明明 lets encrypt 可以提供免费证书, 为什么很多人还要花大钱买

您这一招叫：堵死自己的商业嗅觉。
从公司的角度来看，免费的其实也是最贵的。
如果你看到的大网站还在用 Let's Encrypt 的话，你会发现他们有个特点，创始人基本是技术起家的。

zerossl 挺好的

我就想问免费证书支持 SAN ? 你看很多商业公司一个证书签了 n 多域名. 不比免费的好?

遇到一个问题，阿里云支付回调不认可这些证书，这就很头疼了。

@jeesk #123 支持的，Let's Encrypt 能签 100 个 SAN （含通配符） Posh-ACME 列的几家免费证书就有 3 家可以 https://poshac.me/docs/v4/Guides/ACME-CA-Comparison/#acme-ca-info

说真的，用着免费版或者 Pro 版的 Cloudflare 的网站，大多都选择 Cf 托管的 ssl 证书吧。CF 给的就是从 Let's Encrypt 和 Google Trust Services 里选的证书啊。

1. 一些从业较久、声誉良好的付费证书提供商可针对老旧系统或设备提供更广泛的兼容性。

2. 付费证书提供商多年以来的宣传会无形中培养一些关于证书产品的刻板印象，改变了一些公司或人员的消费习惯。

3. 付费证书提供商开出的高价中往往包含“赔付”或“保障”等服务，可以帮助开发人员和管理者分担出现事故时的责任与风险（而且反正又不需要我们打工的出钱）

4. 价格更高的 EV 、OV 证书在某些场景下是一种身份证明和财力/实力象征，能一定程度上博取用户/客户信任。
（例如 Google 直接自建 CA ）（例如“我可能用不上，但我不能没有”，就像工商银行可以砸钱去 ICANN 买一个 *.icbc 的域名后缀那样，哪怕并没有实际业务用也无所谓）

5. 一些历史包袱较重的服务，以及维护它们的公司/政⁡府难以轻松地为系统添加自动化证书更新。哪怕一些全球知名的大公司也逃不过偶尔的“证书过期”事故。
（相关新闻可搜索关键词：淘宝 证书过期、Apple Music 证书过期）

1. 设备兼容性。你不能要求用户不使用老设备，也不能要求老业务组去升级基础设施（真的会死）
2. 证书轮换，项目各种奇葩部署方式导致证书根本收不上来，难不成每 2 个月就要到七八个项目组二三十个证书轮换点挨个去轮换？
3. OCSP ，Lets encrypt 的 OCSP 经常被墙，导致 ios 用户首次请求直接寄（超时 10s ）。
4. 业务多了，Lets encrypt 的免费单域名不够用，通配解析又存在分发问题（参照第二点）。
5. 安规，你以为买 OV 和 EV 只是个证书？其实买的是审查和设计。

问出这个问题，难道没赶上 Lets Encrypt 更换根证书的时候吗，证书只是运维的一个小部分，没有人天天能盯着这么多东西的。
至于说做好监控，或者自动 acme.sh ，现实情况远比梦里的复杂，你觉得是雇个人天天盯着成本低，还是直接花几千块钱买个证省下一年十几个 (人/日) 成本低。

你了解一下证书等级，然后各个等级的详细作用就自然明白了。搞这么多不是没有意义的。

简单地说，lets encrypt 的证书的作用只是保证你和某个网站之间的线路是 SSL ，也就是加密的，他不能证明也不能证明，张三就一定是张三，有可能是张 3 。（你自己想想，你提交证书的时候让你提交营业执照了吗）

企业级的证书，除了加密以外，还能证明，我这个 taobao.com 就是阿里巴巴开的购物网站，而不是第三方冒充的。懂了吗？

都是生意，就跟你搞不懂为什么有的企业/单位几十几百万搞一个系统然后没人用一样
我之前在那央企运维，证书是系统建设跟每年的维保项目里带的，我看价格是按最贵的套餐来的，实际就官网邮箱俩系统上了证书

@shengmi 这个说出了大多数情况下的的根本原因

私人项目还行，稍微大点的项目，特别是一挂影响业务的还是别 3 个月一更新，万一挂了折腾。

lets encrypt 会被墙, 影响 iOS/macos 下的用户访问

自己 nas 的 SSL 证书月底就到期了。考虑过使用 lets encrypt ,但是不知道威联通的证书存在那里，他自己的域名可以使用 lets encrypt 。使用 cloudflare 的证书，人家是自签名，用不了。最后花了 14.95 美元买了 5 年的 sectigo 的 DV 证书,一年一续，一年不到 3 美元还能接受。考虑过淘宝的 SSL ，但是公钥私钥都在他们手里，不敢用！

是不是智商税要看价格是否匹配品质，加价十万的雷克萨斯我骂它是智商税，降价十万我绝对连夜去 4S 店门口排队。

公司今年买了国内某个代理商的证书，三月份买的八月份开始电话狂轰乱炸要我提前续费。并且暗示如果一次性续三年可以送我一部最新款苹果手机，可见这玩意儿有多暴利。我可以合理怀疑他们公司 99%的成本来自销售员的工资和电话费，剩下的才是证书这个产品本身的价值。

看看阿里云上卖的证书，同样是 OV 证书，下面六个品牌价格从 1700 到 8100 不等，你们谁能一句话说出这六个证书的区别是什么？如果你们老板让你购买证书你会选择哪一个品牌并给出什么样的让人信服的理由？国内这些互联网大厂爆出的各种事故哪一个是因为证书安全性不够造成的？我觉得这玩意儿就应该跟域名卖一样的价格

@xyz3210 居然有这么便宜得阿 , 我以为一般起码几百一年, 就因为一般人不懂这门道, 搞不清区别, 干脆用免费得了
@taizhenhua1987 差不多就这意思, 就像上面有人说 15 美元买 5 年, 也有几千几万一年得 , 我相信没几个人知道区别, 即使是公司网管这类得, 他们肯定和领导说贵的好

@zjsxwc #74 V2EX 是私人站点，又不是商业产品

LE 的 DV 信任度没想象那么好而且依赖自动化 (自动化带来了安全性降低, 方便和安全不可兼得), 商业 DV 泛域名其实完全应对绝大部分企业的需求, 商业 EV 现在基本属于智商税 (保险和 OV 大差不差, 但没有像以前那样的绿标), 超大型企业一般会选择购入一个中级证书以方便大量服务部署.

实际上保险在 99.9999% 时候都是没用的, 可能部分大型公司图 SLA 买保险减少那微乎其微的损失.

部分情况会有合规需求, 通常也是 OV SSL 就够了, 包括银行站点基本也是用的 OV SSL. 一些证书颁发机构会声称 EV SSL 验证比 OV SSL 更繁琐, 但这实际上(对最终用户最终转化到企业)并不能带来任何的优势, 据说这也是 EV SSL 被取消绿标的原因.

当然还有一种情况就是因为 EV SSL 现在没什么优势, 所以价格和 OV SSL 越来越近, 因为 OV SSL 本来也不便宜, 加点钱上 EV 可能并没想象中那么难以忍受. 不过 EV SSL 还有一个重大缺陷 (以前有, 现在不确定): 没有泛域名支持.
DV SSL 的例子: Cloudflare
OV SSL 的例子: 建行, Google, 通常也包括下面 EV SSL 的例子 (只是不在主站)
EV SSL 的例子: 中行, Apple, Paypal