V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
LUREN
V2EX  ›  问与答

免费和收费 SSL 证书有什么不同吗?没看到优缺点

  •  
  •   LUREN · 2021-01-12 17:28:57 +08:00 · 4709 次点击
    这是一个创建于 1416 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,就像 Let's Encrypt 用的就挺好的呀,虽然只有三个月,但设置好自动续期就不用管了。反而收费证书要定期续费,而且好像也没什么优势,免费的都能好好用,没有遇到过问题。

    挺纳闷的,求解!

    29 条回复    2021-12-29 14:31:13 +08:00
    chuckzhou
        1
    chuckzhou  
       2021-01-12 18:33:24 +08:00
    以前有区别,从 2019 年 8 月开始,没有了。
    shpasspass
        2
    shpasspass  
       2021-01-12 18:36:36 +08:00
    @chuckzhou 2019 年 8 月开始发生什么事情了?
    captain2011
        3
    captain2011  
       2021-01-12 18:40:30 +08:00   ❤️ 1
    市面上有免费的 SSL 证书和付费的 SSL 证书,他们之间有什么差别呢?

    SSL 证书分为 OV 型(组织性)、DV 型(域名型)、和 EV 型(增强型)这三种类型。

    OV 型证书的时候,是要网站提交身份的资质文件(营业执照了、身份证、组织机构代码证等等),并且经过人工审核成功后才会颁发,安全系数高。

    EV 型证书的话,在此之前的基础上还加上律师函的审核,,安全系数极高。

    DV 型证书就简单的多了,只要通过程序自动匹配申请人或或者机构信息和所申请的域名信息,匹配一致就可以获得证书了,这个是不需要人工去审核的,但是对申请人身份信息的真实性、申请机构是否经过合法注册等问题是有所忽视的。由于在审核的过程中是机器审核的而不是人工审核的,DV 证书的成本是很低的,可以作为免费的证书来发放的。

    免费 SSL 证书的弊端?

    1 、免费 SSL 证书只能绑定单个域名,不支持多个域名和通配符域名等,如果你有多个服务器或多个域名,免费 SSL 证书是满足不了需求的。

    2 、免费 SSL 证书没有责任担保,而申请付费 SSL 证书可以获得更好的责任担保,比如付费的 SSL 证书最高可提供 175 万美元的安全保障,对涉及交易的电子商务网站这个是非常重要的。

    3 、免费 SSL 证书无法申请企业验证(OV)和扩展验证(EV)类型。实际上,OV 和 EV 证书的安全性更强,其中 EV 证书成功申请后,还能在浏览器地址栏中出现企业名称,信任度更高,这些免费 SSL 证书都是无法做到的。

    4 、免费 SSL 证书的有效期比较短,可能三个月就要更新一次,到期后还要再申请,比较麻烦。

    5 、免费 SSL 证书是不会提供后期服务和技术支持的,所有的申请和安装流程都得由用户自己操作。如果是个人网站,可以申请免费的 SSL 证书测试;如果是企业或交易类网站,建议付费申请由权威 CA 机构颁发的 SSL 证书,毕竟验证服务器及组织身份后颁发的 SSL 证书更安全、更可靠!
    foMM
        4
    foMM  
       2021-01-12 18:44:37 +08:00
    对于个人用户来说区别不大,企业来说区别还是很大的
    tiramice
        5
    tiramice  
       2021-01-12 18:47:01 +08:00 via iPhone   ❤️ 19
    @captain2011 你的信息过时了。
    你所谓的弊端:
    1. 早就支持通配符了
    2. 没卵用
    3. 浏览器早就不显示 EV 证书了,没卵用
    4. 自动续期就行了
    5. 没卵用
    mcone
        6
    mcone  
       2021-01-12 18:48:31 +08:00
    对个人来说没区别,特别是配合 acme 基本能做到无感了
    baomoe
        7
    baomoe  
       2021-01-12 18:56:33 +08:00   ❤️ 3
    主要是花钱和不花钱的区别
    lookookok
        8
    lookookok  
       2021-01-12 19:01:20 +08:00
    有点区别:

    1 、老牌证书颁发机构的根证书内置系统比较早,对于比较古老的(百度、淘宝用的 GlobalSign 的根证书 1998 年签发的,原则上不打补丁的 XP 都没兼容性问题)系统能支持的好。
    2 、某免费证书的 OSCP 服务器间歇性的抽风被屏蔽,IE 和 Chrome 第一次验证书有时候会卡那么几秒钟。

    别的没啥区别了。本质上就是一个身份验证签名。
    Tumblr
        9
    Tumblr  
       2021-01-12 19:08:51 +08:00
    截止目前没看到说到点子上的。
    1. 最关键的,如果出了问题,担保金额不同。免费证书(比如 let's encyrpt )我记得是没有保额的,即使证书被 crack 了,也只能自己去买彩票来弥补,但收费证书都有一定的保额。
    2. 范围不同。目前的免费证书一般只提供 DV (域名验证),OV 和 EV 的都没看到有提供的。
    3. 周期不同。免费证书一般是几十天到一年,收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。

    不过最后一条没太大意义,免费的一般都有自动续期的方案,相比收费版在维护上更简单。
    Tumblr
        10
    Tumblr  
       2021-01-12 19:15:29 +08:00   ❤️ 1
    @tiramice #5 只是有些浏览器地址栏上不显示而已,并不是浏览器不显示。
    tiramice
        11
    tiramice  
       2021-01-12 19:41:12 +08:00 via iPhone
    @Tumblr 地址栏不显示,主流的 Chrome,Firefox,Safari 都不显示了
    tiramice
        12
    tiramice  
       2021-01-12 19:45:33 +08:00 via iPhone
    @Tumblr 另外,你的这个图里也是不显示的状态,显示的话是下面这个样子
    https://i.loli.net/2021/01/12/Cv4KGLX2qnQsg1N.jpg?width=1047&height=155
    manami
        13
    manami  
       2021-01-12 19:48:11 +08:00 via Android
    以前 12306 使用自签证书。。。
    love
        14
    love  
       2021-01-12 19:58:54 +08:00
    @lookookok 用 Lets 的话要做 OCSP stapling,网站放在国外的话一行 nginx 配置就行,放国内的话要加个小代理软件(有开源的
    Tumblr
        15
    Tumblr  
       2021-01-12 20:18:51 +08:00   ❤️ 1
    @tiramice #12 所以我说**只是地址栏不显示**而已,并不是不显示。
    jerryrib
        16
    jerryrib  
       2021-01-12 20:46:35 +08:00
    @manami 确实 想一次笑一次
    ooh
        17
    ooh  
       2021-01-12 21:45:29 +08:00
    @manami 发票查验平台就是自签证书
    crab
        18
    crab  
       2021-01-12 21:47:31 +08:00
    涉及钱的平台用收费的证书感觉会踏实可靠点。(自我安慰)
    natashahollyz
        19
    natashahollyz  
       2021-01-13 00:28:12 +08:00 via iPhone
    对于个人没有任何区别
    企业如果用免费的会让人笑话(不在意那也无所谓
    Lemeng
        20
    Lemeng  
       2021-01-13 00:46:53 +08:00
    没区别吧。企业?个人?
    ETiV
        21
    ETiV  
       2021-01-13 00:46:56 +08:00
    @Tumblr

    对于「收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。」
    iOS 推出了这么一项政策,证书最大有效期约 13 个月,所以签发还是得 1 年 1 次。

    https://support.apple.com/en-us/HT211025
    shiji
        22
    shiji  
       2021-01-13 01:01:37 +08:00
    安全性(加密算法角度) 自签 = 免费 = 收费 因为算法没什么问题,大家用的都一样
    安全性(系统宏观角度) 自签 < 免费 <= 收费 因为自签基本不会遵循 PKI 规范。也不会架设服务器用于 crl 和 ocsp 之类的,对吧,私钥丢了就换,吊销个毛线。


    至于 DV OV EV, 如果用户用的浏览器是你自己编译的,你可以随意指定 EV (绿标) CA 。 想让谁绿,谁就能绿。

    收费的价值相当于买保险。大型企业要转移风险。假设某证书签发公司的 CA 证书私钥,被技术总监的小舅子喝酒划拳赢了拷贝走了。 结果用于山寨网站 /MITM/等等 给客户造成了经济损失,是要赔钱的。
    Showfom
        23
    Showfom  
       2021-01-13 01:20:44 +08:00   ❤️ 1
    免费的是没有保障的,它可以随时回收你证书,或者他 CA 被泄露了也没有任何补偿

    收费的可以一年证书,而且你付了钱,商业 CA 都有保险,出问题是可以赔钱的

    安全性上面,没啥区别
    chotow
        24
    chotow  
       2021-01-13 08:20:05 +08:00
    @lookookok #8 @love #14
    现在有新证书了,比如 R3,新的 OCSP 地址,目前可以正常访问。
    cominghome
        25
    cominghome  
       2021-01-13 08:43:38 +08:00
    日常使用不会有什么差别,但是企业用最好是付费,带协议的那种。
    出了事索赔放一边,关键是相比免费的相对靠谱(免费的没记错都有一堆免责协议)。

    另外,多域名证书现在还没发现有免费的。
    Tumblr
        26
    Tumblr  
       2021-01-13 09:03:35 +08:00
    @ETiV #21 感谢分享~ 看来我的信息不够新。
    我的信息还停留在 2018 年和 digicert 买证书时的阶段~ 他们说以前可以买 3 年甚至更长时间的,但是现在(当时)最长只能 24 个月了(为了给用户提供更换窗口,他们会签 25 个月,但合同里以 24 个月计)。
    ruixue
        27
    ruixue  
       2021-01-13 09:19:08 +08:00
    @cominghome Let's Encrypt 支持多域名,一张证书最多可以包含 100 个域名
    leafre
        28
    leafre  
       2021-01-13 09:46:00 +08:00
    有个问题,自签 客户端如何拿到公钥?
    xmsz
        29
    xmsz  
       2021-12-29 14:31:13 +08:00
    免费证书真的能省下一大笔钱,特别是泛域名的情况,一个域名一年好几千
    正常使用下理论上没什么特别大的区别

    无非就是每 3 个月定时更新一下,问题也不是很大

    还是蛮推荐是使用免费域名证书的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1205 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:38 · PVG 02:38 · LAX 10:38 · JFK 13:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.