免费和收费 SSL 证书有什么不同吗？没看到优缺点

@Tumblr

对于「收费的可以申请 2 年的（证书合同可以签 3 年或 5 年，但是证书 2 年签发一次）。」
iOS 推出了这么一项政策，证书最大有效期约 13 个月，所以签发还是得 1 年 1 次。

https://support.apple.com/en-us/HT211025

安全性（加密算法角度） 自签 = 免费 = 收费 因为算法没什么问题，大家用的都一样
安全性（系统宏观角度） 自签 < 免费 <= 收费 因为自签基本不会遵循 PKI 规范。也不会架设服务器用于 crl 和 ocsp 之类的，对吧，私钥丢了就换，吊销个毛线。


至于 DV OV EV， 如果用户用的浏览器是你自己编译的，你可以随意指定 EV （绿标） CA 。 想让谁绿，谁就能绿。

收费的价值相当于买保险。大型企业要转移风险。假设某证书签发公司的 CA 证书私钥，被技术总监的小舅子喝酒划拳赢了拷贝走了。 结果用于山寨网站 /MITM/等等 给客户造成了经济损失，是要赔钱的。

免费的是没有保障的，它可以随时回收你证书，或者他 CA 被泄露了也没有任何补偿

收费的可以一年证书，而且你付了钱，商业 CA 都有保险，出问题是可以赔钱的

安全性上面，没啥区别

@lookookok #8 @love #14
现在有新证书了，比如 R3，新的 OCSP 地址，目前可以正常访问。

日常使用不会有什么差别，但是企业用最好是付费，带协议的那种。
出了事索赔放一边，关键是相比免费的相对靠谱（免费的没记错都有一堆免责协议）。

另外，多域名证书现在还没发现有免费的。

@ETiV #21 感谢分享~ 看来我的信息不够新。
我的信息还停留在 2018 年和 digicert 买证书时的阶段~ 他们说以前可以买 3 年甚至更长时间的，但是现在（当时）最长只能 24 个月了（为了给用户提供更换窗口，他们会签 25 个月，但合同里以 24 个月计）。

@cominghome Let's Encrypt 支持多域名，一张证书最多可以包含 100 个域名

有个问题，自签 客户端如何拿到公钥？

免费证书真的能省下一大笔钱，特别是泛域名的情况，一个域名一年好几千
正常使用下理论上没什么特别大的区别

无非就是每 3 个月定时更新一下，问题也不是很大

还是蛮推荐是使用免费域名证书的