为何很多互联网巨头(Google, Amazon, Facebook, etc.)并不使用 EV 级别的 SSL 证书?

EV不便宜，没必要而已吧，技术上没难度，就是换个证书而已
DV防中间人足够了。
EV主要是能防钓鱼（绿色地址栏，这样就算有人搞了个钓鱼域名还签出了证书也没用）
一般的网络服务并不需要这样的防钓鱼，能加密防中间人足够了

@ryd994
不对不对，主要是他们子域名太多了，买EV不能用通配符，太贵了。
所以直接发OV的通配，注意是OV不是DV。
另外，再多的EV他们也能付的起，但是他们不想用SNI来支持多证书，也不想为不同的域名配置单独的IP。
再者说了，管理这么多张证书也是个麻烦事。。。

@futursolo 一样有多域的EV证书的

@futursolo 谷歌除了appspot其他地方不用通配符的好吧

@futursolo 首先 Class 3 证书是有通配符的。 其次完全可以部署一张通配符证书用作默认证书，支持 SNI 的客户端在访问主域名的时候再使用 C3 证书

@BlueFly 多域!=通配符，按规定EV证书不能用通配符

@0okmnbvcxzx 一样有通配符的EV证书， digicert.com 有卖

@ryd994 谷歌用通配符的一大堆

DNS Name=*.google.com
DNS Name=*.android.com
DNS Name=*.appengine.google.com
DNS Name=*.cloud.google.com
DNS Name=*.google-analytics.com
DNS Name=*.google.ca
DNS Name=*.google.cl
DNS Name=*.google.co.in
DNS Name=*.google.co.jp
DNS Name=*.google.co.uk
DNS Name=*.google.com.ar
DNS Name=*.google.com.au
DNS Name=*.google.com.br
DNS Name=*.google.com.co
DNS Name=*.google.com.mx
DNS Name=*.google.com.tr
DNS Name=*.google.com.vn
DNS Name=*.google.de
DNS Name=*.google.es
DNS Name=*.google.fr
DNS Name=*.google.hu
DNS Name=*.google.it
DNS Name=*.google.nl
DNS Name=*.google.pl
DNS Name=*.google.pt
DNS Name=*.googleadapis.com
DNS Name=*.googleapis.cn
DNS Name=*.googlecommerce.com
DNS Name=*.googlevideo.com
DNS Name=*.gstatic.cn
DNS Name=*.gstatic.com
DNS Name=*.gvt1.com
DNS Name=*.gvt2.com
DNS Name=*.metric.gstatic.com
DNS Name=*.urchin.com
DNS Name=*.url.google.com
DNS Name=*.youtube-nocookie.com
DNS Name=*.youtube.com
DNS Name=*.youtubeeducation.com
DNS Name=*.ytimg.com

（反正他们自己就是中级CA..想发什么发什么

@ryd994
。。。blogspot，googleusercontent，etc.
顺便给你贴一张微软的ev证书的使用者可选名称（不动请谷歌）好了。
DNS Name=login.live.com
DNS Name=loginnet.passport.com
DNS Name=msnia.login.live.com
DNS Name=pst.microsoftpassportsupport.net
DNS Name=api.login.live.com
DNS Name=tools.login.live.com
DNS Name=xml.login.live.com
DNS Name=nexus.passport.com
DNS Name=login.passport.com
DNS Name=msnialogin.passport.com
其次，google在很多地方都有地方搜索，所以，它的证书的使用者可选名称是这样的：
DNS Name=*.google.com
DNS Name=*.android.com
DNS Name=*.appengine.google.com
DNS Name=*.cloud.google.com
DNS Name=*.google-analytics.com
DNS Name=*.google.ca
DNS Name=*.google.cl
DNS Name=*.google.co.in
DNS Name=*.google.co.jp
DNS Name=*.google.co.uk
DNS Name=*.google.com.ar
DNS Name=*.google.com.au
DNS Name=*.google.com.br
DNS Name=*.google.com.co
DNS Name=*.google.com.mx
DNS Name=*.google.com.tr
DNS Name=*.google.com.vn
DNS Name=*.google.de
DNS Name=*.google.es
DNS Name=*.google.fr
DNS Name=*.google.hu
DNS Name=*.google.it
DNS Name=*.google.nl
DNS Name=*.google.pl
DNS Name=*.google.pt
DNS Name=*.googleadapis.com
DNS Name=*.googleapis.cn
DNS Name=*.googlecommerce.com
DNS Name=*.googlevideo.com
DNS Name=*.gstatic.cn
DNS Name=*.gstatic.com
DNS Name=*.gvt1.com
DNS Name=*.gvt2.com
DNS Name=*.metric.gstatic.com
DNS Name=*.urchin.com
DNS Name=*.url.google.com
DNS Name=*.youtube-nocookie.com
DNS Name=*.youtube.com
DNS Name=*.youtubeeducation.com
DNS Name=*.ytimg.com
DNS Name=android.com
DNS Name=g.co
DNS Name=goo.gl
DNS Name=google-analytics.com
DNS Name=google.com
DNS Name=googlecommerce.com
DNS Name=urchin.com
DNS Name=youtu.be
DNS Name=youtube.com
DNS Name=youtubeeducation.com
这是使用了通配的情况下，如果把子域名全加上，列表会有多长？
Q:如果是你，你会不会一张一张办证书？

@typcn EV是没有的，根据 CA/Browser 论坛的协定，EV不允许签发通配符证书。如果签发 EV 的通配符，是违背了 CA/Browser 的协定的（CA/Browser 是 CA 和各大浏览器厂商组成的非营利性论坛组织）。

@BlueFly EV Multi-Domain不是通配符，WildCard才是通配符。

@futursolo 嗯，搞错了

@futursolo
@azuis
学习了

@futursolo 谷歌完全可以只给搜索加 EV 证书，那些静态域名又无所谓

@typcn
不是说了嘛，管理那么多证书很麻烦。。。
其次如果对搜索单独对待的话，要么给搜索单独准备一份IP列表，要么使用SNI。单独准备IP对于CDN的部署很不利，甚至可以说是很麻烦，Google的工作人员还要处理单独的DNS记录，这都是不可取的；使用SNI的话，IE7及以下的浏览器都要被舍弃，不要说在哪里，在天朝就不合适，Windows XP的占有率仍在第一，用IE6的也大有人在。
还有，比搜索更需要EV的地方多了去了，Google Wallet，Google Cloud Platform，Google Play Store等等，为什么给搜索加？不要说那是Google主业，老外看重的是需求，也就是必要性。再说，Google都有中级证书颁发机构了，发什么不行，只要看一下不是Google Internet Authority G2发的，一律都是伪造，不发EV也肯定有他们的考虑，Google的人不敢说多聪明，但是一定不傻。CA都买了还不发EV，这肯定是经过多轮论证的，而且拉里·佩奇肯定知情。

MS 才是各种乱，有 MS 自己给自己签的，https://insider.windows.com/ https://www.bing.com/

还有不同的自己给自己签的，https://azure.microsoft.com/zh-cn/

也有 verisign 签的和 symentec 签的（虽然这两家是一家人） EV， https://www.microsoft.com ，https://login.live.com/

@futursolo 为什么不能用 SNI ？ 不支持 SNI 的客户端输出通配符证书，带 SNI 的客户端输出 EV 证书。

结果只是 不带 SNI 的客户端看不到绿色地址栏而已

EV 和普通的证书提供的安全性是一样的，加上 EV 无非是在地址栏上好看一点。对于访问 Google 来说，地址栏上已经有 google.com，多加一个 google.com 完全没有意义。

EV貌似就是增加品牌识别度吧？

@typcn ¬_¬ 槽点太多。

EV证书就是为了防止DV证书伪造的，你还主动返回DV混淆用户…