SSL证书
SSL和HTTPS的工作机制就不多说了, 密钥交换加通道依然是非常靠谱的安全访问方式, 除非你的浏览器连证书和DNS都被劫持, 否则中间节点要解密/篡改HTTPS访问的可能性微乎其微. 现在的主流浏览器都会将非HTTPS的浏览器访问明确标识为不安全, 所以证书几乎是网站必备了.
按验证等级分类
- DV SSL: domain validation certificate, 校验域名有效性, 即使用此域名的主体(人或者机构), 是否与申请此证书的主体一致
- OV SSL: organization validation certificate, 校验机构有效性, 不仅包含DV的验证, 还包含发证机构对此主体的真实性的认证(传真企业证照信息,打电话确认等)
- EV SSL: enterprise valication certificate, 企业增强型SSL证书,确保域名和企业关系
按域名的方式分类
- 单域名匹配: 就是域名字符串要完全一致, 用于匹配单个域名
- 通配符匹配: 允许有一个
*号, 注意只能是一个域名段的通配, 例如*.github.com可以匹配a.github.com,b.github.com, 但是不能匹配a.b.github.com, 如果要对这个匹配, 要购买*.b.github.com的通配证书 - 多域名严格匹配: 这个其实就是严格匹配的复数版本, 单独列一个是因为有些服务商会把这个作为一个类型进行销售
常用服务商:
- Comodo(Sectigo)
- GeoTrust Digicert旗下的子品牌
- Rapid Digicert旗下的子品牌
- Thawte Digicert旗下的子品牌
- DigiCert 原属于Symantec, 全球最大的SSL证书服务商
- GlobalSign 较多用于国际电子商务网站
- Let's Encrypt 可以用脚本自动续期的免费证书, 周期90天
- CFCA 国内证书服务商
- vTrus 国内服务商
- WoSign 沃通, 国内服务商
常用零售商:
- 虚拟主机服务商
- 云服务商
- 域名服务商
证书可能通过GoDaddy, 阿里云, 腾讯云等各种平台购买, 但是背后的证书服务商总共就是那么几个, 都是一样的.
免费证书
- Digicert 单域名证书
- Let's Encrypt 通配符证书
收费证书
按类型, 证书等级和服务商的当前价格列表供参考, 不同时间价格可能有变动, 价格区分变化不大
- 单域名
- DV SSL
- GeoTrust 378
- GlobalSign 2,000
- vTrus 1,200
- WoSign 880
- OV SSL
- DigiCert 5,000
- DigiCert Pro 8,000
- GeoTrust 2,600
- GlobalSign 3,800
- CFCA 4,000
- vTrus 4,000
- EV SSL
- DigiCert 8,000
- DigiCert Pro 12,800
- GenTrust 5,000
- CFCA 10,000
- DV SSL
- 通配符
- DV SSL
- DigiCert 2,000
- GeoTrust 1,500
- GlobalSign 7,000
- WoSign 2,600
- vTrus 3,000
- OV SSL
- DigiCert 40,000
- GeoTrust 7,000
- GlobalSign 13,000
- CFCA 15,000
- vTrus 12,000
- DV SSL
实际使用
证书的选择标准, 就是在覆盖产品的使用场景要求的前提下, 选择1)响应速度最快的,2)价格最便宜的,3)续期最方便的
- 涉及跨境交易业务, 使用GlobalSign. 如果使用其他服务商的证书, 不能确保不被其他国家的支付工具拦截(或提示风险)
- 除非监管要求或业务特性要求, 不必使用高等级的验证
- 个人以及非经营性网站, 可以使用免费的DigiCert, 通过阿里云等云服务商申请非常方便
- 不推荐 Let's Encrypt 虽然免费, 但是不好用. 90天的期限太短, 而自动续期脚本并非一直可用, 服务商调整服务后, 脚本要更新才能继续用, 非常坑.
- 用户仅限于国内的经营性网站, 可以使用便宜的国内证书服务商
- 通过云服务商去购买, 比自己去这些服务商官网购买, 会有更多折扣