商业网站用免费 https 有什么不妥

2019-07-08 11:26:12 +08:00
 ayanmw

RT. 有免费的 SSL 可以用,为什么还要用收费的? 说资质,这个大部人根本不会去看 https 那里的证书信息的,有什么卵用?

https 使用 ssl 比 http 安全,这个本来就应该大量普及的,就应该免费让大家的网站使用; https 还要区分三六九等么?

呵呵 想不明白

4664 次点击
所在节点    SSL
10 条回复
phy25
2019-07-08 12:40:45 +08:00
zjyl1994
2019-07-08 12:56:23 +08:00
也就 ev 有点区别,别的区别真的不大
whileFalse
2019-07-08 13:02:51 +08:00
1. 免费的没有 EV。这个看需求,EV 那么贵。另外 EV 不能 wildcard。所以你如果需要 wildcard 证书,那这就不是问题
2. 有效期短,Let's 家的只有 90 天。所以你需要一个自动化的证书更新流程。
0ZXYDDu796nVCFxq
2019-07-08 13:04:38 +08:00
得看规模和业务

你要是支付宝的安全相关的员工,你打报告说 alipay.com 用免费证书吧,能省好多钱
估计你会被痛批一顿

小公司就没啥差别了
LukeChien
2019-07-08 13:06:05 +08:00
DV 的区别就是算法的支持、浏览器兼容性、保险赔偿。技术上免费的不比收费的差,三个月有效期反而更安全。至于保险,借用一句平安的话术: 你不让别人买保险,别人出事了你借钱给人家?
iyaozhen
2019-07-08 13:08:37 +08:00
看业务规模,公司接入层几万台机器,3 个月更新一次证书?
而且买一家的还不行,得买多家,不知道哪家又出什么幺蛾子了
laozhoubuluo
2019-07-08 14:54:02 +08:00
1. 安全性上几乎不存在问题,而且现在有证书透明度制度让 CA 不敢瞎搞,这种东西本来就是个互信制度,破坏安全体系就等死吧,乱搞一个 update 直接干掉这个 CA 的根。而且现在还有前向加密,即使拿到私钥也无法解开使用支持 FS 加密的算法加密的数据。
2. 差距就是一些体验性的东西。有些企业喜欢标题栏显示自己单位名称的 EV 证书,这个就必须收费而且不便宜。或者基础设施庞大,更新一次证书费死劲,会希望要一年以上的证书,免费的最多一年,最火的了 let's encrypt 只有三个月,要么全局设计一套更新体系,要么就买两年甚至三年的证书吧。或者单位大气,习惯了 oracle、ms 级别的跪式服务,买一个 CA 企业的支持服务也不是不行。
3. 看您做什么,如果就是一般的企业网站,那免费的完全够,let's encrypt 设置上自动更新脚本即可。如果您在一个大企业,考虑到各种因素( EV、期限、服务)您愿意买一个证书也不是不行。当然如果是土豪单位,建议来个 EV 证书,打开网页绿色小锁后面跟着单位名称,多舒服啊(炒我国股票类的公司就算了,有些浏览器有些版本单位名称是绿色字显示的)。
h4wklee
2019-07-08 15:24:47 +08:00
@laozhoubuluo 领导:我想让这个字变成红的,小张,你帮我处理一下
est
2019-07-08 15:30:06 +08:00
企业证书还可以拿来邮件 S-MIME 签名,客户端证书,给代码签名。

免费的好像就不行。。
irainsoft
2019-07-08 15:32:00 +08:00
域名所有权的验证严格程度是不同的,而且 CA 至少得有钱买保险啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/580941

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX