你還在用免費SSL證書嗎？

如今，越來越多的網站開始選擇申請SSL證書對使用者隐私和資料安全加以保護，而免費SSL證書的出現則讓很多網站營運者偷偷樂了一把。 但這樣的免費午餐是不是真的占到了便宜呢？

免費SSL證書往往通過程式自動比對申請人或機構資訊和所申請的域名資訊，隻要比對一緻就能獲得證書，不需要人工稽核。這類證書隻能驗證域名所有權，無法對組織進行驗證，即無法驗證伺服器身份，是以留下了很大的安全漏洞和隐患。

黑客隻需驗證域名資訊就能輕松獲得證書，進而為自己披上看似可信的外衣。而此時的https仍可起到加密傳輸的作用，但資訊傳輸的目的卻由真實網站的伺服器變成了黑客的“釣魚”伺服器，資訊加密也就如同皇帝的新衣，黑客抓取使用者敏感資訊就變得探囊取物般輕而易舉。

除了黑客“釣魚”的風險外，免費SSL證書在使用時還有諸多限制。

比如：免費證書隻能綁定單個域名、不支援通配符域名等。同樣的，這類“免費的午餐”相關服務也會大打折扣，大多數免費的SSL證書都由使用者自行安裝，無法提供後期服務和技術支援，在證書遇到問題時，也無法及時得到解決。另外，某些品牌的免費SSL證書有效期過短，每三個月就要更新一次，到期後還要自己申請，很多使用者很容易就會忘記續期。

是以，在目前免費證書身份驗證機制還不完善的情況下，天威誠信建議您出于對使用者、網站自身安全的考量，管理者應避免使用免費SSL證書，尤其是大型企業或機構網站、涉及使用者隐私及金融交易的電商類平台更不能選擇“免費的午餐”。

如果網站安裝了Digicert/Geotrust頒發的OV或EV型SSL證書，當你點選位址欄中的鎖型圖示時，顯示網站身份經DigiCert認證，說明該網站證書、身份真實可靠。

總的來說，免費SSL證書雖然申請流程簡單，但僅支援加密功能，無法驗證伺服器身份，由此引發的潛在威脅較大，并不建議企業機構采用。