是否有任何技术安全原因不购买您能找到的最便宜的SSL证书？

#1 楼

出于讨论的目的，Web签名证书之间只有几处区别：


扩展与标准验证（绿色栏）。
证书请求中的位数（1024/2048/4096）。
证书链。

使用较短的信任链可以更容易地设置证书，但是那里有便宜的证书，可以直接或只有一个级别的深链。您还可以廉价地获得较大的2048位和4096位证书。

只要您不需要扩展验证，就没有理由使用更昂贵的证书。

较大的供应商提供的一项特殊好处是-供应商的主线越多，一旦发生违规，撤销信任的可能性就越小。例如，
，DigiNotar是一家较小的供应商，不幸的是，该供应商于2011年9月撤销了对他们的信任。

#2 楼

在其他答案中还不错，让我添加一些有关适当的CA行为的评论。

如果CA有缺乏安全策略实施的历史


，< br违反“浏览器批准的CA”协议，
使用其官方根证书（例如IP地址或不存在的DNS名称，例如bosscomputer.private）签署非DNS名称，


对其行为和经销商缺乏透明度，最终用户（如我）检查您的证书，并知道这一点，这可能会对您造成严重影响。尤其是在连接侦听业务中也是公司子公司的任何CA。

#3 楼

从技术角度来看，唯一重要的是浏览器识别。而且所有受信任的权威机构都覆盖了几乎100％的覆盖率。等于？

#4 楼

根据NSA的最新消息，我想说商业根CA的整个概念从根本上来说都是有缺陷的，您应该从最便宜的CA中购买，该CA的根证书已安装在浏览器和操作系统信任链中。

实际上，我们需要多根证书信任链，而不是当前的单根信任链。这样，您无需忽略政府“胁迫”商业提供商的真正权力，而只需获得由多个（最好是对立的）政府签署的证书即可。例如，让您的Bronies vs Juggalos笼子比赛网站由美国，俄罗斯，中国，冰岛和巴西签名。这可能会花费更多，但确实会减少串通的可能性。

#5 楼

对于域验证证书，唯一重要的是浏览器是否将该证书视为受信任证书。因此，请选择所有浏览器（或您关心的所有浏览器）信任的最便宜的证书。没有明显的密码学理由偏爱一个供应商而不是另一个供应商。那个。）

#6 楼

无论您使用哪个CA，用户都可以确保他们实际上是在与您的站点进行通信，而不是攻击者，这与他们的浏览器所信任的最差的CA一样好-想要伪造证书的攻击者可以购买CA。有不良做法。因此，我看不出有任何合理的论据表明您选择CA会影响站点的安全性，除非您选择的CA为您生成私钥而不是对您提供的密钥进行签名，或者不允许使用大密钥。 br />除此之外，正如其他人所说，避免CA的不良做法和小规模组合可能使一个或多个浏览器撤销对他们的信任似乎是一个好主意，因为这会影响可访问性（和公众的看法）。

#7 楼

您将很快能够使用Let's Encrypt获得价格为零欧元的低成本证书。

技术上与其他任何证书一样好（非扩展验证，基本上您的绿条上没有浏览器），重点是浏览器将其识别为受信任的功能（它们将是）。

唯一的缺点是存在从Lets'Encrypt回调到您的站点或DNS ，这会使内部（非Internet）站点的证书生成非常麻烦（如果不是不可能的话）。

#8 楼

通常，您可能会传递的两件事是EV（因为这只是绿色的头），而且SGC在今天并没有真正提供任何真正的好处（因为它仅适用于IE5以后的浏览器）

此站点很好地概述了为什么避免使用SGC：http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html

#9 楼

忽略证书加密的技术方面，要考虑的问题是信任和声誉。如果只考虑通信的加密，则可以使用简单的自签名证书。另一方面，如果要获得的信任程度是您或您的站点确实是它声称的身份/身份，那么您需要来自人们信任的证书颁发机构的证书。

CA通过审核向其出售证书的人员来达到这种信任水平。许多便宜的证书提供者通过减少运营开销来实现较低的价格，而这通常是通过不严格的审核过程来实现的。

问题不应该是“谁是最便宜的证书提供者”，而应该是“哪个证书提供者具有我的服务的用户或潜在用户将接受的必要信誉和信任级别”。

P.S.不幸的是，在某种程度上，整个模型还是被破坏了。很少有用户甚至查看谁是颁发证书的CA，并且对所涉及的权限链了解甚少。

#10 楼

从务实的角度来看，对于具有标准类型用户的网站，对SSL证书唯一重要的条件是“我的用户将用来访问该网站的浏览器是否支持它”。只要是，就可以了，因为它尽可能便宜。

前一段时间，一个潜在的区别是该证书是否为EV SSL，但老实说，我没有看到用户对此非常了解，因此不太值得。

#11 楼

SSL证书用于两个目的。


一种方法是保护在Web浏览器和Web服务器之间传输的在线交易和私人信息。第二种方法是Trust，SSL用于提高客户的信心。 SSL证明您网站的安全会话，这意味着您对客户的信任。

每个证书都有自己的验证过程，并且按照此过程，证书颁发机构将验证您的业务可靠性并为您的网站发送证书。并使用批准者电子邮件验证系统进行身份验证。批准者可以在短短几分钟内通过通用电子邮件地址轻松获得此证书。

OV和EV SSL证书插入了客户的信任，并通过严格的身份验证过程提供了最高级别的信任。 EV SSL验证了识别您的域和业务信息的多种组件。它遵循手动验证过程，在此过程中，系统无法验证您的业务或系统被告可能存在虚假行为，因此您的订单可能会排队等待人工审核。

信任因素和品牌声誉的主要区别在于，当客户在浏览器中看到绿色的地址栏时，他们会感觉更加安全并鼓励进行交易。否则，其他功能（如加密，浏览器兼容性，密钥长度，移动支持等）之间会有一些差异。

否则，证书保修解释了这些差异。证书颁发机构可为误发SSL证书提供延长的担保（1000美元至175万美元），这解释了您为网站安全进行投资的价值。

尽管我们专注于证书的价格，但在哪里购买证书都无所谓-证书颁发机构或授权的经销商。授权经销商以合理的价格提供相同的SSL产品，相同的安全功能，更好的支持。

Jason Parm隶属于SSL2BUY（全球SSL经销商）

#12 楼

为时已晚，但对于像我这样的人，在网上搜索要购买的SSL证书，这是我研究的结果：
在技术方面，昂贵的SSL证书提供动态印章，这意味着在其上显示动态图像一个显示该网页加载时间的当前时间和日期的网站，该信息指示该密封对于它所安装的域有效，并且是最新的且未过期。单击该图像时，它将显示来自证书颁发机构的有关网站配置文件的信息，该信息可验证网站的合法性。这将使网站的访问者对网站的安全性更加放心。
“静态印章”只是可以放置在网站上的静态图形图像，以指示从何处获取数字证书，但是无需点击即可。通过网站验证，图像不会显示当前时间和日期。
此外，如果您购买更昂贵的SSL，则可以为访问者提供更多的欺诈保证金，但前提是如果管理局发布了欺诈者的证书，而访客则以为网站合法而损失了金钱。如果您不是欺诈者，则没有任何理由应该获得昂贵的证书，除非您想显示绿色的地址栏并增强对访客的信心。
从技术上讲，这没有其他区别
有3个主要方面SSL证书的类型
单个域

保护域的www版本和非www版本的
示例：RapidSSL，Comodo Esential等。

通配符

保护单个域的所有子域，包括www和非www版本的
示例Comodo通配符SSL，RapidSSL通配符等。

多域

大多数证书颁发机构会根据其基本价格计划提供3-5个域。
您需要为每个附加域付费。通常每个域每年大约$ 15- $ 20
示例Comodo积极多域SSL

另外，还有3种类型的域验证
为了获得SSL证书的颁发，证书颁发机构必须在与您一起请求证书时验证您的身份。以下是获取SSL
1时必须经历的3个验证过程。域验证
您必须验证您的域。通常，这是通过发送到您域中一封电子邮件的URL链接或将文件上传到服务器来实现的。到目前为止，这是最快，最简单和最便宜的SSL。使用此类验证进行欺诈的担保最高为10,000美元。
2。组织验证
您必须提供有关组织的支持文档才能获得其中一份证书。这个过程有点慢，可能需要几天的时间。大型电子商务网站或存储敏感用户数据的组织需要这种SSL安全性。通常，此证书提供动态工地印章，并根据发行者的不同提供最高1,500,000美元的更高担保。
3。扩展验证
，这是最受信任的证书，它将使浏览器中的地址栏变为绿色，其中包含组织名称。到目前为止，最慢的验证过程长达一周，具体取决于外部机构验证您的详细信息。您将必须提供SSL Authority支持文件，例如公司成立等，然后他们会将其传递给第三方以验证其有效性。成功完成此过程后，您将获得最高$ 2,000,000的信任和保证，具体取决于发行人。
要购买什么证书
这完全取决于您。有大量的证书颁发机构可以满足各种需求。对我来说，主要的优点是除非有必要，否则就不要花费。基本SSL证书的功能几乎与市场上最昂贵的SSL相同。
这里有一些有用的链接
证书颁发机构

Comodo
RapidSSL
Thawte
Symantec

一些最便宜的经销商

Hostedo
Namecheap
获取SSL

#13 楼

DV对于大多数浏览器来说应该足够了。

未缓解风险上的文章“了解风险并避免FUD”提到了证书颁发机构签署的证书的三个保证级别。在这三个方面，我将添加两个可能没有CA签名证书的较低保证级别。这使得总共需要考虑五层HTTP安全性：


无TLS（http:）
具有自签名证书或来自其他未知发行者的证书的TLS
带有来自已知颁发者的域验证（DV）证书的TLS（组织不是证书的一部分）
带有来自已知颁发者的域验证的（OV）证书的TLS（证书中的组织名称）
带有来自已知EV颁发者的扩展验证证书的TLS（证书中的组织名称和地址）

从商业CA购买的证书将是3、4或5。
大多数Web浏览器即使2在抵抗被动攻击方面优于1，也允许除2之外的所有内容都没有间隙警告。
普遍表达的理由是，带有未知CA的https: URI会产生错误的安全感，尤其是针对男人在中间，而http: URI却给人一种真正的不安全感。

但是DV可能会吓到Comodo Dragon用户

但是少数用户也使用警告3的Web浏览器。
当Comodo Dragon的用户访问使用DV证书的HTTPS站点时，它会显示一个带有警告三角的不同的锁定图标。 ，类似于“混合的被动内容”图标。
在查看站点之前，它还会显示一个插页式警告屏幕。
此警告类似于浏览器为自签名证书显示的内容，其文本如下：


与该网站交换信息可能并不安全

该网站的安全性（或SSL）证书表明该组织
操作它可能未受到信任



这是为了阻止攻击者注册为“ Banko Famer Rica”注册的域名bankofamerrica.example，并提出关于哥斯达黎加的合法内容获取该域的DV证书，然后将其更改为冒充美国银行的网站。
它还旨在阻止攻击者破坏该域，添加由他控制的子域并获取DV证书。该子域。
免费DV CA Let's Encrypt上线后，便在2015年12月发生了这样的情况。为了不吓Dragon Dragon用户，您需要避免使用DV证书。但是您不需要购买EV证书。只需列出愿意向您的组织出售其根证书在所有主要浏览器中的OV证书的CA列表即可。因此，没有技术上的安全理由不购买最便宜的产品。

如果您以个人身份运行博客，则可能没有资格获得任何CA的OV证书。在这种情况下，您只需要遵守Dragon中的警告，就可以使用廉价的DV证书，例如StartSSL，WoSign或Let's Encrypt提供的证书。

#14 楼

我想补充一点，尽管该技术与256位加密相同，但您还要为以下因素付费：

验证级别-这是发行方将执行的检查数量验证您的公司或网站

域数-该证书将对多少个域有效受到用户更多“信任”，因此定价差异