V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vfx666
V2EX  ›  问与答

真有人花钱买 ssl 证书?

  •  
  •   vfx666 · 317 天前 via iPhone · 14140 次点击
    这是一个创建于 317 天前的主题,其中的信息可能已经有所发展或是发生改变。

    贵的离谱。这玩意不是智商税吗🌚

    第 1 条附言  ·  316 天前
    引用一下 gpt4 的回答:
    付费 SSL 证书、免费 SSL 证书和自签名 SSL 证书之间有几个主要的区别:

    1. **信任级别**:
    - **付费 SSL 证书**:由知名证书颁发机构( CA )签发,得到所有主流浏览器和操作系统的信任。
    - **免费 SSL 证书**:也由证书颁发机构提供,但信任级别可能低于付费证书。如 Let's Encrypt 提供的免费证书就被广泛信任。
    - **自签名证书**:用户自己生成,不由外部机构签发。这种证书通常不被浏览器信任,会引起安全警告。

    2. **安全性**:
    - 安全性方面,三者都提供相同级别的加密。区别在于信任和身份验证,而不是加密强度。

    3. **身份验证**:
    - 付费证书常提供组织验证( OV )或扩展验证( EV ),这意味着证书颁发机构验证了请求证书的组织的身份。这增加了访问者对网站身份的信任。
    - 免费证书通常只提供域名验证( DV ),即只验证申请者拥有该域名。
    - 自签名证书不提供任何第三方身份验证。

    4. **支持与保障**:
    - **付费证书**通常提供客户支持和某种形式的保障(例如保险)。
    - **免费证书**和**自签名证书**通常不提供这些额外服务。

    5. **有效期限**:
    - 付费证书的有效期通常较长,可达数年。
    - 免费证书有效期较短,例如 Let's Encrypt 的证书每 90 天需续期。
    - 自签名证书的有效期由用户自行设定。

    总的来说,付费 SSL 证书在信任、身份验证和客户支持方面表现更佳,而免费和自签名证书在某些情况下可能足够使用,尤其是在非商业或内部网络环境中。


    -------------
    所谓 ssl 证书说到底就是一行用来加密 http 的密钥。在安全性上,我不觉得付费证书能提供多少价值
    96 条回复    2024-07-18 18:06:13 +08:00
    ffLoveJava
        1
    ffLoveJava  
       317 天前   ❤️ 1
    个人和小微企业几乎不需要 但正常企业肯定需要啊。 现在阿里云的免费的有效期 3 个月了 恶心的一批
    lstz
        2
    lstz  
       317 天前 via iPhone
    我用 tx 云的,免费 1 年
    azev
        3
    azev  
       317 天前
    我也搞不懂为什么有人买这个
    caddy 不是自带吗
    evill
        4
    evill  
       317 天前   ❤️ 1
    @ffLoveJava ACME 不就搞定了
    wy315700
        5
    wy315700  
       317 天前
    @lstz 现在只有三个月了
    wy315700
        6
    wy315700  
       317 天前
    @evill
    用在 CDN 上的证书能用 ACME 吗
    zhangkui
        7
    zhangkui  
       317 天前   ❤️ 3
    我们公司买了,能用公司钱解决的就不要省钱
    chaselen
        8
    chaselen  
       317 天前
    @azev 我个人也用 caddy 。但是对于企业来说,肯定选择更靠谱的 nginx 。
    villivateur
        9
    villivateur  
       317 天前   ❤️ 7
    额,你这问题问的,就像“Linux 不是免费的吗?为什么要去买红帽的商业版?”

    人家买的不是证书,而是服务啊。
    ttvv123
        10
    ttvv123  
       317 天前   ❤️ 1
    稍微正规点的公司,应该都不要个人去搞。
    假设出了问题算谁的
    jiuhuicinv
        11
    jiuhuicinv  
       317 天前   ❤️ 2
    价格某种程度上可以理解为保费,一种服务。而不是这张保单(证书)本身值多少钱。因证书没有行使加密职能或因证书造成的其他安全问题。是需要赔付的,可以理解为保费越高赔付额度越高
    aaronkk
        12
    aaronkk  
       317 天前   ❤️ 1
    一直用的 certbot + cron
    阿里还有点恶心,非阿里云买的证书自动上传部署次数都有限制
    kenvix
        13
    kenvix  
       317 天前   ❤️ 3
    😅?
    大公司的信誉背书不要钱?审计不要钱?退一万步,OCSP 不要钱?
    kenvix
        14
    kenvix  
       317 天前   ❤️ 37
    有人大发慈悲施舍你一口饭,不代表这个饭就应该是免费的😅
    dontLookAvatar
        15
    dontLookAvatar  
       317 天前
    免费证书我用 acme.sh, 如果企业信誉相关还是得买付费证书
    notejava
        16
    notejava  
       317 天前
    之前一直用阿里云免费的,然后昨天踩坑了,新的免费证书兼容性很差,很多客户用 Java 发送 Https 请求都报错,证书校验不通过,原因是新的证书使用了新的根证书,很多 jdk 没有内置
    XiLingHost
        17
    XiLingHost  
       317 天前
    acme 不能签发 EV 证书,而且 acme 签发的证书很多额外的用途是没有启用的
    naminokoe
        18
    naminokoe  
       317 天前
    @aaronkk cron 都不用,certbot 官方推荐 snap
    CodeCodeStudy
        19
    CodeCodeStudy  
       317 天前
    花的是老板的钱,心疼什么?
    mooyo
        20
    mooyo  
       317 天前
    额,我这么说,如果签出的证书因为各种莫名其妙的原因突然用不了,谁来背锅。

    相比其他理由,几万块一年找个背锅侠对正常规模的商业公司很便宜。
    wclebb
        21
    wclebb  
       317 天前   ❤️ 11
    所谓的智商税,买的就是他人的智商(服务、设计、售后等)。
    一直觉得你们嫌弃的智商税,在多个产品都有,比如 iPhone 本身的溢价,不光是品牌的溢价,也有是设计系统的成本的溢价、售后和服务的溢价,这就是买了 Apple 智商税。

    你深以为然的智商税其实是省掉了你自己的成本,并不是省掉了服务。
    你觉得真有人花钱买是个傻逼,但人家买的是 *.name.com 不限子域名的通用符。
    买的是多个设备的兼容性
    买的是它的声誉
    买的是筛选掉部分成本。

    这话,其实也像是山姆/Costco 会员,260/680 元左右的一年你觉得贵,谁会傻逼办卡就为了进超市消费,结果排队三小时多的是,你觉得聪明还是他们蠢得不行?还是钱多没处花?

    再说这贵的离谱,根本就不是像你那种群体的「目标消费群体」。
    Mikawa
        22
    Mikawa  
       317 天前
    举个栗子,有些公司的防火墙规则里,是会阻止用 let's encrypt 签发的证书建立 SSL 链接的...
    msg7086
        23
    msg7086  
       317 天前
    @Mikawa 支持 ACME 的证书不少,没必要赖在 LE 上签发。我早就转 Google 证书了,ZeroSSL 也不是不能用。
    msg7086
        24
    msg7086  
       317 天前   ❤️ 1
    花钱买 SSL 证书主要是为了买他的保险。
    至于这个保险会不会赔付,那就不是你关心的问题了。

    智商税也有其存在的意义,有人付了智商税,其他人才有机会用到更廉价的产品。
    比如说经常有人问,飞机头等舱商务舱卖那么贵,可能是经济舱五倍十倍的价格,不是冤大头吗?但是如果一架飞机没人买头等舱商务舱,航空公司要挣同样的钱,就得把经济舱票价拉高来弥补。所以如果没有人做冤大头,那人人都会是冤大头。
    estk
        25
    estk  
       317 天前 via iPhone
    如果是正规的商业合作,对方用的是贵的证书,我会觉得对方经济实力更值得信赖
    skyworker
        26
    skyworker  
       317 天前   ❤️ 2
    @wclebb 只要需要花钱的地方, 程序员都觉得是智商税
    echo1937
        27
    echo1937  
       317 天前   ❤️ 1
    @wy315700 #5



    腾讯云依然是一年
    SenLief
        28
    SenLief  
       317 天前
    对于企业来说这点钱不是钱
    lisxour
        29
    lisxour  
       317 天前
    人家网址前面有个大绿标或者大蓝标,你免费的有吗
    o0
        30
    o0  
       317 天前
    🤔呃...只能说这免费的证书虽然大家都在用,但确实只适合测试或小规模使用,本身以前就收费的东西,就像 14 楼说的,现在各厂商施舍个免费证书给你用,不代表这饭就是免费的。
    dhb233
        31
    dhb233  
       317 天前
    可以不买啊。如果是为自己的 app 提供服务,那可以用自签名证书,还能避免被劫持。或者你的服务是用户强需,可以要求用户安装你的根证书
    lxh1983
        32
    lxh1983  
       317 天前 via iPhone
    那买域名岂不更是智商税了?
    clue
        33
    clue  
       317 天前
    let's encrypt 项目之前, 基本没有免费好用的 ssl 证书, 现在嘛... 只能说买收费证书的都是有钱的主
    fregie
        34
    fregie  
       317 天前
    说是智商税我只等说你根本不懂 TLS
    并不是有免费的存在就说明它就没有价值
    adoal
        35
    adoal  
       317 天前
    EV 的只能买
    jonsmith
        36
    jonsmith  
       317 天前
    有些环境不支持自动续签,3 个月手动换证书不麻烦吗?
    我大部分用免费的,但也有部分用付费的(很便宜,泛域名 30 元/年)
    Tumblr
        37
    Tumblr  
       317 天前
    看到这个标题,突然不知道该怎么回复了。。。
    感觉 OP 对 SSL 证书认知,连启蒙阶段都还没到,就开始大言不惭地来“发表看法”了。

    首先,给你看一下 digicert 对 SSL 证书的对比:
    https://www.digicert.com/tls-ssl/compare-certificates

    其次对于稍有点规模的公司来说,一次证书问题的损失都够买几年甚至几十年证书了。
    opengps
        38
    opengps  
       317 天前
    这标题,似乎不承认每个东西都有价值。
    付费域名证书确实很多优势,只不过可能你用不到所以看不到
    ghos
        39
    ghos  
       317 天前
    tailscale 服务一定要证书 用 acme.sh 就很巴适
    BeijingBaby
        40
    BeijingBaby  
       317 天前
    一个企业每几个月都要折腾免费证书续期吗?万一出了问题?一次买几年不香?泛域名不香?
    devswork
        41
    devswork  
       317 天前
    省下来的钱又不会发工资,那为什么还要搞免费,而且出了问题还要自己处理,上面只会赖你技术不行,付费有问题可以直接客服处理啊,而且还能一键部署到其他云服务上,怎么看都是得付费啊
    sobev
        42
    sobev  
       317 天前
    自己用直接用 cf 代理下,服务器用自签名证书
    MiketsuSmasher
        43
    MiketsuSmasher  
       317 天前 via Android
    按照楼主的逻辑:

    真有跨境电商花钱找运营商办专线?

    贵的离谱。这玩意不也是智商税吗🌚就不能公司路由器上挂工具翻吗🌚
    MiketsuSmasher
        44
    MiketsuSmasher  
       317 天前 via Android
    这个“智商税”买的可不止是证书,还有包括售后在内的一大堆服务。
    你个人使用可以找免费的,证书出了问题也没什么损失。
    但公司不一样,证书出了问题,每秒少赚的钱都够办多少个证书了,跟割肉一样,你说他们会不会花钱买服务买心安?
    jojofunc
        45
    jojofunc  
       317 天前
    你们没理赔过吗, 你们以为的赔偿是巨额赔偿么,都不够洗个 Jio 的
    dianso
        46
    dianso  
       317 天前
    有这时间浪费早赚了大几千了

    能花钱节约生命为何不呢?
    sampeng
        47
    sampeng  
       317 天前
    一年 2000 在 LZ 看起来是智商税。。那这个公司没什么好讨论的。。连 2000 都觉得贵
    pkoukk
        48
    pkoukk  
       317 天前
    我有这个需求,请问你可以给我提供免费的嘛?
    https://www.digicert.com/tls-ssl/multi-domain-ssl-certificates
    Alwaysonline
        49
    Alwaysonline  
       317 天前
    就算是公司的股东,有些事能花钱解决,也不要想着去用免费的。

    好的时候没事,出问题就挡着。 还是少惹事。
    Cat7373
        50
    Cat7373  
       317 天前
    怎么说呢,之前金融公司,特地花钱买的 EV 证书,就为了地址栏上的小绿条
    Promtheus
        51
    Promtheus  
       317 天前
    证书的意义就是权威机构认证,认证肯定要费用。用免费的证书对于企业来说太掉价了。看着就不正规
    EdmondGUO
        52
    EdmondGUO  
       317 天前
    OP 开个公司的话,肯定连社保都不舍得给员工交😅
    leonshaw
        54
    leonshaw  
       317 天前 via Android   ❤️ 1
    Chrome 早就取消 EV 的绿条了。LE 就可以签多域名和通配证书。至于掉不掉价可以看看用 LE 的主要网站列表,当然每个人看法可能不一样。
    nicholasxuu
        55
    nicholasxuu  
       317 天前
    certbot 申请完证书后,怎么自动上传到阿里云并更新到 slb 上?
    应该可以通过 api 做,但是感觉很常见的需求却没有开源的?
    Panameragt
        56
    Panameragt  
       317 天前
    个人用跟企业用完全是两码事
    ztmzzz
        57
    ztmzzz  
       317 天前 via iPhone
    @lisxour 这不是早就取消了,现在要点击小锁,点开证书详情才能看到。
    jsq2627
        58
    jsq2627  
       317 天前 via iPhone
    1. 相当于保险。出现 SSL 相关漏洞造成损失,CA 有责任赔付
    2. OV/EV 有信任加成
    3. 有效期更长,减少运维成本(以前还可以长达三年五年,现在最多只能 1 年了)
    4. (从采购视角)证书利润较高,相应的返点也比较高,花公司的钱鼓自己的腰包,何乐而不为
    5. 有些特殊用途的证书目前只能花钱买,比如代码签名
    hongfs
        59
    hongfs  
       317 天前
    @nicholasxuu 怎么说呢,我们去支持了阿里腾讯华为的 CDN ,阿里还额外支持了负载均衡/函数计算等一些,这都是业务有使用到的,,,如果去开源,可能要把需要 SSL 的产品都兼容。

    可以还是自己写一个 API 吧,还是比较方便的。
    binfengxy
        60
    binfengxy  
       317 天前 via iPhone
    你可能不知道,更新一次证书走流程所需要的人力成本远高于证书签发的费用
    skyworker
        61
    skyworker  
       317 天前
    @jsq2627 免费证书兼容性有问题, 比如我们的一个微信小程序, 当时开发自己申请了免费 ssl, 后来发现每次 api 都要慢几秒.

    开始以为数据库有问题, 后来查了好久, 才发现某些版本的微信, 对于免费 ssl 证书解析好像有问题, 会有好几秒的额外耗费时间
    skyworker
        62
    skyworker  
       317 天前
    @EdmondGUO 我猜是的, OP 如果开了小公司, 估计又是一个 "黑心老板"
    berserk
        63
    berserk  
       317 天前
    我用 certbot 免费的,会不会有问题?
    belin520
        64
    belin520  
       317 天前
    ,程序员自信的反呛道。
    sqzdy8
        65
    sqzdy8  
       317 天前
    也有稍微便宜些的
    pkoukk
        66
    pkoukk  
       317 天前
    @helone #53 多谢
    mephisto
        67
    mephisto  
       317 天前
    免费的证书和高等级的完全不能相比,拖拉机和保时捷的差别,不要觉得大公司里面决定买证书的人比你傻。或者找个各种级别的证书差异在哪里,对比看看免费的是否有这个功能。
    KgM4gLtF0shViDH3
        68
    KgM4gLtF0shViDH3  
       317 天前   ❤️ 3
    这个问题下面竟然没有一个真正直击痛点的回答,全是在装逼的。。
    kkk9
        69
    kkk9  
       317 天前
    @skyworker #61 服务器开启 OCSP Stapling 加速解析
    skyworker
        70
    skyworker  
       317 天前
    @kkk9 多谢
    hewiefsociety
        71
    hewiefsociety  
       317 天前
    大公司还是要买的,还要买贵的那一种.
    nyfwan123
        72
    nyfwan123  
       317 天前
    泛域名解析需求...
    控标参数需求...
    等保合规需求...
    金融需求...
    等等...

    这么多需求了
    不要用个人玩具网站的思维去套政企、金融等等真实世界的场景
    但凡网站有了一定规模 免费 ssl 你想都没办法用

    退一万步讲
    云厂商给”没人购买“的 ssl 证书定价 是给自己年底计算 KPI 的时候找不痛快吗?
    fenglangjuxu
        73
    fenglangjuxu  
       317 天前
    我觉得买可以理解啊 虽然自己也能折腾 但是话几块钱 不用折腾 也挺值得吧
    Kontinue
        74
    Kontinue  
       317 天前
    正经公司买了,直接配置下就能用,不香吗?非得自己折腾。。。
    litchinn
        75
    litchinn  
       317 天前
    有免费的支持 *.xx.com 的证书吗,有的话告诉我一下
    zihuyishi
        76
    zihuyishi  
       317 天前
    我倒是觉得这明明就是浏览器厂商和证书厂商联合起来收的房租,所谓解决的痛点大部分都是房东专门设计出来恶心租客的。
    现在反倒是租大别墅的租客开始鄙视租低价廉租房的租客,还嘲讽廉租房租客房间里没有游泳池
    abc500
        77
    abc500  
       317 天前
    没上过班 才觉得智商税 见识需要提高
    olaloong
        78
    olaloong  
       317 天前   ❤️ 1
    @litchinn ACME 用 ZeroSSL 免费签的证书就支持泛域名的,其它 CA 应该也有,出来很久了
    a1274598858
        79
    a1274598858  
       317 天前   ❤️ 1
    @litchinn #75 ZeroSSL
    a1274598858
        80
    a1274598858  
       317 天前
    webtrust 不要钱?机房建设,运营不要钱?
    pengtdyd
        81
    pengtdyd  
       317 天前
    楼上很多说了一堆,解释了一堆,其实如果是国外的网站,不做国内业务,那么你可以得到:

    1.域名免费
    2.ssl 证书免费
    3.托管免费
    4.客服系统免费
    5.数据库免费

    基本上你能用到的都可以找到免费的服务(有些有额度限制),所以尽量去做出海,谁错成本太低了,没有什么心智负担。
    vfx666
        82
    vfx666  
    OP
       317 天前 via iPhone
    @pengtdyd 直接套一个 cf 万事大吉,证书免费先不说,cdn 流量也是免费,哈哈哈哈哈
    D33109
        83
    D33109  
       317 天前
    你是哪来的自信在没有了解的情况下直接锐评 SSL/TLS 的,开发者测试服务或者部署个自己的站点犯不着用那些 EV 证书,不代表商业公司和一些金融机构不需要,你有能耐你把自签证书或者 Let's Encrypt ZeroSSL 的证书往这种服务上部署一下
    xiedingdaoren
        84
    xiedingdaoren  
       317 天前
    感觉。。。有点儿想笑。
    感觉有点儿像开上廉价轿车的人在嘲讽买豪华车的人,虽然这个例子不是特别恰当。
    不过这个帖子承包了我们搞安全的群里半天的笑料。
    lerry
        85
    lerry  
       317 天前
    用了 caddy+cloudflare 插件,再也没有操心过证书的事儿
    jsq2627
        86
    jsq2627  
       317 天前
    @skyworker 你遇到的是 Let's Encrypt OCSP 地址被墙,但这不是因为“免费”造成的。
    1423
        87
    1423  
       317 天前
    因为这个问题下面竟然没有一个真正直击痛点的回答,全是在装逼的。。
    所以我同意楼主, 花钱买 ssl 证书就是交智商税
    zmy2000
        88
    zmy2000  
       317 天前
    cloudflare 解决 99%的墙外连接问题
    xiaoranj
        89
    xiaoranj  
       316 天前
    @xiedingdaoren #84 如果出海业务花钱买 SSL 证书呢?
    Rehtt
        90
    Rehtt  
       316 天前
    @vfx666 cf 的 cdn 商用也是要钱的
    leonunix
        91
    leonunix  
       316 天前
    大企业需要绿色提示,所以只有付钱买。
    jinqzzz
        92
    jinqzzz  
       316 天前
    没错,我都是自签的! :doge
    skyworker
        93
    skyworker  
       316 天前
    @jsq2627 那就是商业价值的问题了. 付费的 ssl 供应商, 能保证自己不会被墙, 免费的不提供这种服务.

    这就是付费的价值
    samyucn234
        94
    samyucn234  
       316 天前 via iPhone
    想当年 12306 用 windows 自颁发的证书。
    chinafengzhao
        95
    chinafengzhao  
       217 天前
    WebTrust 是由全球两大著名注册会计师协会 AICPA (美国注册会计师协会)和 CICA (加拿大注册会计师协会)共同制定的安全审计标准,也是电子认证服务行业中唯一的国际性认证标准,主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

    WebTrust 认证是各大主流的浏览器、微软等大厂商支持的标准,是规范 CA 机构运营服务的国际标准。在浏览器厂商根证书植入项目中,只有通过 WebTrust 国际安全审计认证,根证书才能预装到主流的浏览器而成为一个全球可信的 CA 认证机构,从而实现浏览器与数字证书的无缝嵌入。


    谁来监管证书颁发机构?

    如果认证机构负责 SSL 验证和撤销,那么谁来监管它们? 要回答这个问题,让我们来考察一下参与这一复杂过程的各方。

    浏览器和应用程序

    浏览器和应用程序定义了管理 CA 的规则。 所有浏览器的安装包(也称为根存储)中都包含受信任 CA 的信息。 只有当公共 CA 的根已经在根存储中标记为可信时,浏览器才会接受公共 CA 签发的 SSL 证书。

    并非所有浏览器都有自己的可信根存储。 它们还依赖于客户操作系统的根存储。 如果 CA 的根签发的数字证书不在浏览器或操作系统的根存储中,浏览器会警告用户不要信任 SSL 证书。

    但浏览器如何确定要信任哪些 CA 根呢? 嗯,他们一直都有关于 CA 应如何运作的预定规则。 此外,他们还在不断改进,以建立高端安全标准。

    随着时间的推移,他们已经成功淘汰了 MD5 和 SHA-1 等较弱的算法。 他们还删除了过时的密钥大小,如 512 位和 1024 位。 如果 CA 不符合浏览器的详尽要求,就会从浏览器的受信根存储中删除。



    HTTPS 有个重要的一环就是证明”张三是张三“,并且是通过权威的 CA 机构颁发的证书来证明所持公钥的合法性,在那节我们提到,CA 就是神,而顶级 CA 就是众神之神,这些神是绝对公平客观,不造假不作恶,对吧?那现实中这些神的表现又怎么样呢?绝大部分的 CA ,尤其是顶级 CA 肯定是严格遵守规则的,否则一旦出问题,另外一个大神浏览器和操作系统就会把他们的 CA 证书从信任列表移除,然后它们就得跌下神坛,离破产也不远了。但除了顶级 CA ,还有相当多的中间 CA 机构,另外神也有打盹的时候啊。


    站在 CA 机构运营者的角度看,CA 机构也有一定的运营成本和责任和准入门槛。不能因为有部分公司提供免费的,就完全否认付费的。
    iam
        96
    iam  
       133 天前
    @zhangkui 买的哪家的呢,稳定不
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1174 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 18:50 · PVG 02:50 · LAX 10:50 · JFK 13:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.