V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ayanmw
V2EX  ›  SSL

商业网站用免费 https 有什么不妥

  •  
  •   ayanmw · 2019-07-08 11:26:12 +08:00 · 4442 次点击
    这是一个创建于 1726 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT. 有免费的 SSL 可以用,为什么还要用收费的? 说资质,这个大部人根本不会去看 https 那里的证书信息的,有什么卵用?

    https 使用 ssl 比 http 安全,这个本来就应该大量普及的,就应该免费让大家的网站使用; https 还要区分三六九等么?

    呵呵 想不明白

    10 条回复    2019-07-08 15:32:00 +08:00
    phy25
        1
    phy25  
       2019-07-08 12:40:45 +08:00 via Android
    zjyl1994
        2
    zjyl1994  
       2019-07-08 12:56:23 +08:00
    也就 ev 有点区别,别的区别真的不大
    whileFalse
        3
    whileFalse  
       2019-07-08 13:02:51 +08:00
    1. 免费的没有 EV。这个看需求,EV 那么贵。另外 EV 不能 wildcard。所以你如果需要 wildcard 证书,那这就不是问题
    2. 有效期短,Let's 家的只有 90 天。所以你需要一个自动化的证书更新流程。
    gstqc
        4
    gstqc  
       2019-07-08 13:04:38 +08:00 via Android
    得看规模和业务

    你要是支付宝的安全相关的员工,你打报告说 alipay.com 用免费证书吧,能省好多钱
    估计你会被痛批一顿

    小公司就没啥差别了
    LukeChien
        5
    LukeChien  
       2019-07-08 13:06:05 +08:00 via Android
    DV 的区别就是算法的支持、浏览器兼容性、保险赔偿。技术上免费的不比收费的差,三个月有效期反而更安全。至于保险,借用一句平安的话术: 你不让别人买保险,别人出事了你借钱给人家?
    iyaozhen
        6
    iyaozhen  
       2019-07-08 13:08:37 +08:00 via Android
    看业务规模,公司接入层几万台机器,3 个月更新一次证书?
    而且买一家的还不行,得买多家,不知道哪家又出什么幺蛾子了
    laozhoubuluo
        7
    laozhoubuluo  
       2019-07-08 14:54:02 +08:00
    1. 安全性上几乎不存在问题,而且现在有证书透明度制度让 CA 不敢瞎搞,这种东西本来就是个互信制度,破坏安全体系就等死吧,乱搞一个 update 直接干掉这个 CA 的根。而且现在还有前向加密,即使拿到私钥也无法解开使用支持 FS 加密的算法加密的数据。
    2. 差距就是一些体验性的东西。有些企业喜欢标题栏显示自己单位名称的 EV 证书,这个就必须收费而且不便宜。或者基础设施庞大,更新一次证书费死劲,会希望要一年以上的证书,免费的最多一年,最火的了 let's encrypt 只有三个月,要么全局设计一套更新体系,要么就买两年甚至三年的证书吧。或者单位大气,习惯了 oracle、ms 级别的跪式服务,买一个 CA 企业的支持服务也不是不行。
    3. 看您做什么,如果就是一般的企业网站,那免费的完全够,let's encrypt 设置上自动更新脚本即可。如果您在一个大企业,考虑到各种因素( EV、期限、服务)您愿意买一个证书也不是不行。当然如果是土豪单位,建议来个 EV 证书,打开网页绿色小锁后面跟着单位名称,多舒服啊(炒我国股票类的公司就算了,有些浏览器有些版本单位名称是绿色字显示的)。
    h4wklee
        8
    h4wklee  
       2019-07-08 15:24:47 +08:00   ❤️ 3
    @laozhoubuluo 领导:我想让这个字变成红的,小张,你帮我处理一下
    est
        9
    est  
       2019-07-08 15:30:06 +08:00
    企业证书还可以拿来邮件 S-MIME 签名,客户端证书,给代码签名。

    免费的好像就不行。。
    irainsoft
        10
    irainsoft  
       2019-07-08 15:32:00 +08:00
    域名所有权的验证严格程度是不同的,而且 CA 至少得有钱买保险啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2779 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:55 · PVG 19:55 · LAX 04:55 · JFK 07:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.