选择 SSL 证书提供商
最近网站开发的一套系统需要考虑安全传输,在网上狗了这篇文章,收藏在这里,将来或许还会用的着。
----------------酷酷的分割线---------------
By qyb
就我所见,国内绝大部分的网站是没有提供 https 加密传输的,实在和中国互联网发展水平不相称。这里把我这次购买 SSL 证书的经验和体会在这里公布一下,希望对需要的人能有所帮助。
首先要明确一个观念,比起托管费/流量费/硬件折旧费用,SSL 证书相当便宜,eYou 买的 Thawte 的证书已经算是最顶级的品牌了,也只需要 99$/年,而我见过的网上最便宜的证书用 28$/年就能搞定。所以提供 SSL 加密链接绝对是互联网企业应该立即动手去做的事情。
通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。针对这样的需求,可供挑选的产品包括:
1. verisign 的 Secure Site,一年报价 349$
2. thawte 的 SSL123,一年报价 149$
3. geotrust 的 QuickSSL,一年报价 169$
4. RapidSSL,一年报价 49$
5. InstantSSL,一年报价 49$
6. TurboSSL,这个最便宜,网上没有超过 30$ 的,如果你在运营一个 opensource 项目,甚至可以送一年证书
这么多产品,我们怎么来挑选呢?请继续看我介绍:
如果希望用户能够无障碍的使用 SSL 加密链接,要求你的证书是被浏览器所安装的根证书所签发,这样才不会蹦出错误提示对话框。这样就有了一个小小的门槛:你是否需要支持 IE5.0 用户?
IE 5.0是 Win98SE 的缺省浏览器,虽然已经有7年的历史,但使用该款浏览器的人在中国仍然占据一部分相当的比例,坏消息随之而来,IE 5.0 预埋的根证书只有非常少的商业机构,它们是 VeriSign/Thawte/CyberTrust。CyberTrust 现在通过 comodo 签发证书,而 InstantSSL 是 comodo 的一款产品.
简单总结,如果你希望支持 IE 5.0,那么有三个选择:VeriSign/Thawte/InstantSSL。那么为什么 eYou 没有考虑最便宜的 InstantSSL 呢?
因为 InstantSSL 是通过所谓"证书链"的方式来签发证书的,就是说它用浏览器预埋的 CyberTrust 签发了证书 A,再用这个证书 A 签发证书 B 卖给你。这样你在配置服务器的时候就必须也配置这个中间证书 A。传输数据的时候为了证明自己的合法性,也必须把证书 A 的一些信息交给浏览器。浏览器的运算步骤比平常会多一步(SSL 3.0中定义),首先验证证书 A,再验证证书 B。这种证书链方式有两个问题,其中之一可以参考 RapidSSL 网站上的攻击,另一个问题是要冒着 Mac 平台上无法使用的风险
本着少冒险也少花钱的想法,我们选择了 Thawte
自从 IE 5.01 开始(内置在 Win2000 中),IE 内置的根证书就很多了,对于新兴网站来说,的确有很大的理由抛弃该浏览器之前的 Win98SE 用户。我强烈建议这类网站选择 RapidSSL,TurboSSL 的问题是它也是证书链方式,但真没有必要为了省 200 块钱而给未来惹麻烦。RapidSSL 还有一个好处就是它能申请一个试用证书,而且这个试用证书是真正可用的,经过合法CA签发的,而不是 verisign/thawte 那样假模假样的用一个 TEST CA 糊弄申请者。而且 RapidSSL 正在打折提供 Wildcard SSL,只需要 199$元/年,好便宜啊。
如果要省钱,比如个人用户,那么可以试试 30$ 以下的 TurboSSL
另外要说的就是 VeriSign 买了 Thawte,GeoTrust 买了 RapidSSL。其实所有证书的可信度是一样的,只不过不同品牌不同价格而已。GeoTrust 宣称它是全球第二大 SSL 证书签发机构,仅次于 VeriSign
RapidSSL 有中文语音服务,帮助你完成申请过程。而 Thawte 的服务真是不错,这是一个南非公司,里面居然有中国人,我购买以后有些小小的麻烦,先是通过 24x5 的 chatroom 和技术支持人员交流,然后就打了电话到我们办公室沟通,实在不错。
最后是购买 Thawte SSL123 的技巧,从这个链接的购买价格只有 99$,不过需要你填写更多的隐私信息,看你怎么选择了。