SSL证书类型价格和购买

SSL证书

SSL和HTTPS的工作机制就不多说了, 密钥交换加通道依然是非常靠谱的安全访问方式, 除非你的浏览器连证书和DNS都被劫持, 否则中间节点要解密/篡改HTTPS访问的可能性微乎其微. 现在的主流浏览器都会将非HTTPS的浏览器访问明确标识为不安全, 所以证书几乎是网站必备了.

按验证等级分类

• DV SSL: domain validation certificate, 校验域名有效性, 即使用此域名的主体(人或者机构), 是否与申请此证书的主体一致
• OV SSL: organization validation certificate, 校验机构有效性, 不仅包含DV的验证, 还包含发证机构对此主体的真实性的认证(传真企业证照信息,打电话确认等)
• EV SSL: enterprise valication certificate, 企业增强型SSL证书，确保域名和企业关系

按域名的方式分类

• 单域名匹配: 就是域名字符串要完全一致, 用于匹配单个域名
• 通配符匹配: 允许有一个*号, 注意只能是一个域名段的通配, 例如*.github.com可以匹配a.github.com, b.github.com, 但是不能匹配a.b.github.com, 如果要对这个匹配, 要购买*.b.github.com的通配证书
• 多域名严格匹配: 这个其实就是严格匹配的复数版本, 单独列一个是因为有些服务商会把这个作为一个类型进行销售

常用服务商:

• Comodo(Sectigo)
• GeoTrust Digicert旗下的子品牌
• Rapid Digicert旗下的子品牌
• Thawte Digicert旗下的子品牌
• DigiCert 原属于Symantec, 全球最大的SSL证书服务商
• GlobalSign 较多用于国际电子商务网站
• Let's Encrypt 可以用脚本自动续期的免费证书, 周期90天
• CFCA 国内证书服务商
• vTrus 国内服务商
• WoSign 沃通, 国内服务商

常用零售商:

• 虚拟主机服务商
• 云服务商
• 域名服务商

证书可能通过GoDaddy, 阿里云, 腾讯云等各种平台购买, 但是背后的证书服务商总共就是那么几个, 都是一样的.

免费证书

• Digicert 单域名证书
• Let's Encrypt 通配符证书

收费证书

按类型, 证书等级和服务商的当前价格列表供参考, 不同时间价格可能有变动, 价格区分变化不大

• 单域名
  • DV SSL
    • GeoTrust 378
    • GlobalSign 2,000
    • vTrus 1,200
    • WoSign 880
  • OV SSL
    • DigiCert 5,000
    • DigiCert Pro 8,000
    • GeoTrust 2,600
    • GlobalSign 3,800
    • CFCA 4,000
    • vTrus 4,000
  • EV SSL
    • DigiCert 8,000
    • DigiCert Pro 12,800
    • GenTrust 5,000
    • CFCA 10,000
• 通配符
  • DV SSL
    • DigiCert 2,000
    • GeoTrust 1,500
    • GlobalSign 7,000
    • WoSign 2,600
    • vTrus 3,000
  • OV SSL
    • DigiCert 40,000
    • GeoTrust 7,000
    • GlobalSign 13,000
    • CFCA 15,000
    • vTrus 12,000

实际使用

证书的选择标准, 就是在覆盖产品的使用场景要求的前提下, 选择1)响应速度最快的,2)价格最便宜的,3)续期最方便的

• 涉及跨境交易业务, 使用GlobalSign. 如果使用其他服务商的证书, 不能确保不被其他国家的支付工具拦截(或提示风险)
• 除非监管要求或业务特性要求, 不必使用高等级的验证
• 个人以及非经营性网站, 可以使用免费的DigiCert, 通过阿里云等云服务商申请非常方便
• 不推荐 Let's Encrypt 虽然免费, 但是不好用. 90天的期限太短, 而自动续期脚本并非一直可用, 服务商调整服务后, 脚本要更新才能继续用, 非常坑.
• 用户仅限于国内的经营性网站, 可以使用便宜的国内证书服务商
• 通过云服务商去购买, 比自己去这些服务商官网购买, 会有更多折扣