SSL證書
SSL和HTTPS的工作機制就不多說了, 密鑰交換加通道依然是非常靠譜的安全通路方式, 除非你的浏覽器連證書和DNS都被劫持, 否則中間節點要解密/篡改HTTPS通路的可能性微乎其微. 現在的主流浏覽器都會将非HTTPS的浏覽器通路明确辨別為不安全, 是以證書幾乎是網站必備了.
按驗證等級分類
- DV SSL: domain validation certificate, 校驗域名有效性, 即使用此域名的主體(人或者機構), 是否與申請此證書的主體一緻
- OV SSL: organization validation certificate, 校驗機構有效性, 不僅包含DV的驗證, 還包含發證機構對此主體的真實性的認證(傳真企業證照資訊,打電話确認等)
- EV SSL: enterprise valication certificate, 企業增強型SSL證書,確定域名和企業關系
按域名的方式分類
- 單域名比對: 就是域名字元串要完全一緻, 用于比對單個域名
- 通配符比對: 允許有一個
号, 注意隻能是一個域名段的通配, 例如*
可以比對*.github.com
,a.github.com
, 但是不能比對b.github.com
, 如果要對這個比對, 要購買a.b.github.com
的通配證書*.b.github.com
- 多域名嚴格比對: 這個其實就是嚴格比對的複數版本, 單獨列一個是因為有些服務商會把這個作為一個類型進行銷售
常用服務商:
- Comodo(Sectigo)
- GeoTrust Digicert旗下的子品牌
- Rapid Digicert旗下的子品牌
- Thawte Digicert旗下的子品牌
- DigiCert 原屬于Symantec, 全球最大的SSL證書服務商
- GlobalSign 較多用于國際電子商務網站
- Let's Encrypt 可以用腳本自動續期的免費證書, 周期90天
- CFCA 國内證書服務商
- vTrus 國内服務商
- WoSign 沃通, 國内服務商
常用零售商:
- 虛拟主機服務商
- 雲服務商
- 域名服務商
免費證書
- Digicert 單域名證書
- Let's Encrypt 通配符證書
收費證書
- 單域名
- DV SSL
- GeoTrust 378
- GlobalSign 2,000
- vTrus 1,200
- WoSign 880
- OV SSL
- DigiCert 5,000
- DigiCert Pro 8,000
- GeoTrust 2,600
- GlobalSign 3,800
- CFCA 4,000
- vTrus 4,000
- EV SSL
- DigiCert 8,000
- DigiCert Pro 12,800
- GenTrust 5,000
- CFCA 10,000
- DV SSL
- 通配符
- DV SSL
- DigiCert 2,000
- GeoTrust 1,500
- GlobalSign 7,000
- WoSign 2,600
- vTrus 3,000
- OV SSL
- DigiCert 40,000
- GeoTrust 7,000
- GlobalSign 13,000
- CFCA 15,000
- vTrus 12,000
- DV SSL
實際使用
- 涉及跨境交易業務, 使用GlobalSign. 如果使用其他服務商的證書, 不能確定不被其他國家的支付工具攔截(或提示風險)
- 除非監管要求或業務特性要求, 不必使用高等級的驗證
- 個人以及非經營性網站, 可以使用免費的DigiCert, 通過阿裡雲等雲服務商申請非常友善
- 不推薦 Let's Encrypt 雖然免費, 但是不好用. 90天的期限太短, 而自動續期腳本并非一直可用, 服務商調整服務後, 腳本要更新才能繼續用, 非常坑.
- 使用者僅限于國内的經營性網站, 可以使用便宜的國内證書服務商
- 通過雲服務商去購買, 比自己去這些服務商官網購買, 會有更多折扣