就可以获得证书了,这个是不需要人工去审核的,但是对申请人身份信息的真实性、申请机构是否经过合法注册等问题是有所忽视的。由于在审核的过程中是机器审核的而不是人工审核的,DV 证书的成本是很低的,可以作为免费的证书来发放的。

    免费 SSL 证书的弊端?

    1 、免费 SSL 证书只能绑定单个域名,不支持多个域名和通配符域名等,如果你有多个服务器或多个域名,免费 SSL 证书是满足不了需求的。

    2 、免费 SSL 证书没有责任担保,而申请付费 SSL 证书可以获得更好的责任担保,比如付费的 SSL 证书最高可提供 175 万美元的安全保障,对涉及交易的电子商务网站这个是非常重要的。

    3 、免费 SSL 证书无法申请企业验证(OV)和扩展验证(EV)类型。实际上,OV 和 EV 证书的安全性更强,其中 EV 证书成功申请后,还能在浏览器地址栏中出现企业名称,信任度更高,这些免费 SSL 证书都是无法做到的。

    4 、免费 SSL 证书的有效期比较短,可能三个月就要更新一次,到期后还要再申请,比较麻烦。

    5 、免费 SSL 证书是不会提供后期服务和技术支持的,所有的申请和安装流程都得由用户自己操作。如果是个人网站,可以申请免费的 SSL 证书测试;如果是企业或交易类网站,建议付费申请由权威 CA 机构颁发的 SSL 证书,毕竟验证服务器及组织身份后颁发的 SSL 证书更安全、更可靠!

  • 資深大佬 : foMM

    对于个人用户来说区别不大,企业来说区别还是很大的

  • 資深大佬 : tiramice

    @captain2011 你的信息过时了。
    你所谓的弊端:
    1. 早就支持通配符了
    2. 没卵用
    3. 浏览器早就不显示 EV 证书了,没卵用
    4. 自动续期就行了
    5. 没卵用

  • 資深大佬 : mcone

    对个人来说没区别,特别是配合 acme 基本能做到无感了

  • 資深大佬 : baomoe

    主要是花钱和不花钱的区别

  • 資深大佬 : lookookok

    有点区别:

    1 、老牌证书颁发机构的根证书内置系统比较早,对于比较古老的(百度、淘宝用的 GlobalSign 的根证书 1998 年签发的,原则上不打补丁的 XP 都没兼容性问题)系统能支持的好。
    2 、某免费证书的 OSCP 服务器间歇性的抽风被屏蔽,IE 和 Chrome 第一次验证书有时候会卡那么几秒钟。

    别的没啥区别了。本质上就是一个身份验证签名。

  • 資深大佬 : Tumblr

    截止目前没看到说到点子上的。
    1. 最关键的,如果出了问题,担保金额不同。免费证书(比如 let’s encyrpt )我记得是没有保额的,即使证书被 crack 了,也只能自己去买彩票来弥补,但收费证书都有一定的保额。
    2. 范围不同。目前的免费证书一般只提供 DV (域名验证),OV 和 EV 的都没看到有提供的。
    3. 周期不同。免费证书一般是几十天到一年,收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。

    不过最后一条没太大意义,免费的一般都有自动续期的方案,相比收费版在维护上更简单。

  • 資深大佬 : Tumblr

    @tiramice #5 只是有些浏览器地址栏上不显示而已,并不是浏览器不显示。
    免费和收费 SSL 证书有什么不同吗?没看到优缺点

  • 資深大佬 : tiramice

    @Tumblr 地址栏不显示,主流的 Chrome,Firefox,Safari 都不显示了

  • 資深大佬 : tiramice

    @Tumblr 另外,你的这个图里也是不显示的状态,显示的话是下面这个样子
    https://i.loli.net/2021/01/12/Cv4KGLX2qnQsg1N.jpg?width=1047&height=155

  • 資深大佬 : manami

    以前 12306 使用自签证书。。。

  • 資深大佬 : love

    @lookookok 用 Lets 的话要做 OCSP stapling,网站放在国外的话一行 nginx 配置就行,放国内的话要加个小代理软件(有开源的

  • 資深大佬 : Tumblr

    @tiramice #12 所以我说**只是地址栏不显示**而已,并不是不显示。

  • 資深大佬 : jerryrib

    @manami 确实 想一次笑一次

  • 資深大佬 : ooh

    @manami 发票查验平台就是自签证书

  • 資深大佬 : crab

    涉及钱的平台用收费的证书感觉会踏实可靠点。(自我安慰)

  • 資深大佬 : natashahollyz

    对于个人没有任何区别
    企业如果用免费的会让人笑话(不在意那也无所谓

  • 資深大佬 : Lemeng

    没区别吧。企业?个人?

  • 資深大佬 : ETiV

    @Tumblr

    对于「收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。」
    iOS 推出了这么一项政策,证书最大有效期约 13 个月,所以签发还是得 1 年 1 次。

    https://support.apple.com/en-us/HT211025

  • 資深大佬 : shiji

    安全性(加密算法角度) 自签 = 免费 = 收费 因为算法没什么问题,大家用的都一样
    安全性(系统宏观角度) 自签 < 免费 <= 收费 因为自签基本不会遵循 PKI 规范。也不会架设服务器用于 crl 和 ocsp 之类的,对吧,私钥丢了就换,吊销个毛线。

    至于 DV OV EV, 如果用户用的浏览器是你自己编译的,你可以随意指定 EV (绿标) CA 。 想让谁绿,谁就能绿。

    收费的价值相当于买保险。大型企业要转移风险。假设某证书签发公司的 CA 证书私钥,被技术总监的小舅子喝酒划拳赢了拷贝走了。 结果用于山寨网站 /MITM/等等 给客户造成了经济损失,是要赔钱的。

  • 資深大佬 : Showfom

    免费的是没有保障的,它可以随时回收你证书,或者他 CA 被泄露了也没有任何补偿

    收费的可以一年证书,而且你付了钱,商业 CA 都有保险,出问题是可以赔钱的

    安全性上面,没啥区别

  • 資深大佬 : chotow

    @lookookok #8 @love #14
    现在有新证书了,比如 R3,新的 OCSP 地址,目前可以正常访问。

  • 資深大佬 : cominghome

    日常使用不会有什么差别,但是企业用最好是付费,带协议的那种。
    出了事索赔放一边,关键是相比免费的相对靠谱(免费的没记错都有一堆免责协议)。

    另外,多域名证书现在还没发现有免费的。

  • 資深大佬 : Tumblr

    @ETiV #21 感谢分享~ 看来我的信息不够新。
    我的信息还停留在 2018 年和 digicert 买证书时的阶段~ 他们说以前可以买 3 年甚至更长时间的,但是现在(当时)最长只能 24 个月了(为了给用户提供更换窗口,他们会签 25 个月,但合同里以 24 个月计)。

  • 資深大佬 : ruixue

    @cominghome Let’s Encrypt 支持多域名,一张证书最多可以包含 100 个域名

  • 資深大佬 : leafre

    有个问题,自签 客户端如何拿到公钥?