為什麼SSL證書的價格相差那麼大呢?即使加密強度一樣,同樣只是顯示綠色鎖的標誌,並沒有帶機構名的綠條

比如最便宜的GeoTrust RapidSSL和COMODO PositiveSSL只需要9美金一年,StartSSL甚至還可以申請免費證書,還有明年正式推出的Let"s encrypt全免費項目。COMODO那個甚至還支持了最新的ECC演算法證書。

那些每年上十萬元綠條的EV證書和普通的SSL證書有所區別就不討論,但很多加密強度一樣,同樣只是顯示綠色鎖的標誌的證書,比如Symantec的Symantec Secure Site Pro沒有綠條,對客戶來說跟那些便宜甚至免費的證書加密強度一樣,都是sha256RSA的簽名演算法,2048或4096位公鑰。為什麼貴那麼多呢?


傳輸層加密僅僅是 SSL 證書的作用之一;SSL 證書更主要的用處其實在於驗證網站及其背後企業的真實性以及合法性。

更貴的 SSL 證書的驗證過程通常更加嚴謹。DV(Domain Validation)級別的證書(如你提到的 GeoTrust QuickSSL)在簽發之前只會驗證你對域名的使用權,並不對域名使用者本身進行任何驗證。而更高端一點的 OV(Organization Validation)會驗證域名背後的公司 / 組織的真實性和合法性(個人用戶通常是無法獲得 OV 證書的)。並且和 DV 不同,OV 證書籤發之前是需要 paperwork 的,需要提交相關的證明、執照等材料。過程更複雜、簽發更嚴謹,價格自然就更高。

另外,你購買證書時往往還同時為顧客購買了一份保險(warranty):如果由於 CA 的失誤給一個詐騙 / 非法的公司或組織頒發了證書,並且顧客在這種網站上消費造成了財產損失,CA 會在一定程度上對顧客進行賠付。不同價格的證書的賠付額度差異很大,條款亦可能有所不同。例如 RapidSSL 的保額為 $10,000 美元,而 Symantec Secure Site Pro 則為 $1,500,000 美元。

總結:你購買 SSL 證書時所付出的成本除了用於加密之外,其實更多的是為了讓訪客相信你的網站是合法的、可信賴的,而不是一個山寨或欺詐公司。


歪一下樓,現在證書這麼便宜?這讓我產生了一種吐槽12306的強烈慾望。。。


如果你只是想用https來加密,那麼StartSSL申請到的免費證書就夠用了。

我們為什麼不喜歡StartSSL,因為它是免費的,而且是誰都可以申請的。
證書不僅是加密用的,更重要的是,它是你身份的證明。一個我信任的CA頒發的證書,證明效力就要比不信任的CA頒發的證書更好一些。

貴的證書也是這樣,它的證明效力,要比便宜的證書多很多的。


謝謝 @西園寺世界的邀請。

沒做過類似的事,不清楚價格差異確切是為什麼。不過同一個東西,不同品牌的價格不同,這種現象在日常生活中很普遍啊。

你比較價格的時候,只考慮外觀效果(綠鎖)和加密強度這兩個因素是不完全的,我YY的一些其他因素:

  • 證書的適用範圍、功能、有效期
  • 頒發公司的公信力
    • 證書這種東西,信任鏈的頂層就是頒發公司,知名公司的信用當然比一個名不見經傳的小公司值錢得多
  • 頒發公司對證書密鑰的保護能力
  • 服務條款的差別
    • 證書維護、更新、廢棄,擔保、賠償?
  • 還沒YY到的其它……

其實我感覺 Let"s encrypt 的證書對於個人博客類以及一般的企業在技術上已經完全夠用了,至於說SSL證書是身份的象徵,這個有點兒一廂情願的感覺了,畢竟用戶能明白https是個什麼東西都很少,這個佔比估計也就是0.1%而已吧!也就是專業人員會關注一下相關的這些信息,而專業人員還不至於「膚淺」到認為SSL就是網站「身份」的象徵吧!

明月學習筆記Blog - 折騰LNMP的記錄微博客

我的個人博客不僅是SSL,還啟用了HTTP/2,證書是什麼感覺真的不重要!


因為使用證書的目的不是加密,而是證明,加密只是實現證明的手段。
證書的價值跟加密程度沒有任何關係,只與頒發的機構有關。

買證書就是申請一個身份證明,貴的機構頒發的證書,就像身份證,便宜的機構頒發的證書,就像村口小學發的學生證,雖然都是身份證明,都能證明你的身份,但其中的差距,當然不言自明。


現在應該稱呼為DIGICER SYMANTEC,至於Symantec的不但沒有綠色地址欄,而且還為什麼這麼貴,只能這麼解釋:

1、高額的保費

理解成車險一樣,假如你開車碰到人員造成了人員傷亡,這時候高額的保險賠付就解決了你的苦惱,再拿支付寶為例,收取的資金安全險在資金意外丟失時就能派上用場,生活中例子非常多,諸如機票退票險、淘寶退貨險,總結就是和保險類似,在西方世界主流價值觀中,保險永遠是第一位。如果因為ssl安全漏洞引起的利益損失,賠付就成了關鍵,問題在於目前ssl技術是相對安全的,至少每一次都能及時封堵漏洞,保障安全。所以差值原因之一在於保費。

2、企業信譽擔保。

我們知道為什麼美元為何能作為第一投資貨幣,是因為它具有美國的國家擔保,而且08年危機也沒有打倒美元霸主地位,再說人民幣走向國際貨幣也是一種國家擔保,所以人民幣也越來越值得投資者的信任。類似的信用擔保還有很多,像著名的標普評級,講的是一個道理:信譽
回到證書上,Symantec的ssl證書擁有Symantec這種老牌安全廠商做信譽擔保,其價值自然就更高了,另外GeoTrust,Thawte,Rapidssl作為Symantec併購的子品牌,其價值也能夠擊敗競爭對手。就在今年,Symantec的所有品牌SSL/TLS證書業務都出售給DigiCert,參考:https://www.infinisign.com/news/digicert-acquires-symantec,作為DigiCert來說其品牌影響力又達到新的高度。這就解釋企業信譽擔保的價值。

3、技術

我們知道ssl誕生以來,無論是加密方式還是加密位數的變化,還有經歷各種漏洞的過去,ssl技術其實並不那麼神秘,DigiCert/Symantec最新的PKI簽發系統卻是未來的大方向,所以其價值又可能會比其它二線CA高。

4、信任是根源

歷史以來被瀏覽器聯盟論壇成員不信任的CA機構也不在少數,所謂兵敗如山倒,牆倒眾人推,信任永遠是CA的根源,沒有了信任,價值會瞬間從雲霄跌落至谷底,珍惜信任,且行且珍惜。

5、總結

什麼樣的業務決定了什麼樣的需求,金融、大型電商Syamntec一般是首選,其他業務看自身財力及場景。

6、你討厭的廣告來了

但理解我是個機智的機器人,我要為公司充電才能答題,我司為拓展業務推出Comodo旗下入門級PositiveSSL免收首年費用,僅限知友。。。。


Price difference matters as per validation type and yes it becomes big. If talking about extended validation then it comes with same encryption which other ssl validation type has but it comes with extended validation which verifies business in detail and gives green bar to enhance the confidence of the user to the website. If talking about wildcard ssl certificate then also it comes with same encryption which other ssl certificate has but secures main as well as unlimited sub domains of that main domain.


應該是下圖的這個意思。圖片部分打碼以免廣告嫌疑

強制加密證書 SGC SSL
可以將舊版本的瀏覽器40位加密強制加密到256位。這會使你的網站得到很好的保護,甚至允許訪問者使用老的瀏覽器信任你,即使是在舊版本的Internet Explorer和Windows。 SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密演算法(128位)出口限制的因素而推出的,由於出口管制的原因,2001年以前推出的瀏覽器版本(如:IE5)和伺服器版本(Windows2000(server)都只支持56位或40位加密演算法,但由於電腦硬體技術和CPU處理速度的快速提高,使得破解40位加密演算法只需幾秒鐘,而破解56位加密演算法也只需幾天時間。為了加強美國以外的國家的電子商務和網上銀行的安全,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位瀏覽器或伺服器,只要使用支持SGC技術的SSL證書,就能不受限制的實現128位加密。這強制實現128位高強度加密技術簡稱為 SGC 技術。


證書不僅是加密用的,更重要的是,它是你身份的證明。一個我信任的CA頒發的證書,證明效力就要比不信任的CA頒發的證書更好一些。


1、加密強度上面的區別
2、驗證方式上面的區別,高價格的驗證更為嚴格,更加安全。
3、保險額度上面的區別
4、通用性區別
5、公司信譽品牌上的區別,就像蘋果電腦和其他電腦功能都差不多,但是蘋果電腦貴很多。


加密僅僅是ssl證書的功能之一,另一個是標示身份。如果僅僅是為了加密,自簽名自己生成證書都可以(其實很多設備和公司也是這麼乾的,自簽名CA)。付費證書的價值在於其簽名,簽名意義在於標示你是可信的服務方而非偽造的釣魚者。


推薦閱讀:

進行PS4破解需要哪些基礎知識?
計算機里的各種「協議」是怎麼被設置進去的啊?是安裝軟體么?還是裝機的時候就被設置進去了?
win8.1升級到win10之後無法連接ipv6?
修改本機DNS還是路由DNS?
阻塞等於同步,非阻塞等於非同步這種說法有什麼錯誤?

TAG:計算機 | 網站 | SSL | SSL證書 | 計算機網路 |