SSL证书

SSL和HTTPS的工作机制就不多说了, 密钥交换加通道依然是非常靠谱的安全访问方式, 除非你的浏览器连证书和DNS都被劫持, 否则中间节点要解密/篡改HTTPS访问的可能性微乎其微. 现在的主流浏览器都会将非HTTPS的浏览器访问明确标识为不安全, 所以证书几乎是网站必备了.

按验证等级分类

  • DV SSL: domain validation certificate, 校验域名有效性, 即使用此域名的主体(人或者机构), 是否与申请此证书的主体一致
  • OV SSL: organization validation certificate, 校验机构有效性, 不仅包含DV的验证, 还包含发证机构对此主体的真实性的认证(传真企业证照信息,打电话确认等)
  • EV SSL: enterprise valication certificate, 企业增强型SSL证书,确保域名和企业关系

按域名的方式分类

  • 单域名匹配: 就是域名字符串要完全一致, 用于匹配单个域名
  • 通配符匹配: 允许有一个*号, 注意只能是一个域名段的通配, 例如*.github.com可以匹配a.github.com, b.github.com, 但是不能匹配a.b.github.com, 如果要对这个匹配, 要购买*.b.github.com的通配证书
  • 多域名严格匹配: 这个其实就是严格匹配的复数版本, 单独列一个是因为有些服务商会把这个作为一个类型进行销售

常用服务商:

  • Comodo(Sectigo)
  • GeoTrust Digicert旗下的子品牌
  • Rapid Digicert旗下的子品牌
  • Thawte Digicert旗下的子品牌
  • DigiCert 原属于Symantec, 全球最大的SSL证书服务商
  • GlobalSign 较多用于国际电子商务网站
  • Let's Encrypt 可以用脚本自动续期的免费证书, 周期90天
  • CFCA 国内证书服务商
  • vTrus 国内服务商
  • WoSign 沃通, 国内服务商

常用零售商:

  • 虚拟主机服务商
  • 云服务商
  • 域名服务商

证书可能通过GoDaddy, 阿里云, 腾讯云等各种平台购买, 但是背后的证书服务商总共就是那么几个, 都是一样的.

免费证书

  • Digicert 单域名证书
  • Let's Encrypt 通配符证书

收费证书

按类型, 证书等级和服务商的当前价格列表供参考, 不同时间价格可能有变动, 价格区分变化不大

  • 单域名

    • DV SSL

      • GeoTrust 378
      • GlobalSign 2,000
      • vTrus 1,200
      • WoSign 880
    • OV SSL
      • DigiCert 5,000
      • DigiCert Pro 8,000
      • GeoTrust 2,600
      • GlobalSign 3,800
      • CFCA 4,000
      • vTrus 4,000
    • EV SSL
      • DigiCert 8,000
      • DigiCert Pro 12,800
      • GenTrust 5,000
      • CFCA 10,000
  • 通配符
    • DV SSL

      • DigiCert 2,000
      • GeoTrust 1,500
      • GlobalSign 7,000
      • WoSign 2,600
      • vTrus 3,000
    • OV SSL
      • DigiCert 40,000
      • GeoTrust 7,000
      • GlobalSign 13,000
      • CFCA 15,000
      • vTrus 12,000

实际使用

证书的选择标准, 就是在覆盖产品的使用场景要求的前提下, 选择1)响应速度最快的,2)价格最便宜的,3)续期最方便的

  • 涉及跨境交易业务, 使用GlobalSign. 如果使用其他服务商的证书, 不能确保不被其他国家的支付工具拦截(或提示风险)
  • 除非监管要求或业务特性要求, 不必使用高等级的验证
  • 个人以及非经营性网站, 可以使用免费的DigiCert, 通过阿里云等云服务商申请非常方便
  • 不推荐 Let's Encrypt 虽然免费, 但是不好用. 90天的期限太短, 而自动续期脚本并非一直可用, 服务商调整服务后, 脚本要更新才能继续用, 非常坑.
  • 用户仅限于国内的经营性网站, 可以使用便宜的国内证书服务商
  • 通过云服务商去购买, 比自己去这些服务商官网购买, 会有更多折扣

SSL证书类型价格和购买的更多相关文章

  1. 如何选择合适的SSL证书类型

    网站安装SSL证书就可以将http升级为https加密模式,网站安装SSL证书因此成为一种趋势.如何为网站选择适合的SSL证书类型呢? SSL证书类型可分为2大类:1)按照验证方式分类2)按照支持域名 ...

  2. SSL 证书类型说明: DV OV EV

    内容来自: ssl 证书的三种类型: dv (域名型) , ov (企业型) 和 ev (扩展型) OV.DV和EV证书的区别 另外: 浏览器兼容性测试报告 Symantec 证书为什么相比其他证书要 ...

  3. ssl证书类型

    SSL证书依据功能和品牌不同分类有所不同,但SSL证书作为国际通用的产品,最为重要的便是产品兼容性(即证书根预埋技术),因为他解决了网民登录网站的信任问题,网民可以通过SSL证书轻松识别网站的真实身份 ...

  4. 我们在部署 HTTPS 网站时,该如何选择SSL证书?

    我们在部署 HTTPS 网站时,该如何选择SSL证书? 首次部署HTTPS网站的同学对选择什么样的SSL证书多多少少都有点迷茫. 这里考虑的因素确实不少:是否支持多域名.泛域名,价格,信息泄露的保额, ...

  5. SSL证书与Https应用部署小结

    为了提高网站的安全性,一般会在比较敏感的部分页面采用https传输,比如注册.登录.控制台等.像Gmail.网银等全部采用https传输. https/ssl 主要起到两个作用:网站认证.内容加密传输 ...

  6. CA机构介绍(Certificate Authority 域名SSL证书颁发机构)

    SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构. HTT ...

  7. 免费SSL证书申请及部署实践

    网络上关于如何签发免费SSL证书的博文一大片,但是真正操作起来的能让新手不迷惑的却很少,很多操作步骤受限于国内无法访问外网的阻碍,导致无法真正实施成功. 实际上,关于申请免费SSL证书主要涉及两大部分 ...

  8. Let’s encrypt 计划为网站提供免费的基本 SSL 证书,以加速互联网从 HTTP 向 HTTPS 过渡。

    Let’s encrypt 计划为网站提供免费的基本 SSL 证书,以加速互联网从 HTTP 向 HTTPS 过渡. 该项目由Mozilla.Cisco.Akamai.IdenTrust.EFF 和密 ...

  9. CA/B Forum: SSL证书最长有效期最终被定为两年

    这项新规将在2018年实施...... 随着CAB Forum第193号投票的通过,SSL行业将拥有更新更短的最长SSL证书有效期. 作为SSL行业的风向标,CAB Forum制定过许多行业规则,及规 ...

  10. 免费SSL证书PK付费SSL证书 花落谁家

    3月17日和18日,Google Chrome 57.0.2987.110与Mozilla Firefox 52.0.1分别上线,而这两款浏览器都出现了一个共同点:打压HTTP协议.在Firefox ...

随机推荐

  1. [转帖]从Linux源码看TIME_WAIT状态的持续时间

    https://zhuanlan.zhihu.com/p/286537295 从Linux源码看TIME_WAIT状态的持续时间 前言 笔者一直以为在Linux下TIME_WAIT状态的Socket持 ...

  2. Python学习之十五_不同类型数据库表内容比较

    Python学习只十五_不同类型数据库表内容比较 前言 最近学习力总结了很多Python相关的内容 本次想继续学习一下不同数据库之间的数据比较. 这样理论上可以极大的缩减不同数据库测试成本. 感谢Py ...

  3. [转帖]062、监控指标之PD

    PD相关 Grafana 监控 PD -> PD Dashboard 是否存在异常状态的TiKV Grafana 监控 PD -> Region health 大表清理后,出现了大量的空r ...

  4. [转帖]linux之iftop命令

    https://rumenz.com/rumenbiji/linux-iftop.html Linux安装iftop > yum install iftop -y > iftop 界面如下 ...

  5. ARM下KVM虚拟化的损耗验证--redis

    ARM下KVM虚拟化的损耗验证 摘要 看Windows 上面的 Workstation的虚拟机的 网络层的延迟特别高. 突然想之前统计都是直接在本地验证的, 只考虑了虚拟化CPU的性能损耗 没有考虑虚 ...

  6. [转帖]RFC1180

    [译] RFC 1180:朴素 TCP/IP 教程(1991) 译者序 本文翻译自 1991 年的一份 RFC(1180): A TCP/IP Tutorial. 本文虽距今将近 20 年,但内容并未 ...

  7. 一文详解 Netty 组件

    作者:京东物流 张弓言 一.背景 Netty 是一款优秀的高性能网络框架,内部通过 NIO 的方式来处理网络请求,在高负载下也能可靠和高效地处理 I/O 操作 作为较底层的网络通信框架,其被广泛应用在 ...

  8. @Transaction注解的失效场景

    作者:京东物流 孔祥东 背景 事情是这样,最近在实现一个需求的时候,有一个定时异步任务会捞取主表的数据并置为处理中(为了防止任务执行时间过长,下次任务执行把本次数据重复捞取),然后根据主表关联明细表数 ...

  9. echarts第二次渲染不出来的原因

    场景描述 echarts主要用于数据可视化展示 有些时候,我们可能会根据不同的条件,在页面上进行显示和隐藏. 比如说:页面最初展示了数据,当我点击不同的按钮的时候. echarts会对应的展示或者隐藏 ...

  10. 如何控制Tomcat的catalina.out的大小

    catalina.out文件,数据主要来源为:System.out 和 System.err 在控制台上直接输出的信息. 编码时应避免使用System.out.println()和e.printSta ...