Let's Encrypt 共发出了 15270 张含有“PayPal”的 SSL 证书

所以一直没搞明白高端证书有啥用

没毛病啊，又没在天朝，还得关键词过滤啊？

就算是收费证书，也可以签含有 “ paypal ” 子域名的证书来加密吧。

SSL 是通过加密实现信息传输的 “安全”，而不是因为 “安全” 所以 “安全”

@ivmm 不一定的，这种域名你去签 comodo 之类会进特别流程，要求你证明商标所有权啥的，而不是像 Let's Encrypt 一样轻轻松松就发下来了

@dzxx36gyy 这样么，我倒是没有有特殊子域名的证书

@dzxx36gyy 不是抬杠啊， wildcard 证书可破。

@dzxx36gyy 如果是泛域名证书的话的就可以了，比如我签了 *.123test.com 的证书，那么 paypal.123test.com 的子域也可以用这个证书而不用审核。如果域名再有点迷惑性的话，比如*.con.uk ，那么 www.paypal.con.uk 就很逼真了。

@shower 三级域名不能用二级的 wildcard

你忘了加“震惊”二字。 Letsencrypt 发的是域名 SSL ，不是组织公司 SSL ，何来“含有 paypal 的 SSL 证书”？

@xgfan 一般说的是主域名中含有商标以及各种违禁词的会进入审查流程，子域名这种比较蛋疼，我也没试过

@aofall 那就 paypal.con.uk

@stabc 估计就是域名含 paypal

@shower #11 www 做 301 也行

非 Symantec Class 3 EV SSL 的站请勿随意支付。

主机信任 != 品牌信任

要达成品牌信任请认准绿色地址栏 EV 证书

虽然 V2 很多人都吐槽 StartCom ，但是至少他们在某些安全认证方面做的还是不错的。

之前注册了个域名中包含 “ Google ”（ googleapis ）的域名用来做字体之类资源的反代，结果 StartCom 给拒了，问客服说是包含这种关键词的域名都不给签发证书，而 COMODO 和 AlphaSSL 就轻松签发了=。=

所以像 PP 这种网站还是得认 EV 证书（然而国产浏览器不显示 EV=。=）

@dzxx36gyy 会不会有一天 1 位-2 位-3 位-4 位-5 位的商标已经包含了所有字母……（和域名一样，商标把可注册的都注册完了）

自己弄个域名都不能随便用

我之前在 StartSSL 签 gsearch.pw 这个域名（用来反代）的证书，也被额外审核了。

@nfroot 这不是商标触发的，而是高风险域名关键字触发的。
比如同样是商标，你签 adidas 没问题，但是签 paypal 就要进流程。
同理，就算不是商标，你签个 cdn 开头的子域，一样要进流程。
COMODO 那边我签个 cdn35.xxx.yyy 直接就拒发验证信了。

LE 仅仅提供验证域名的证书，其本意就只是在技术上确保被访问的域名和实际要访问的是一致的，且没有被篡改过，而且防窃听（当然假定不要被中间人攻击）。

要在业务上更进一步提供验证，就得靠更严格的审核流程。

正如蜘蛛侠里面说的，能力越大，责任越大。要提供更有价值的保障，就得更负责任。一些证书商号称提供更严格的验证，而实际做的确跟 LE 做的相差无几，这才是他们被人诟病的地方。