最近,我需要购买一个通配符SSL证书(因为我需要保护多个子域),当我第一次搜索购买位置时,我对选择的数量,营销要求和价格范围不知所措。我创建了一个列表,以帮助我了解过去的营销手法,即大多数证书颁发机构(CA)和经销商在其整个站点上都使用灰泥。最后,我个人的结论是,唯一重要的事情就是CA网站的价格和愉快程度。购买通配符SSL证书?

评论

CA的安全性是不应该影响您决策的标准之一。理解原因很重要。原因是与您没有业务往来的任何CA都可能像与您进行业务往来的CA一样轻易地损害您的安全性。 CA安全性低下有两种可能会损害您的方式。如果他们得到了您的信用卡号,他们可能会泄漏它(这与任何其他在线交易没有什么不同)。而且,如果它们做的不好,以致浏览器不再信任它们,则需要在短时间内从其他CA获取新证书。

#1 楼

我认为,关于决定在哪里购买通配SSL证书,唯一重要的因素是SSL证书的第一年费用以及卖方网站购买和设置证书的愉快程度(即用户体验) 。

我知道以下情况:


关于保修的索赔(例如$ 10K,$ 125M)是营销头-这些保修保护用户给定的网站,以防止CA向欺诈者(例如钓鱼网站)颁发证书,从而使用户蒙受损失(但问自己:有人在您的欺诈性网站上花费/损失了$ 10K或更多吗?您不是欺诈者吗?没有必要。)
必须生成一个2048-bit CSR(证书签名请求)私钥来激活您的SSL证书。根据现代安全标准,不允许使用私钥大小小于2048位的CSR代码。在此处和此处了解更多。
99+%99.3%99.9%浏览器/设备兼容性的声明。
快速发布和易于安装的声明。 (通常有15天和30天)。

以下通配SSL证书基础价格(非销售)以及发行机构和转售商的清单于2018年5月30日更新:

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    q4312078q | DNSimple / Let's Encrypt *
    | SSL2BUY / AlphaSSL (GlobalSign) *
    | CheapSSLSecurity / PositiveSSL (Comodo) *
    | CheapSSLShop / PositiveSSL (Comodo) *
    | Namecheap / PositiveSSL (Comodo) * (Can2)
    | sslpoint / AlphaSSL (GlobalSign) *
  0 | DNSimple / EssentialSSL (Comodo) *
       |
  0 | AlphaSSL (GlobalSign) *
  8 | Gandi
  0 | RapidSSL
  0 | Comodo
       |
  0 | GeoTrust
  0 | Thawte
  0 | DigiCert
  9 | Entrust
  0 | Network Solutions
  0 | GlobalSign
       |
,000 | Symantec


*请注意,DNSimple,sslpoint,Namecheap,CheapSSLShop,CheapSSLSecurity和SSL2BUY是转售商,而不是证书颁发机构。 Comodo / EssentialSSL(尽管两者之间没有技术差异,只是品牌/营销-我向Namecheap和Comodo询问了这一点-而EssentialSSL的价格要高出几美元(100美元对94美元))。 DNSimple转售Comodo的EssentialSSL,从技术上讲,它与Comodo的PositiveSSL完全相同。

请注意,SSL2BUY,CheapSSLShop,CheapSSLSecurity,Namecheap和DNSimple不仅提供最便宜的通配符SSL证书,而且在我审核的所有网站中,它们的营销手段也最少。 DNSimple似乎没有任何花哨的东西。以下是最便宜的1年证书的链接(因为我无法在上表中链接到它们): /> sslpoint
Namecheap
DNSimple

截至2018年3月,Let's Encrypt支持通配符证书。 DNSimple支持“让我们加密证书”。

评论

查看每个实例的价格-例如我可以拥有1亿个服务器,并仅向我的CA支付1个价格。许多CA都希望为每台服务器赚钱!

– Arek B.
2014年5月28日在21:55
也许我错过了,但是在我查看的CA网站上没有看到任何有关实例价格的参考。我在Heroku上托管,我的应用程序在多个dyno(虚拟化Unix容器)上运行,并且Heroku的SSL端点文档中没有提及有关实例或dyno的任何内容-因此,我认为每个实例的定价与我的特定需求无关。当然,其他人可能会发现您的评论很有见地。不管怎么说,还是要谢谢你!

–user664833
2014年5月28日在22:16
按服务器定价根本没有任何意义。拥有证书后,您绝对可以从计算机上将其导出并导入到其他任何证书上。

–马西莫
2014年9月1日在21:22
@Massimo每个服务器的许可证过去非常普遍。就像执行旧版Windows许可证一样执行-合同和荣誉系统。

–ceejayoz
2014年9月3日13:50
@ceejayoz好的,我的意思是在多台服务器上安装同一证书没有技术限制(实际上在某些情况下这是必需的,例如负载平衡的Web服务器)。当然,合同可以另行说明。

–马西莫
2014年9月3日下午16:17

#2 楼

要考虑的另一点是重新颁发证书。

直到出现令人讨厌的错误之前,我才真正理解这意味着什么。我以为那意味着他们会给您第二份原始证书副本,我想知道需要这项服务有多混乱。但是,这表明,这并不意味着:至少某些供应商会很乐意为新的公共密钥加盖戳记,只要它在原始证书的有效期内有效。我想他们然后将您的原始证书添加到某些CRL中,但这是一件好事。已经失去了对该密钥的独占控制权,当然还发现了OpenSSL中的一个全球性错误,该错误使您的私钥很可能是被敌对方提取的。绝对是一件好事,现在在以后购买证书时请留意。

#3 楼

虽然价格可能是一个关键问题,但其他问题包括提供商的信誉,浏览器的接受程度以及对安装过程的支持(具体取决于您的能力水平,这比实际情况要大,尤其是出现问题时)。 />
值得注意的是,许多提供商都由同一高端企业拥有-例如Thawte和Geotrust,而我相信Verisign都归赛门铁克所有-Thawte证书则更多

另一方面,StartSSL颁发的证书(我没有敲门,我认为他们的模型很酷)在浏览器中不受支持并且没有大公司那样的信誉度。如果您想在整个网站上贴上“安全安慰剂”,那么有时值得找一个更大的参与者-尽管通配符证书的重要性可能要比EV证书低得多。

作为某人其他人指出,另一个区别可能是与证书相关联的“垃圾桶”-我知道我以前被指示只允许在单个服务器上使用Thawte EV证书,而后来我说服了管理部门的Geotrust证书用它们替换它们不仅更便宜,而且没有此限制-Thawte施加的完全任意的限制。

评论

提供者的信誉几乎毫无意义。如果有挂锁图标,用户将不在乎。如果您正在与安全团队一起与财富500强公司合作,他们可能需要特定的供应商,但否则...谁在乎?至于StartSSL,它们似乎得到了广泛的支持:“所有主流浏览器都包括对StartSSL的支持”-zh.wikipedia.org/wiki/StartCom

–ceejayoz
2014年6月3日18:15


如果提供者因心血来潮而被吊销费用并且被黑客入侵没有影响,并且停机几小时来重新生成证书不会损害公司的信誉,那么Startssl对您的信誉是正确的(我喜欢startssl,但是多数民众赞成在不同的主题)。尽管他们的浏览器接受度很高,但低于其他提供者-请参阅forum.startcom.org/viewtopic.php?f=15&t=1802

– davidgo
2014年6月4日在1:43
您认为多少个最终用户a)检查看谁签发了证书,b)了解Heartbleed撤销的StartSSL收费?地狱,我不检查谁签发了SSL。他们所做的很烂。我要说的是通过使用证书而失去的人数,大概是一位数。

–ceejayoz
2014年6月4日在1:46
请注意,Google Chrome将不再信任StartSSL。请参阅security.googleblog.com/2016/10/…

– sbrattla
16-11-18在10:01


@sbrattla yup-当然,startssl不再是我撰写此评论时的公司。 Wosign于2015年11月秘密地收购了它。

– davidgo
16年11月18日在18:34


#4 楼

您必须根据安全需求选择通配符SSL证书。

购买通配符SSL证书之前,您必须了解以下提到的一些因素


品牌的声誉和信任度级别:根据W3Techs最近对SSL证书颁发机构的调查,Comodo超过Symantec并成为35.4%市场份额的最受信任的CA。具有业务验证的SSL证书。吸引更多的游客,也增加了客户的信任度。而其他CA,Comodo和RapidSSL仅提供具有域验证的通配SSL。

Symantec的Wildcard SSL还提供了每日漏洞评估,可以扫描每个子域以防恶意威胁。带有业务验证的通配符在URL字段中显示组织名称。



SSL价格:由于Symantec提供了多种功能以及通配符,因此与Comodo和RapidSSL。

因此,如果要通过业务验证保护网站和子域的安全,则必须选择Symantec,GeoTrust或Thawte,对于域验证,可以使用Comodo或RapidSSL。而且,如果您希望通过每日漏洞评估安装多层安全性,则可以使用Symantec的Wildcard解决方案。

评论

感谢您的回答,但是我不同意市场份额意味着信任。 Comodo可能拥有最大的市场份额,因为网站所有者更喜欢便宜的证书,而不是因为他们比Symantec更信任Comodo。可以断言,当Comodo的市场份额仅比Symantec高3.3%时,它是最受信任的。另外,如果有人发现某个站点正在使用Verizon证书,他们的信任度是否相当于Verizon的SSL证书市场份额的0.7%? -不会。业务验证是一种不错的选择,但是我怀疑这对普通人有什么影响。

–user664833
2015年5月7日23:17
我同意以上评论。 Comodo被黑客入侵不止一次,其签名密钥也被窃取。直到今天,黑客的成绩单仍在网上徘徊(寻找ZF0和Comodo)。他们在签名证书的处理上非常草率。

–亚伦
16年11月30日在21:35