收费与免费SSL证书区别
免费的SSL证书比付费的证书更好吗?让我们来谈谈它
免费SSL证书的欺诈问题:免费SSL证书的欺诈问题_SSL文档_Gworg
为什么要为SSL证书付费?这是我们一直被问到的问题。
- 为什么要为免费的东西付费?
- 付费证书比免费证书更好吗?
这些都是很好的问题。不一定有简单答案的问题。因为免费SSL和付费SSL之间的决定归结为几个因素,最重要的是您或您的IT员工的技术熟练程度。
在我们进一步讨论之前,让我们解决 大多数商业证书颁发机构和SSL服务不喜欢放在前面的问题。从加密的角度来看,每个SSL证书都做同样的事情。从付费SSL证书中获得的加密不会比从免费SSL证书中获得的加密更强大。反之亦然。加密强度实际上更多是客户端的浏览器/系统配置和站点端的服务器配置的问题。
那么为什么我不选择免费的SSL证书呢?
好吧,对于许多精通技术的用户来说,免费SSL是正确的选择。如果您知道安装和管理证书不会有任何问题,那么免费SSL就很棒。但也有一些人不应该使用免费SSL:
- 非技术精明的网站所有者
- 电子商务网站
- 政府网站
- 企业公司
付费SSL证书有哪些免费证书没有的功能?
OCSP
引发这次对不同证书的尝试一个重要方面原因就是OCSP。在你访问部署了某个证书的网站时,浏览器是通过请求证书内嵌的CA的OCSP地址来确定证书有效性,当OCSP不可及的时候浏览器需要在超时后才能放行,也就造成了数十秒的白屏。
Let’s Encrypt的OCSP地址使用的CDN指向的CNAME不明原因被污染了,影响主要是使用Apple全平台和IE的用户,其他平台Chrome及其衍生浏览器均默认均未开启OCSP功能;FireFox对于LE的证书也是不校验默认信任的,不过对于其他的证书就不是这样的策略了。
| Root CA | OCSP地址 | CDN提供商 | 访问质量 |
| DigiCert(Global) | http://ocsp.digicert.com | Verizon | 正常 |
| DigiCert(China) | http://ocsp.dcocsp.cn | 阿里云 | 非常好 |
| Sectigo | http://ocsp.sectigo.com | Stackpath | 差 |
| Let’s Encrypt | http://ocsp.int-x3.letsencrypt.org | Akamai | 阻断 |
| Buypass | http://ocsp.buypass.com | Akamai | 正常 |
| GlobalSign | http://ocsp.globalsign.com | CF/Fastly/阿里云 | 非常好 |
国内这个特殊的政策条件下,世界主流的CDN都没办法设置边缘节点,所以在选择证书的时候有条件还是考虑一下OCSP在国内的适应性吧。
为什么企业不应该使用免费的 SSL?
事实上,他们应该。只是不是来自免费的CA。企业拥有庞大的基础设施,可能需要数千个证书。显然,为所有这些端点购买商业证书的成本过高。但这就是企业需要考虑托管PKI解决方案的地方,他们与CA合作创建自己的 根证书,然后将其安装在其所有端点的根存储中,以便它可以为任何内部网络或它拥有的内联网。在外部,考虑到它们提供的业务身份验证,通常最好使用付费证书。客户喜欢知道谁是他们所在网站的幕后黑手的保证,而SSL是提供该信息的一种方式。
