关于商业 SSL 证书，随便说点废话

最近 SSL 越来越火，所以大家选购 SSL 证书的时候总是问各种问题，在这里稍微说几句自己了解的吧。

另外有些事情公开了可能会砸了一些商家的生意，所以提前说声抱歉。但是消费者们还是更明白一些比较好，我觉得。

首先是 DV OV UV EV Wildcard 和 SAN 的概念，个人觉得也就 DV EV Wildcard 和 SAN 有用， OV 和 UV 要验证组织单元，但是事实上并没有人去看也不会给你显示在浏览器上（查看证书信息的话是有的）。 DV 一般会帮你写 2 个域（ Comodo 为例），一个是你提交的域一个是 www + 你提交的域。所以给根域名买证书的话请务必不要加 www 在 CSR 里，签下来看到邮件你会哭的。 Wildcard 会加密整个子域包括根域，所以对根域没有特殊要求的话不用再额外购买证书。

SAN 可以给单域名证书加多个有效域（可以是子域也可以是其他顶级域，例如一张证书对 example.com, example.net, exp1.example.net 同时有效），签发的时候记得要写 dns1 dns2 ... 这些项。一般来说每加一个 SAN 域名要多支付一些费用，但是同一家公司的话签一张 EV SAN 还是比签多张 EV 值的。

EV 证书的好处不光是浏览器绿条看起来很酷，而且有一项很有用的附加服务——以 Symantec 为例，所有 EV 证书的客户会被持续扫描各种已知漏洞，如果发现你的证书域有任何 SSL 相关漏洞都会邮件提醒你修复（然而目前没遇到有客户收到了这样的邮件）。

对于个人来说，目前最便宜的商业证书是 Comodo 没有之一。 Comodo 是走廉价路线的，不管是 DV OV UV EV 都是他家的最便宜，也是目前个人用证书市场占有量最大的提供商。在 ssls 或者 gogetssl 都可以用很低的价格买到一张 Comodo 的证书，淘宝上或者个人商家则有更低的价格，但是过低的价格一般是在 uk2 买服务器送的证书，并不是授权用来销售的。

关于最近很火的 AlphaSSL ，事实上他们家的证书从来没有比 Comodo 便宜过。那些便宜得看起来不科学的证书是 GMO 旗下 GlobalSign 签下来的 High Level Agreement ，最高可以无限量签发 AlphaSSL 和 AlphaSSL Wildcard 。目前已知签了这个协议的只有 SingleHop ，所以 vmbox 和 vpsto 这类商家的证书都是从 SingleHop 签出来的，淘宝上和 v2 上不少个人商家也是这么做的（大概）。
这个 High Level Agreement 年费不菲，并且签发的证书不给续费也不允许直接销售（ for bundling only, not for sale ）。

但是签出来的证书和普通的证书并没有什么不一样。用的话是一样用的，无非是续期的时候就要重新签一张 365 天的而不是顺延有效期。

我在 GoGetSSL 拿到 Platinum 之后对比了下各家证书的价格和兼容性，其实也就只有 Symantec 和 GeoTrust 的高端证书做到了兼容到很老的浏览器， Comodo 在 Android 2.3 上就不再信任了（如果我那只电信送的 ZTE 手机还算是没被修改过的 2.3 系统的话）。但是这两家的证书都不是便宜货，个人用户的话应该是没有几个人愿意买的。

而且 Platinum 比 Premium 在大部分证书上只便宜了一点点... 所以做了 Premium 的各位其实没必要再去想 Platinum 了 = = 具体报价单可以找 GoGetSSL 的销售要。

然后他们家提供的 GGSSL Wildcard 其实就是和 Comodo Positive 交叉签名的，也就可以认为是 Comodo PositiveSSL Wildcard 。兼容性和 Comodo Positive 一致，也是目前可以获得的最便宜的商业授权泛域名证书。

最后谈谈几个知名的免费 SSL 提供商。

StartSSL 在很早之前就免费提供 SSL DV 证书，但是审核比较严格，而且说实话我觉得他们家控制台很难用。 StartSSL 的证书兼容性还可以，如果正确串联了根证书和中间证书的话。更高级别的有每年交点钱随便签泛域名的，但是需要注意几点， StartSSL 签发的所有证书会填写所有的信息，也就是你提交的用于验证真实身份的信息都会包含在证书里。并且一个域名验证所有权之后在一个月内是可以随便签多少张证书的，如果你把你的域名拿去给别人的 StartSSL 验证了，那么一个月之内对方可以在你不知情的情况下签发证书。

CACert 总之不推荐了... 内部系统 bug 一堆都没人修，他们自己也不和谐。玩玩还是可以的。

Let's Encrypt 目前的情况，据知情人士说是各个 SSL 公司都在搅浑水。虽然表面上各家公司都说我们有 EV 这样的客户群所以不在乎你们那些 DV 证书，但是以 Comodo 为例，每张证书每年的收益是 1 美元的话， Comodo 家 DV 证书的业务每年也应该有千万美元级别的收入。不可能不在乎的，认真你就输啦。

意识流写得有点乱，希望对大家有点帮助。如果有哪里不对的话还望指出，我会 append 说明一下。
以上。

TheJuli

2015-09-08 14:24:52 +08:00

GGSSL 应该不是 Cross Sign 。和 PositiveSSL 一样是一个 Intermediate ，只是 Subject 那里产品一栏不显示 PositiveSSL 而是 GGSSL 。

StartSSL 的 Class 2 审核其实非常宽松。他甚至不需要证件验证一个 Mailing Addr 。拿不出文件？我们给你寄一封信就行了。所以就算你住冰岛还是马尔代夫只要你能收到信就可以过那个的验证，处理的好的话不用太担心个人信息的泄漏。街道地址不会放进去（ Comodo 干这个），小心名字就好了 w

然而他的审核主要在发证书的时候。如果他觉得你在用你的名字帮别人发他会拒绝。

CAcert 我主要是萌能被 PGP sig 这一点。被两个 Assurer 验证过后可以请求 CAcert WoT Key 签你的 key 。

总之你付的钱主要是买 CA 那个名字。炫酷的 VeriSign 和满大街的以色列 StartSSL 大家心里还是分得清信任度的。

Disclosure: 以上提到的名字除了 VeriSign/Symantec 我都用过。