最近我需要购买通配符SSL证书(因为我需要保护一些子域名),当我第一次search哪里买的时候,我对select的数量,市场宣传和价格范围感到不知所措。 我创build了一个清单,以帮助我看到大多数证书颁发机构(CA)在他们的网站上贴满了营销噱头。 最后,我个人的结论是,唯一重要的事情就是CA网站的价格和愉快程度。
问题:除了价格和网站外,在决定购买通配符SSL证书的地方还有什么值得我考虑的吗?
我相信,在决定在哪里购买通配符SSL证书时,唯一重要的因素是SSL证书的第一年的成本,以及购买和设置证书的卖家网站的愉悦性(即用户体验) 。
我知道以下几点:
有关保证的声明(例如$ 10K,$ 125M)是营销噱头 – 这些保证保护给定网站的用户免受CA向欺诈者(例如钓鱼网站)颁发证书的可能性,并且用户因此失去了钱但是问问自己:有人在你的欺诈网站上花10万美元或者更多的钱呢?哦,等等,你不是骗子?没有意义。)
有必要生成一个2048-bit CSR( 证书签名请求 )私钥来激活您的SSL证书。 根据现代安全标准,使用CSR密码小于2048位的CSR代码是不允许的。 在这里和这里了解更多。
声称具有99+% , 99.3%或99.9%浏览器/设备兼容性。
快速发行和易于安装的索赔。
有一个退款满意保证是很好的(15和30天是常见的)。
通用SSL证书价格以及发行机构和经销商的列表于2016年5月28日创build:
price | / year | Certificate Authority (CA) or Reseller ($USD) | -------+--------------------------------------- $42 | SSL2BUY / AlphaSSL * $56 | CheapSSLShop / Comodo (PositiveSSL) * $73 | CheapSSLSecurity / Comodo (PositiveSSL) * $89 | sslpoint / Comodo (PositiveSSL) * $94 | Namecheap / Comodo (PositiveSSL) * (CAD$122.55) $100 | DNSimple / Comodo (EssentialSSL) * | $149 | AlphaSSL / GlobalSign $200 | RapidSSL $208 | Gandi $450 | Comodo | $500 | Thawte $500 | GeoTrust $600 | DigiCert $650 | Network Solutions | $700 | Entrust $850 | GlobalSign $2,000 | VeriSign / Symantec
*请注意,DNSimple,Namecheap,CheapSSLSecurity,CheapSSLShop,SSL2BUY和sslpoint是经销商,而不是证书颁发机构。
Namecheap提供了Comodo / PostiveSSL和Comodo / EssentialSSL的select(尽pipe两者之间没有技术差异,只是品牌推广/营销 – 我向Namecheap和Comodo询问了这一点 – 而EssentialSSL则花了几美元(100美元和94美元) )。 DNS简单地转售Comodo的EssentialSSL,这在技术上和Comodo的PositiveSSL一样。
请注意,SSL2BUY,CheapSSLShop,CheapSSLSecurity,Namecheap和DNSimple不仅提供了最便宜的通配符SSL证书,而且他们对我所查看的所有网站也都提供了最less的营销噱头; 和DNSimple似乎没有任何噱头的东西。 这里是最便宜的1年期证书的链接(因为我不能链接到上面的表格):
并且为了将来的参考,请通过谷歌searchsite:letsencrypt.org wildcard在letsencrypt.org上留意 通配符证书 。
还有一点需要考虑的是重新颁发证书 。
我真的不明白这是什么意思,直到心脏病的问题出现。 我以为这意味着他们会给你原来的证书的第二个副本,我想知道如何混乱的需要这项服务。 但这并不意味着:至less有些供应商会乐意在新证书的有效期内发生新的公钥 。 我认为他们然后将你的原始证书添加到一些CRL,但这是一件好事。
你想这样做的原因是你已经损坏或丢失了原来的私钥,或者通过一些手段失去了对该密钥的独占控制,当然还有在OpenSSL中发现一个全球性的错误,这使得你的私有关键是被敌对方提取出来的。
心情不好的时候,我认为这是一件好事,现在请注意将来购买证书。
虽然价格可能是一个关键问题,但其他问题是提供商的可信度 , 浏览器的接受程度,以及根据您的能力水平, 对安装过程的支持 (比出现的更大的问题,特别是当出现问题时)。
值得注意的是,一些供应商是由同样的高端厂商所拥有的,例如Thawte和Geotrust,我相信Verisign都是赛门铁克公司的拥有者 – 然而,Thawteauthentication比Geotrust要昂贵得多原因。
另一方面,由StartSSL颁发的证书(我没有敲门,我认为他们的模型很酷),在浏览器中没有得到很好的支持,也没有像大公司那样的可信度。 如果你想要在你的网站上安装“security placebos”,有时候值得去做一个更大的玩家 – 尽pipe这对通配证书来说可能要less很多,但是对于EV Certs来说可能要less得多。
正如其他人指出的,另一个区别可能是与authentication相关联的“垃圾桶” – 我知道我以前被指示只允许在单个服务器上使用的Thawte EV Certs,而Geotrust稍后会authentication说服pipe理层取而代之的是不仅更便宜,而且没有这个限制 – 这是Thawte强加的完全武断的限制。
您必须根据您的安全需求select通配符SSL证书。
在购买通配符SSL证书之前,您必须了解下面提到的几个因素
品牌声誉和信任度:根据最近对SSL证书颁发机构W3Techs的调查 ,Comodo超过了赛门铁克,成为最受信任的CA,拥有35.4%的市场份额。
typesfunction或通配符SSL: SSL证书颁发机构(如Symantec,GeoTrust和Thawte)正在提供通用SSL证书和业务validation。 吸引更多的游客,并增加客户的信任因素。 鉴于其他CA,Comodo和RapidSSL仅提供通配符SSL和域validation。
赛门铁克的Wildcard SSL也提供每日漏洞评估,可以扫描每个单独的子域以防止恶意威胁。
带有业务validation的通配符在URL字段中显示组织名称。
因此,如果您希望通过业务validation来保护您的网站和子域名,则必须selectSymantec,GeoTrust或Thawte,并进行域validation,您可以使用Comodo或RapidSSL。 如果您希望安装具有每日漏洞评估的多层安全性,则可以使用Symantec的Wildcard解决scheme。