选择 SSL 证书提供商

最近网站开发的一套系统需要考虑安全传输，在网上狗了这篇文章，收藏在这里，将来或许还会用的着。

----------------酷酷的分割线---------------

By qyb

就我所见，国内绝大部分的网站是没有提供 https 加密传输的，实在和中国互联网发展水平不相称。这里把我这次购买 SSL 证书的经验和体会在这里公布一下，希望对需要的人能有所帮助。

首先要明确一个观念，比起托管费/流量费/硬件折旧费用，SSL 证书相当便宜，eYou 买的 Thawte 的证书已经算是最顶级的品牌了，也只需要 99$/年，而我见过的网上最便宜的证书用 28$/年就能搞定。所以提供 SSL 加密链接绝对是互联网企业应该立即动手去做的事情。

通常来说，一个网站只需要一台服务器（就是说一个域名）拥有一个证书就足够了。针对这样的需求，可供挑选的产品包括：
1. verisign 的 Secure Site，一年报价 349$
2. thawte 的 SSL123，一年报价 149$
3. geotrust 的 QuickSSL，一年报价 169$
4. RapidSSL，一年报价 49$
5. InstantSSL，一年报价 49$
6. TurboSSL，这个最便宜，网上没有超过 30$ 的，如果你在运营一个 opensource 项目，甚至可以送一年证书

这么多产品，我们怎么来挑选呢？请继续看我介绍：

如果希望用户能够无障碍的使用 SSL 加密链接，要求你的证书是被浏览器所安装的根证书所签发，这样才不会蹦出错误提示对话框。这样就有了一个小小的门槛：你是否需要支持 IE5.0 用户？

IE 5.0是 Win98SE 的缺省浏览器，虽然已经有7年的历史，但使用该款浏览器的人在中国仍然占据一部分相当的比例，坏消息随之而来，IE 5.0 预埋的根证书只有非常少的商业机构，它们是 VeriSign/Thawte/CyberTrust。CyberTrust 现在通过 comodo 签发证书，而 InstantSSL 是 comodo 的一款产品.

简单总结，如果你希望支持 IE 5.0，那么有三个选择：VeriSign/Thawte/InstantSSL。那么为什么 eYou 没有考虑最便宜的 InstantSSL 呢？

因为 InstantSSL 是通过所谓"证书链"的方式来签发证书的，就是说它用浏览器预埋的 CyberTrust 签发了证书 A，再用这个证书 A 签发证书 B 卖给你。这样你在配置服务器的时候就必须也配置这个中间证书 A。传输数据的时候为了证明自己的合法性，也必须把证书 A 的一些信息交给浏览器。浏览器的运算步骤比平常会多一步(SSL 3.0中定义)，首先验证证书 A，再验证证书 B。这种证书链方式有两个问题，其中之一可以参考 RapidSSL 网站上的攻击，另一个问题是要冒着 Mac 平台上无法使用的风险

本着少冒险也少花钱的想法，我们选择了 Thawte

自从 IE 5.01 开始（内置在 Win2000 中），IE 内置的根证书就很多了，对于新兴网站来说，的确有很大的理由抛弃该浏览器之前的 Win98SE 用户。我强烈建议这类网站选择 RapidSSL，TurboSSL 的问题是它也是证书链方式，但真没有必要为了省 200 块钱而给未来惹麻烦。RapidSSL 还有一个好处就是它能申请一个试用证书，而且这个试用证书是真正可用的，经过合法CA签发的，而不是 verisign/thawte 那样假模假样的用一个 TEST CA 糊弄申请者。而且 RapidSSL 正在打折提供 Wildcard SSL，只需要 199$元/年，好便宜啊。

如果要省钱，比如个人用户，那么可以试试 30$ 以下的 TurboSSL

另外要说的就是 VeriSign 买了 Thawte，GeoTrust 买了 RapidSSL。其实所有证书的可信度是一样的，只不过不同品牌不同价格而已。GeoTrust 宣称它是全球第二大 SSL 证书签发机构，仅次于 VeriSign

RapidSSL 有中文语音服务，帮助你完成申请过程。而 Thawte 的服务真是不错，这是一个南非公司，里面居然有中国人，我购买以后有些小小的麻烦，先是通过 24x5 的 chatroom 和技术支持人员交流，然后就打了电话到我们办公室沟通，实在不错。

最后是购买 Thawte SSL123 的技巧，从这个链接的购买价格只有 99$，不过需要你填写更多的隐私信息，看你怎么选择了。