年7月起,Google将所有HTTP站点标记为“不安全”,提示用户可能存在的风险。同时火狐浏览器也有相应不安全的警告。此外,谷歌、百度等搜索引擎也明确规定给予HTTPS网站(安装SSL证书)更高的权重和搜索排名。
所以在这种背景之下,很多政企网站甚至是个人博客都安装上了SSL证书。但一些中小企业和个人可能出于成本的考虑,往往会选择安装一个免费的证书。因为免费的证书同样可以使网站成为HTTPS协议,表面看上去与其他付费证书产生效果是相同的。但事实真的如此吗?
自签名证书是一种使用openssl等工具,在本地创建而非从公共证书机构(CA)那里申请来的证书。这样的证书具有很大的安全风险,一方面由于其不是CA机构签发,所以不受浏览器的信任;另一方面自签名证书具有较长的有效期,密码技术长期得不到更新,很容易被黑客攻破。所以现在机构类的网站已经很少使用自签名的证书了。
DV证书是由专业CA机构签发的一种入门级证书,在有些证书服务商为了获取用户会免费颁发DV证书。DV证书受浏览器信任,且具备与OV、EV证书同样的数据传输加密功能,但是DV证书只对域名进行验证,不验证申请机构身份,所以无法起到身份验证的作用,无法避免钓鱼网站。
不考虑自签名证书。正规CA机构办法的SSL证书,只有DV证书是免费的(部分SSL证书服务商),OV、EV证书都是付费证书
自签名证书往往签发时间非常长,但是安全性比较低,DV证书与OV、EV证书没有太大区别,有效期基本都在一年左右,到期后需要及时续费。
虽然DV证书也具备数据传输加密的效果,但DV证书的加密强度要远弱于OV和EV证书,相应的安全性也要低得多。
免费的DVSSL证书只有锁型标志,而付费的OV和EV证书除了显示https和绿色安全锁之外,还能查询到公司详情,EVSSL证书还能使地址栏变成绿色,并在地址栏直接显示公司名称。这些标识能够增加客户对网站的信任度,大幅提升网站转化率。
因此,政企网站不能只考虑成本,更应该为了品牌形象和数据安全考虑,尽可能安装付费的OV和EV证书,至于个人网站如果预算不够可以尝试使用免费的DV证书。
选择权威可信的CA机构才靠谱,例如DigiCert、Symantec、GeoTrust、GlobalSign等。