V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
phoenixlzx
V2EX  ›  SSL

关于商业 SSL 证书,随便说点废话

  phoenixlzx · 2015-09-08 14:03:38 +08:00 · 10421 次点击
这是一个创建于 3399 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近 SSL 越来越火,所以大家选购 SSL 证书的时候总是问各种问题,在这里稍微说几句自己了解的吧。

另外有些事情公开了可能会砸了一些商家的生意,所以提前说声抱歉。但是消费者们还是更明白一些比较好,我觉得。

首先是 DV OV UV EV Wildcard 和 SAN 的概念,个人觉得也就 DV EV Wildcard 和 SAN 有用, OV 和 UV 要验证组织单元,但是事实上并没有人去看也不会给你显示在浏览器上(查看证书信息的话是有的)。 DV 一般会帮你写 2 个域( Comodo 为例),一个是你提交的域一个是 www + 你提交的域。所以给根域名买证书的话请务必不要加 www 在 CSR 里,签下来看到邮件你会哭的。 Wildcard 会加密整个子域包括根域,所以对根域没有特殊要求的话不用再额外购买证书。

SAN 可以给单域名证书加多个有效域(可以是子域也可以是其他顶级域,例如一张证书对 example.com, example.net, exp1.example.net 同时有效),签发的时候记得要写 dns1 dns2 ... 这些项。一般来说每加一个 SAN 域名要多支付一些费用,但是同一家公司的话签一张 EV SAN 还是比签多张 EV 值的。

EV 证书的好处不光是浏览器绿条看起来很酷,而且有一项很有用的附加服务——以 Symantec 为例,所有 EV 证书的客户会被持续扫描各种已知漏洞,如果发现你的证书域有任何 SSL 相关漏洞都会邮件提醒你修复(然而目前没遇到有客户收到了这样的邮件)。

对于个人来说,目前最便宜的商业证书是 Comodo 没有之一。 Comodo 是走廉价路线的,不管是 DV OV UV EV 都是他家的最便宜,也是目前个人用证书市场占有量最大的提供商。在 ssls 或者 gogetssl 都可以用很低的价格买到一张 Comodo 的证书,淘宝上或者个人商家则有更低的价格,但是过低的价格一般是在 uk2 买服务器送的证书,并不是授权用来销售的。

关于最近很火的 AlphaSSL ,事实上他们家的证书从来没有比 Comodo 便宜过。那些便宜得看起来不科学的证书是 GMO 旗下 GlobalSign 签下来的 High Level Agreement ,最高可以无限量签发 AlphaSSL 和 AlphaSSL Wildcard 。目前已知签了这个协议的只有 SingleHop ,所以 vmbox 和 vpsto 这类商家的证书都是从 SingleHop 签出来的,淘宝上和 v2 上不少个人商家也是这么做的(大概)。
这个 High Level Agreement 年费不菲,并且签发的证书不给续费也不允许直接销售( for bundling only, not for sale )。

但是签出来的证书和普通的证书并没有什么不一样。用的话是一样用的,无非是续期的时候就要重新签一张 365 天的而不是顺延有效期。

我在 GoGetSSL 拿到 Platinum 之后对比了下各家证书的价格和兼容性,其实也就只有 Symantec 和 GeoTrust 的高端证书做到了兼容到很老的浏览器, Comodo 在 Android 2.3 上就不再信任了(如果我那只电信送的 ZTE 手机还算是没被修改过的 2.3 系统的话)。但是这两家的证书都不是便宜货,个人用户的话应该是没有几个人愿意买的。

而且 Platinum 比 Premium 在大部分证书上只便宜了一点点... 所以做了 Premium 的各位其实没必要再去想 Platinum 了 = = 具体报价单可以找 GoGetSSL 的销售要。

然后他们家提供的 GGSSL Wildcard 其实就是和 Comodo Positive 交叉签名的,也就可以认为是 Comodo PositiveSSL Wildcard 。兼容性和 Comodo Positive 一致,也是目前可以获得的最便宜的商业授权泛域名证书。

最后谈谈几个知名的免费 SSL 提供商。

StartSSL 在很早之前就免费提供 SSL DV 证书,但是审核比较严格,而且说实话我觉得他们家控制台很难用。 StartSSL 的证书兼容性还可以,如果正确串联了根证书和中间证书的话。更高级别的有每年交点钱随便签泛域名的,但是需要注意几点, StartSSL 签发的所有证书会填写所有的信息,也就是你提交的用于验证真实身份的信息都会包含在证书里。并且一个域名验证所有权之后在一个月内是可以随便签多少张证书的,如果你把你的域名拿去给别人的 StartSSL 验证了,那么一个月之内对方可以在你不知情的情况下签发证书。

CACert 总之不推荐了... 内部系统 bug 一堆都没人修,他们自己也不和谐。玩玩还是可以的。

Let's Encrypt 目前的情况,据知情人士说是各个 SSL 公司都在搅浑水。虽然表面上各家公司都说我们有 EV 这样的客户群所以不在乎你们那些 DV 证书,但是以 Comodo 为例,每张证书每年的收益是 1 美元的话, Comodo 家 DV 证书的业务每年也应该有千万美元级别的收入。不可能不在乎的,认真你就输啦。

意识流写得有点乱,希望对大家有点帮助。如果有哪里不对的话还望指出,我会 append 说明一下。
以上。
第 1 条附言  ·  2015-09-08 14:48:09 +08:00
关于 GGSSL 和 PositiveSSL 的证书链区别请看 8 楼的回复
52 条回复    2017-10-27 15:53:42 +08:00
teddysun
    1
teddysun  
   2015-09-08 14:09:40 +08:00
说的是很全面了。
虽然大部分内容我都知道了,但还是要赞一下楼主。
LuvLetter
    2
LuvLetter  
   2015-09-08 14:18:51 +08:00
非常感谢。
钱到位之后就开始搞域名和 SSL cert
TheJuli
    3
TheJuli  
   2015-09-08 14:24:52 +08:00 via Android   ❤️ 2
GGSSL 应该不是 Cross Sign 。和 PositiveSSL 一样是一个 Intermediate ,只是 Subject 那里产品一栏不显示 PositiveSSL 而是 GGSSL 。

StartSSL 的 Class 2 审核其实非常宽松。他甚至不需要证件验证一个 Mailing Addr 。拿不出文件?我们给你寄一封信就行了。所以就算你住冰岛还是马尔代夫只要你能收到信就可以过那个的验证,处理的好的话不用太担心个人信息的泄漏。街道地址不会放进去( Comodo 干这个),小心名字就好了 w

然而他的审核主要在发证书的时候。如果他觉得你在用你的名字帮别人发他会拒绝。

CAcert 我主要是萌能被 PGP sig 这一点。被两个 Assurer 验证过后可以请求 CAcert WoT Key 签你的 key 。

总之你付的钱主要是买 CA 那个名字。炫酷的 VeriSign 和满大街的以色列 StartSSL 大家心里还是分得清信任度的。

Disclosure: 以上提到的名字除了 VeriSign/Symantec 我都用过。
lyragosa
    4
lyragosa  
   2015-09-08 14:28:34 +08:00
Let's Encrypt 终于变成军火商打架了吗

所以对群众有利的东西,就会有资本家出来搅局。
phoenixlzx
    5
phoenixlzx  
OP
   2015-09-08 14:30:46 +08:00   ❤️ 1
@TheJuli .... 他们当年审核我的信息的时候貌似就在 Google 地图上找我提交的地址,然而貌似没有找到(智商...

没具体检查过 GGSSL 和 Positive 的 intermediate ,但是 CA 都是 AddTrust 来着。

事实上是没几个人会去看证书详情... 如果只是为了加密的话 DV 已经足够了。
TheJuli
    6
TheJuli  
   2015-09-08 14:34:58 +08:00 via Android
@phoenixlzx 其实我不是很清楚 cross-sign 是怎么工作的啦 ...

我个人理解是给 pending browser/OS inclusion 的时候借用的。 COMODO 现在应该已经可以作为一个顶级的根了 ..?

做 SSLLabs 测试的时候证书链能看到两个不同的 "Path",想必是一个走 AddTrust AB 一个走自己的根的呢
JimmyCai
    7
JimmyCai  
   2015-09-08 14:40:36 +08:00 via Android
写的很好,长知识了
TheJuli
    8
TheJuli  
   2015-09-08 14:43:24 +08:00   ❤️ 1
GGSSL vs PositiveSSL 的问题去 double check 了一下。

Issuer:
CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB
Subject:
CN=*REMOVED*,OU=GGSSL Domain SSL,OU=Domain Control Validated


Issuer:
CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB
Subject:
CN=*REMOVED*,OU=PositiveSSL,OU=Domain Control Validated

另外 CAcert 虽然代码问题是一大堆(似乎有手动 construct SQL 语句的),但是其实作为一个平台能面基到很多对 WoT 有相同兴趣的人也是非常棒的一件事情。

爪机打字,说话不经过语文老师验证,各种语法错误抱歉。
phoenixlzx
    9
phoenixlzx  
OP
   2015-09-08 14:47:25 +08:00
@TheJuli 赞,我来 append 一下。
Strikeactor
    10
Strikeactor  
   2015-09-08 15:11:03 +08:00
涨姿势了,感谢凤凰大大分享
Had
    11
Had  
   2015-09-08 15:24:38 +08:00
Digicert 这种看起来在网上找不到分销的,楼主觉得如何?
phoenixlzx
    12
phoenixlzx  
OP
   2015-09-08 15:46:12 +08:00 via Android
@Had 他们家分销完全没有优势,而且公司本身服务据说很到位很专业也不需要分销,所以大概大公司会选择这家吧。
lty1993
    13
lty1993  
   2015-09-08 15:49:15 +08:00 via iPad
我想给我的 IP 签一张。。。求推荐证书商。。。我现在 StartSSL Class 2 很明显不支持给 IP 签证书。。。
ivmm
    14
ivmm  
   2015-09-08 15:50:08 +08:00
我之前也有写过:
SSL/TLS 功能介绍和等级说明 https://www.vobe.io/84

不知道谁能帮我挑刺一下~~
lty1993
    16
lty1993  
   2015-09-08 16:20:08 +08:00 via iPad
@TheJuli 大概浏览了下,不知道你想说明啥。。。

顺便,我当然是给我名下的 Public Routable 的 IP 签证书了。。。
lty1993
    17
lty1993  
   2015-09-08 16:22:27 +08:00 via iPad
@TheJuli 虽然 IP 是 Direct Allocated 到我自己公司的,不过我可以做 Reassign 把 IP 划到我个人名下就是了。
TheJuli
    18
TheJuli  
   2015-09-08 16:24:33 +08:00
@lty1993 抱歉.. 这个是个局域网的.

刚看了一下 GlobalSign 有这样的服务, 不过很贵就是.
wy315700
    19
wy315700  
   2015-09-08 16:24:48 +08:00
其实 SSL 使用中还有一个非强制的要求

在哪台机器上生成的密钥,就要在该机器上使用,比如你在三台机器上使用,就应该生成三份私钥,三个证书,一方面生成私钥的时候用到了随机数因子都是机器相关的,另一方面,如果一台机器被攻破了,只需要 revoke 这一个证书就行了。

然而大部分人在应用的时候都是在本机上生成一份私钥,然后部署到各个服务器去, 233333332
lty1993
    20
lty1993  
   2015-09-08 16:32:52 +08:00 via iPad
@TheJuli 嗯。。。就是不知道有没有代理商做这个可以提供便宜一点的。。。最好有 SAN 这样可以同时支持 V4 和 V6 。。。或者多加几个 V4 地址。。。
Had
    21
Had  
   2015-09-08 16:48:27 +08:00
@phoenixlzx 其实他家除了 Wildcard 以外的证书价格都还算实惠,而且只要经过了一次公司资质的认证,之后申请证书就秒签了。
Showfom
    22
Showfom  
   2015-09-08 16:50:28 +08:00
买 EV 证书可以找我
Showfom
    23
Showfom  
   2015-09-08 16:50:48 +08:00
@lty1993 Comodo 支持 IP 的 SSL 证书,验证 whois 邮箱即可。
Showfom
    24
Showfom  
   2015-09-08 16:51:31 +08:00
@wy315700 Verisign 最高级别的证书有这个要求的
lty1993
    25
lty1993  
   2015-09-08 16:56:05 +08:00 via iPad
@Showfom 竟然不要求独立 HSM 。。。
lty1993
    26
lty1993  
   2015-09-08 16:56:53 +08:00 via iPad
@Showfom 价格怎么样?我 Google 来的都要 200 刀以上。
zhangshine
    27
zhangshine  
   2015-09-08 17:45:08 +08:00
我在 gogetssl 买的 2 个域名的 DV ,一个带着 www ,另一个不带 www ,签下来的证书都包括 www 和根域名
bhqt
    28
bhqt  
   2015-09-08 17:55:03 +08:00
收藏了
quericy
    29
quericy  
   2015-09-08 18:00:56 +08:00
凤凰卷来科普,先收藏再看~~
phoenixlzx
    30
phoenixlzx  
OP
   2015-09-08 18:57:08 +08:00
@Had 我写的不就是 comodo 在各类证书下都是最便宜的嘛

@zhangshine 什么时候签的?前几天来我这买的客户带着 www 结果签下来是 www.xxx.comwww.www.xxx.com ....
Had
    31
Had  
   2015-09-08 20:25:54 +08:00
@phoenixlzx
实惠和便宜是两回事啦...
DigiCert 的 SSL Plus 和 EV 可以是同一个中级 CA , B 格 UP
DigiCert 用 www 的 CSR 签出的是含 non-www 的,而且我怎么记得我当时买 RapidSSL 的时候也用的是 www 的 CSR...
badcode
    32
badcode  
   2015-09-08 20:49:22 +08:00
还有这个国内的
https://freessl.wosign.com/
alect
    33
alect  
   2015-09-08 21:11:54 +08:00
虽然楼主说的都知道,但是还是感谢楼主普及知识。
目前最便宜的 EV 非 comodo 莫属,我前几天跟 gogetssl 发邮件说换 geotrust ,他们还问我为啥要换, comodo 是 No.1 in the world
LazyZhu
    34
LazyZhu  
   2015-09-08 21:12:04 +08:00
想不通 Google 这么推动 SSL 就为啥不推一推 Let's Encrypt? 这样的话小公司就得靠边了.
Starduster
    35
Starduster  
   2015-09-08 21:20:19 +08:00
qwq 所以想要个 wildcard 自己用,卷菊苣卖吗
clanned
    36
clanned  
   2015-09-08 21:39:12 +08:00 via Android
“ StartSSL 签发的所有证书会填写所有的信息,也就是你提交的用于验证真实身份的信息都会包含在证书里”,这个没有吧,签发的证书里只找到邮箱地址,而且邮箱可以是 [email protected]
br00k
    37
br00k  
   2015-09-08 21:44:12 +08:00
免费沃证书路过。。。
Quaintjade
    38
Quaintjade  
   2015-09-08 22:48:53 +08:00 via Android
证书体系就是个卡特尔,所以出现 let's encrypt 这样的组织必然是百般阻挠的。
phoenixlzx
    39
phoenixlzx  
OP
   2015-09-08 23:08:33 +08:00 via Android
@Starduster 可以直接给你签一张,有空的时候来找我吧
alect
    40
alect  
   2015-09-08 23:39:58 +08:00
@xdtianyu 那说明你是免费版本的,通过二级认证后签发的证书都有姓名和住址
clanned
    41
clanned  
   2015-09-09 07:25:34 +08:00 via Android
@alect 那这个可就太坑了。。
invite
    42
invite  
   2015-09-09 08:25:37 +08:00
个人还是 StartSSL 就够了。
lty1993
    43
lty1993  
   2015-09-09 08:49:41 +08:00
@xdtianyu @alect Class 2 的是有名字和所在州的。没有街道地址
phoenixlzx
    44
phoenixlzx  
OP
   2015-09-09 11:27:20 +08:00
@alect 意思只是市场占有是最大的

要数 No. 1 还是 VeriSign / Symantec 的
HowardMei
    45
HowardMei  
   2015-09-09 11:28:44 +08:00
原来便宜 Alphassl 是这么操作的,不靠谱
TrustyWolf
    46
TrustyWolf  
   2015-09-12 18:05:24 +08:00
一直用 AlphaSSL ,现在对其背后的 GMO Internet, Inc.很感兴趣,社长高中辍学创业,很有胆识。
kozora
    47
kozora  
   2015-10-05 01:06:11 +08:00
现在要用 COMODO 的 EV 的姿势就是 UK 的那个皮包公司吗?我托我在英国的朋友接收地址验证能行吗?( 2333 节约了 20 磅。。
referblue
    48
referblue  
   2015-10-23 13:30:09 +08:00
@TrustyWolf AlphaSSL 的保障可真低
spencerqiu
    49
spencerqiu  
   2016-04-17 00:20:38 +08:00
所以说, 200 多天以后, Let's Encrypt 相对于 Comodo 等还有啥不足么?
phoenixlzx
    50
phoenixlzx  
OP
   2016-04-17 17:17:39 +08:00
@spencerqiu 即便都是 DV ,各方面也都被限制了。不过可以签多域名,而且能自动续期,还有个愿意砸钱赚名声的 CA 在撑着,现在确实看起来不错的样子...
wql
    51
wql  
   2016-04-22 16:40:12 +08:00
@phoenixlzx 看来 IdenTrust 也是蛮拼的……
我一直在用 StartSSL 没有换到手上另外一张 Comodo 的原因就是, Comodo 证书链太长了…………
DearTanker
    52
DearTanker  
   2017-10-27 15:53:42 +08:00
说了半天,到底哪里能买到便宜的 comodo 野卡。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1177 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 27ms · UTC 18:16 · PVG 02:16 · LAX 10:16 · JFK 13:16
Developed with CodeLauncher
♥ Do have faith in what you're doing.