这是一个创建于 1394 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,就像 Let's Encrypt 用的就挺好的呀,虽然只有三个月,但设置好自动续期就不用管了。反而收费证书要定期续费,而且好像也没什么优势,免费的都能好好用,没有遇到过问题。
挺纳闷的,求解!
 |
1
chuckzhou 2021-01-12 18:33:24 +08:00
以前有区别,从 2019 年 8 月开始,没有了。
|
 |
2
shpasspass 2021-01-12 18:36:36 +08:00
@chuckzhou 2019 年 8 月开始发生什么事情了?
|
 |
3
captain2011 2021-01-12 18:40:30 +08:00  1
市面上有免费的 SSL 证书和付费的 SSL 证书,他们之间有什么差别呢?
SSL 证书分为 OV 型(组织性)、DV 型(域名型)、和 EV 型(增强型)这三种类型。 OV 型证书的时候,是要网站提交身份的资质文件(营业执照了、身份证、组织机构代码证等等),并且经过人工审核成功后才会颁发,安全系数高。 EV 型证书的话,在此之前的基础上还加上律师函的审核,,安全系数极高。 DV 型证书就简单的多了,只要通过程序自动匹配申请人或或者机构信息和所申请的域名信息,匹配一致就可以获得证书了,这个是不需要人工去审核的,但是对申请人身份信息的真实性、申请机构是否经过合法注册等问题是有所忽视的。由于在审核的过程中是机器审核的而不是人工审核的,DV 证书的成本是很低的,可以作为免费的证书来发放的。 免费 SSL 证书的弊端? 1 、免费 SSL 证书只能绑定单个域名,不支持多个域名和通配符域名等,如果你有多个服务器或多个域名,免费 SSL 证书是满足不了需求的。 2 、免费 SSL 证书没有责任担保,而申请付费 SSL 证书可以获得更好的责任担保,比如付费的 SSL 证书最高可提供 175 万美元的安全保障,对涉及交易的电子商务网站这个是非常重要的。 3 、免费 SSL 证书无法申请企业验证(OV)和扩展验证(EV)类型。实际上,OV 和 EV 证书的安全性更强,其中 EV 证书成功申请后,还能在浏览器地址栏中出现企业名称,信任度更高,这些免费 SSL 证书都是无法做到的。 4 、免费 SSL 证书的有效期比较短,可能三个月就要更新一次,到期后还要再申请,比较麻烦。 5 、免费 SSL 证书是不会提供后期服务和技术支持的,所有的申请和安装流程都得由用户自己操作。如果是个人网站,可以申请免费的 SSL 证书测试;如果是企业或交易类网站,建议付费申请由权威 CA 机构颁发的 SSL 证书,毕竟验证服务器及组织身份后颁发的 SSL 证书更安全、更可靠! |
 |
4
foMM 2021-01-12 18:44:37 +08:00
对于个人用户来说区别不大,企业来说区别还是很大的
|
 |
5
tiramice 2021-01-12 18:47:01 +08:00 via iPhone 19
|
 |
6
mcone 2021-01-12 18:48:31 +08:00
对个人来说没区别,特别是配合 acme 基本能做到无感了
|
 |
7
baomoe 2021-01-12 18:56:33 +08:00 3
主要是花钱和不花钱的区别
|
 |
8
lookookok 2021-01-12 19:01:20 +08:00
有点区别:
1 、老牌证书颁发机构的根证书内置系统比较早,对于比较古老的(百度、淘宝用的 GlobalSign 的根证书 1998 年签发的,原则上不打补丁的 XP 都没兼容性问题)系统能支持的好。 2 、某免费证书的 OSCP 服务器间歇性的抽风被屏蔽,IE 和 Chrome 第一次验证书有时候会卡那么几秒钟。 别的没啥区别了。本质上就是一个身份验证签名。 |
 |
9
Tumblr 2021-01-12 19:08:51 +08:00
截止目前没看到说到点子上的。
1. 最关键的,如果出了问题,担保金额不同。免费证书(比如 let's encyrpt )我记得是没有保额的,即使证书被 crack 了,也只能自己去买彩票来弥补,但收费证书都有一定的保额。 2. 范围不同。目前的免费证书一般只提供 DV (域名验证),OV 和 EV 的都没看到有提供的。 3. 周期不同。免费证书一般是几十天到一年,收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。 不过最后一条没太大意义,免费的一般都有自动续期的方案,相比收费版在维护上更简单。 |
|
12
tiramice 2021-01-12 19:45:33 +08:00 via iPhone
@Tumblr 另外,你的这个图里也是不显示的状态,显示的话是下面这个样子
https://i.loli.net/2021/01/12/Cv4KGLX2qnQsg1N.jpg?width=1047&height=155 |
 |
13
manami 2021-01-12 19:48:11 +08:00 via Android
以前 12306 使用自签证书。。。
|
 |
14
love 2021-01-12 19:58:54 +08:00
@lookookok 用 Lets 的话要做 OCSP stapling,网站放在国外的话一行 nginx 配置就行,放国内的话要加个小代理软件(有开源的
|
 |
18
crab 2021-01-12 21:47:31 +08:00
涉及钱的平台用收费的证书感觉会踏实可靠点。(自我安慰)
|
 |
19
natashahollyz 2021-01-13 00:28:12 +08:00 via iPhone
对于个人没有任何区别
企业如果用免费的会让人笑话(不在意那也无所谓 |
 |
20
Lemeng 2021-01-13 00:46:53 +08:00
没区别吧。企业?个人?
|
 |
21
ETiV 2021-01-13 00:46:56 +08:00
@Tumblr
对于「收费的可以申请 2 年的(证书合同可以签 3 年或 5 年,但是证书 2 年签发一次)。」 iOS 推出了这么一项政策,证书最大有效期约 13 个月,所以签发还是得 1 年 1 次。 https://support.apple.com/en-us/HT211025 |
 |
22
shiji 2021-01-13 01:01:37 +08:00
安全性(加密算法角度) 自签 = 免费 = 收费 因为算法没什么问题,大家用的都一样
安全性(系统宏观角度) 自签 < 免费 <= 收费 因为自签基本不会遵循 PKI 规范。也不会架设服务器用于 crl 和 ocsp 之类的,对吧,私钥丢了就换,吊销个毛线。 至于 DV OV EV, 如果用户用的浏览器是你自己编译的,你可以随意指定 EV (绿标) CA 。 想让谁绿,谁就能绿。 收费的价值相当于买保险。大型企业要转移风险。假设某证书签发公司的 CA 证书私钥,被技术总监的小舅子喝酒划拳赢了拷贝走了。 结果用于山寨网站 /MITM/等等 给客户造成了经济损失,是要赔钱的。 |
 |
23
Showfom 2021-01-13 01:20:44 +08:00 1
免费的是没有保障的,它可以随时回收你证书,或者他 CA 被泄露了也没有任何补偿
收费的可以一年证书,而且你付了钱,商业 CA 都有保险,出问题是可以赔钱的 安全性上面,没啥区别 |
 |
25
cominghome 2021-01-13 08:43:38 +08:00
日常使用不会有什么差别,但是企业用最好是付费,带协议的那种。
出了事索赔放一边,关键是相比免费的相对靠谱(免费的没记错都有一堆免责协议)。 另外,多域名证书现在还没发现有免费的。 |
|
26
Tumblr 2021-01-13 09:03:35 +08:00
@ETiV #21 感谢分享~ 看来我的信息不够新。
我的信息还停留在 2018 年和 digicert 买证书时的阶段~ 他们说以前可以买 3 年甚至更长时间的,但是现在(当时)最长只能 24 个月了(为了给用户提供更换窗口,他们会签 25 个月,但合同里以 24 个月计)。 |
 |
27
ruixue 2021-01-13 09:19:08 +08:00
@cominghome Let's Encrypt 支持多域名,一张证书最多可以包含 100 个域名
|
 |
28
leafre 2021-01-13 09:46:00 +08:00
有个问题,自签 客户端如何拿到公钥?
|
 |
29
xmsz 2021-12-29 14:31:13 +08:00
免费证书真的能省下一大笔钱,特别是泛域名的情况,一个域名一年好几千
正常使用下理论上没什么特别大的区别 无非就是每 3 个月定时更新一下,问题也不是很大 还是蛮推荐是使用免费域名证书的 |
Select Language