现在SSL证书的品牌繁多,购买方式也不一样,如果不经常关注这一领域的朋友,往往在选购证书时不知所措,基本上都会碰到以下这些问题:
- 免费SSL证书和付费证书有什么区别?
- 为什么有的证书一年只要一百多?一些证书一年却要大几千?
- SSL证书的作用到底有多大?值不值得花钱去配置?
- 安装证书后,真的会提升搜索引擎排名吗?
诸如此类的问题非常多,如果买个SSL证书,还有全面了解它的原理以及背后的技术知识,得花很大的功夫。对很多人来说太不友好。但了解SSL证书一些必要的参数,看看它是否满足了自己的预算和需求,才能选到合适的证书。
预算和需求
不谈预算和需求,一切推荐都是耍流氓。如果是金融行业,对安全性要求较高,只能选择EV型证书,价格会很贵,一年价格在几千甚至上万。
如果只是普通的网站,只是想seo优化、提升用户对网站的信任程度,一般一两千块一年的OV型证书就够用了。
如果预算只有几百块,可以选择DV型证书,价格便宜签发速度快,配置安装后,浏览器的不安全标识会消失,网站的安全性也会提高,SSL证书的基本功能都能发挥出来。
谈完预算和需求,先来了解一下SSL证书的几个基本参数后,我们会推荐几个性价比高的SSL证书。
SSL证书的基本参数有:证书类型、域名类型和证书品牌。
证书类型
不少人已经知道证书有几种类型,这里算是扫一下盲,知道的同学可以直接略过。
SSL证书有三种类型:域名级(DV)、企业级(OV)、增强级(EV)。
(1) 域名级(DV)
优点:签发速度快,10分钟之内就能签发,价格便宜;
缺点:由于只验证域名的归属,因此无法证明网站的真实身份;
DV型可以保证服务器与用户浏览器之间传输信息的安全性,不会被窃取和篡改。几乎所有的免费证书都属于DV型SSL证书。个人网站、API服务使用这类证书较多。
DC型证书可以让网站被浏览器所信任,不会被标记“不安全”,也能保证数据传输的安全性。
(2) 企业级(OV)
优点:验证企业身份,增加用户信任感
缺点:签发速度较慢,需要1-2个工作日,需要提供营业执照
OV型是标准的SSL证书,是目前主流的证书类型。百度、淘宝、京东等大型互联网企业,都使用这一类型的证书。
(3) 增强级(EV)
优点:最高验证级别
缺点:价格昂贵,签发速度最慢
EV型是CA和主流浏览器开发商共同制定的一个新的SSL证书严格身份验证标准。一般来说,只有对安全性要求极高的网站,才会选择安装EV型证书,这种证书的价格昂贵。例如中国银行官网安装的是Secure Site Pro品牌的EV型证书,最便宜的价格为10400元。
三种类型证书除了以上这些区别外,在不同浏览器的地址栏中,展示的样式也不同:
域名类型
域名类型一共有三种:单域名、多域名和通配符。
(1) 单域名
指签发一张SSL证书可以保护一个完整域名或一个完整子域名网站的安全。例如一张单域名证书可以保护domain.com或ssl.domain或ssl.ssl.domain。
(2) 多域名
多域名证书一般很少用到,它可以保护多个完全不同的域名的安全。例如domain.com、ssl.com等。
(3) 通配符
签发一张通配符证书将包含一个泛域名,例如签发一张*.domain.com证书后,a.domain.com、b.domain.com等域名将得到保护。
购买通配符要特别注意,如果要保护a.b.domain.com,则需要购买*.b.domain.com的通配符证书才行。
具体选择什么域名类型的SSL证书,要根据自己的需求来。如果只有一个域名需要保护,购买单域名即可,多域名和通配符会很浪费。同理,如果需要保护泛域名,购买单域名的话,配置起来会相当麻烦,而且反而会付出更高的成本。
证书品牌
SSL证书品牌很多,这里只介绍国内使用较多的几个品牌。
(1) GlobalSign
GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。国内大厂用得多,原因是该公司进入国内比较早,提供全线中国OCSP。
(2) GeoTrust
GeoTrust是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。RapidSSL 以前属于GeoTrust 旗下的低端品牌,现在都归DigiCert所有。
(3) DigiCert Basic
DigiCert 是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。2017年收购了Symantec的证书业务,得以成长。
(4) CFCA
中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。CFCA提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。国产化浪潮中最受益的品牌之一。
(5) DigiCert Secure Site
DigiCert 收购Symantec以后按照原模式推出的包含Norton Secure 签章的高端证书品牌,只提供 OV / EV 证书。
(6) DigiCert Secure Site Pro
DigiCert推出的超高端品牌,支持后量子加密抵抗破解,如需该功能需要额外申请。支持Norton Secure签章,国际认可度高。
其他注意事项
选购SSL证书除了看证书、域名类型和品牌外,也要关注提供商所提供的一些服务。
举个例子,购买SSL证书后,一般不支持退款。但蔚可云支持30天内无理由退款,SSL证书价格比其他平台还低,就很不错。再比如配置证书出现问题时,客服响应速度等等,在价格相差不大的前提下,服务越多越好。
SSL证书推荐
(1) 个人用户
个人用户购买SSL证书,图的就是一个省心,物美价廉。推荐购买RapidSSL的域名级(DV)证书,一年一百多块钱,差不多是开通某一个平台会员的价格。
(2) 企业
无论是小型企业还是大型企业,都推荐GlobaSign 企业级(OV)证书,这个品牌深受国内各大互联网企业的青睐,相对稳定,价格也适中。
(3) 金融等行业
对安全性要求较高的行业,例如金融证券,云计算等,直接上Secure Site Pro 增强级(EV)即可。
问题解答
文章开头提出的几个问题,很多人在购买SSL证书之初非常关心,下面来解答一下。如果你有什么问题,也欢迎提出来。
(1) 免费SSL证书和付费证书有什么区别?
免费SSL证书和付费证书有一些区别。免费的证书只有DV一种类型,并且只能绑定一个域名,不支持多域名和通配符,而且免费证书一般都是由用户自行安装,没有后期服务和技术支持。
免费SSL证书的有效期也比较短,每一个月或者三个月得更新一次。总得来说,免费的SSL证书适合作为一种临时的解决方案使用。
(2) 为什么有的证书一年只要一百多?一些证书一年却要大几千?
除了证书类型不同、域名类型不同和品牌不同,会导致SSL证书价格差异外,兼容性的好坏也会影响SSL证书的价格,兼容性越好的SSL证书,价格越贵。例如价格便宜的Sectigo兼容性就不如更贵的Symantec。用户在iOS7、iOS8和比较旧版本的MacOS就无法访问部署Sectigo的网站,但却可以访问部署Symantec的网站。
(3) SSL证书的作用到底有多大?值不值得花钱去配置?
SSL证书的价值到底多大,不同企业会有不同的感受,但为网站部署SSL证书是大趋势。我认为只要有网站有流量,就应该使用SSL证书,流量低可以先使用便宜的SSL证书即可。
(4) 安装证书后,真的会提升搜索引擎排名吗?
2015年,百度宣布全面支持https页面直接收录,权值相同的站点,采用https协议的页面在排名上会优先对待。Google也有类似的公告。
可以明确的是,配置SSL证书对SEO有利,但不要期待产生多大的效果,不可能配置SSL证书后,流量就大把大把的来。