为何很多互联网巨头(Google, Amazon, Facebook, etc.)并不使用 EV 级别的 SSL 证书?
013231 · 2015-01-27 18:12:35 +08:00 · 6176 次点击这是一个创建于 3589 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
ryd994 2015-01-27 18:26:20 +08:00
EV不便宜,没必要而已吧,技术上没难度,就是换个证书而已
DV防中间人足够了。 EV主要是能防钓鱼(绿色地址栏,这样就算有人搞了个钓鱼域名还签出了证书也没用) 一般的网络服务并不需要这样的防钓鱼,能加密防中间人足够了 |
 |
2
futursolo 2015-01-27 18:40:14 +08:00
@ryd994
不对不对,主要是他们子域名太多了,买EV不能用通配符,太贵了。 所以直接发OV的通配,注意是OV不是DV。 另外,再多的EV他们也能付的起,但是他们不想用SNI来支持多证书,也不想为不同的域名配置单独的IP。 再者说了,管理这么多张证书也是个麻烦事。。。 |
 |
5
typcn 2015-01-27 19:22:12 +08:00
@futursolo 首先 Class 3 证书是有通配符的。 其次完全可以部署一张通配符证书用作默认证书,支持 SNI 的客户端在访问主域名的时候再使用 C3 证书
|
 |
6
0okmnbvcxzx 2015-01-27 19:22:24 +08:00 via Android
@BlueFly 多域!=通配符,按规定EV证书不能用通配符
|
 |
7
BlueFly 2015-01-27 19:25:15 +08:00 via Android
@0okmnbvcxzx 一样有通配符的EV证书, digicert.com 有卖
|
 |
8
azuis 2015-01-27 19:25:15 +08:00
@ryd994 谷歌用通配符的一大堆
DNS Name=*.google.com DNS Name=*.android.com DNS Name=*.appengine.google.com DNS Name=*.cloud.google.com DNS Name=*.google-analytics.com DNS Name=*.google.ca DNS Name=*.google.cl DNS Name=*.google.co.in DNS Name=*.google.co.jp DNS Name=*.google.co.uk DNS Name=*.google.com.ar DNS Name=*.google.com.au DNS Name=*.google.com.br DNS Name=*.google.com.co DNS Name=*.google.com.mx DNS Name=*.google.com.tr DNS Name=*.google.com.vn DNS Name=*.google.de DNS Name=*.google.es DNS Name=*.google.fr DNS Name=*.google.hu DNS Name=*.google.it DNS Name=*.google.nl DNS Name=*.google.pl DNS Name=*.google.pt DNS Name=*.googleadapis.com DNS Name=*.googleapis.cn DNS Name=*.googlecommerce.com DNS Name=*.googlevideo.com DNS Name=*.gstatic.cn DNS Name=*.gstatic.com DNS Name=*.gvt1.com DNS Name=*.gvt2.com DNS Name=*.metric.gstatic.com DNS Name=*.urchin.com DNS Name=*.url.google.com DNS Name=*.youtube-nocookie.com DNS Name=*.youtube.com DNS Name=*.youtubeeducation.com DNS Name=*.ytimg.com (反正他们自己就是中级CA..想发什么发什么 |
|
9
futursolo 2015-01-27 19:26:40 +08:00
@ryd994
。。。blogspot,googleusercontent,etc. 顺便给你贴一张微软的ev证书的使用者可选名称(不动请谷歌)好了。 DNS Name=login.live.com DNS Name=loginnet.passport.com DNS Name=msnia.login.live.com DNS Name=pst.microsoftpassportsupport.net DNS Name=api.login.live.com DNS Name=tools.login.live.com DNS Name=xml.login.live.com DNS Name=nexus.passport.com DNS Name=login.passport.com DNS Name=msnialogin.passport.com 其次,google在很多地方都有地方搜索,所以,它的证书的使用者可选名称是这样的: DNS Name=*.google.com DNS Name=*.android.com DNS Name=*.appengine.google.com DNS Name=*.cloud.google.com DNS Name=*.google-analytics.com DNS Name=*.google.ca DNS Name=*.google.cl DNS Name=*.google.co.in DNS Name=*.google.co.jp DNS Name=*.google.co.uk DNS Name=*.google.com.ar DNS Name=*.google.com.au DNS Name=*.google.com.br DNS Name=*.google.com.co DNS Name=*.google.com.mx DNS Name=*.google.com.tr DNS Name=*.google.com.vn DNS Name=*.google.de DNS Name=*.google.es DNS Name=*.google.fr DNS Name=*.google.hu DNS Name=*.google.it DNS Name=*.google.nl DNS Name=*.google.pl DNS Name=*.google.pt DNS Name=*.googleadapis.com DNS Name=*.googleapis.cn DNS Name=*.googlecommerce.com DNS Name=*.googlevideo.com DNS Name=*.gstatic.cn DNS Name=*.gstatic.com DNS Name=*.gvt1.com DNS Name=*.gvt2.com DNS Name=*.metric.gstatic.com DNS Name=*.urchin.com DNS Name=*.url.google.com DNS Name=*.youtube-nocookie.com DNS Name=*.youtube.com DNS Name=*.youtubeeducation.com DNS Name=*.ytimg.com DNS Name=android.com DNS Name=g.co DNS Name=goo.gl DNS Name=google-analytics.com DNS Name=google.com DNS Name=googlecommerce.com DNS Name=urchin.com DNS Name=youtu.be DNS Name=youtube.com DNS Name=youtubeeducation.com 这是使用了通配的情况下,如果把子域名全加上,列表会有多长? Q:如果是你,你会不会一张一张办证书? |
|
10
futursolo 2015-01-27 19:27:46 +08:00  1
@typcn EV是没有的,根据 CA/Browser 论坛的协定,EV不允许签发通配符证书。如果签发 EV 的通配符,是违背了 CA/Browser 的协定的(CA/Browser 是 CA 和各大浏览器厂商组成的非营利性论坛组织)。
|
|
15
futursolo 2015-01-27 20:28:50 +08:00
@typcn
不是说了嘛,管理那么多证书很麻烦。。。 其次如果对搜索单独对待的话,要么给搜索单独准备一份IP列表,要么使用SNI。单独准备IP对于CDN的部署很不利,甚至可以说是很麻烦,Google的工作人员还要处理单独的DNS记录,这都是不可取的;使用SNI的话,IE7及以下的浏览器都要被舍弃,不要说在哪里,在天朝就不合适,Windows XP的占有率仍在第一,用IE6的也大有人在。 还有,比搜索更需要EV的地方多了去了,Google Wallet,Google Cloud Platform,Google Play Store等等,为什么给搜索加?不要说那是Google主业,老外看重的是需求,也就是必要性。再说,Google都有中级证书颁发机构了,发什么不行,只要看一下不是Google Internet Authority G2发的,一律都是伪造,不发EV也肯定有他们的考虑,Google的人不敢说多聪明,但是一定不傻。CA都买了还不发EV,这肯定是经过多轮论证的,而且拉里·佩奇肯定知情。 |
 |
16
seki 2015-01-27 20:39:11 +08:00
MS 才是各种乱,有 MS 自己给自己签的,https://insider.windows.com/ https://www.bing.com/
还有不同的自己给自己签的,https://azure.microsoft.com/zh-cn/ 也有 verisign 签的和 symentec 签的(虽然这两家是一家人) EV, https://www.microsoft.com ,https://login.live.com/ |
|
17
typcn 2015-01-27 20:49:15 +08:00
|
 |
18
sumhat 2015-01-27 22:34:01 +08:00
EV 和普通的证书提供的安全性是一样的,加上 EV 无非是在地址栏上好看一点。对于访问 Google 来说,地址栏上已经有 google.com,多加一个 google.com 完全没有意义。
|
 |
19
aaronlam 2015-01-27 23:09:29 +08:00 via iPad
EV貌似就是增加品牌识别度吧?
|
 |
21
SharkIng 2015-01-27 23:18:10 +08:00
好像是不是他们这种自己能签的不能直接签EV?
|
 |
23
andybest 2015-01-28 00:07:40 +08:00
我用 IE 10.0.11,怎么访问任何一个 https 站点都没见过地址栏全部是绿色的?
谁给个 EV 级地址栏通绿的域名测试下? |
 |
24
wdlth 2015-01-28 00:17:38 +08:00
本来FB有EV的,但是不知为何不上了。
|
 |
25
vibbow 2015-01-28 07:23:20 +08:00 1
|
 |
26
xoxo 2015-01-28 09:34:25 +08:00
不关SNI的事
而是巨头公司有很多需要使用泛域名的场景, 所以就不能用EV。 |
Select Language