免费证书和商业证书区别在哪?
应该如何选择呢?
免费证书即为免费型DV SSL证书,最多保护一个完整的域名,不支持通配符。免费SSL证书只验证域名信息。仅适用于个人博客、个人用户体验以及应用测试等简单的HTTPS加密需求。
免费SSL证书
免费证书真的安全吗?提到免费证书,就不得不提自签名SSL证书了,自签名SSL证书是指由不受信任的机构或个人自己给自己颁发的SSL证书,这种证书虽然可以随意签发,但是却不受浏览器信任,一般用于网站正式上线前的测试。
除了自签名SSL证书以外,最具代表性的当属Let’s Encrypt ,然而近年来,由于Let’s Encrypt证书免费的性质和被多数网络浏览器识别的高几率,使得它成为设置钓鱼网站的骗子们的最佳选择。另外,证书有效期仅为90天的Let’s Encrypt证书不断为用户带来部署后的次生安全风险:
☞ 2017年1月1日到3月31日期间,Netcraft拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let’s Encrypt颁发的证书。
☞ 2020年3月,由于域名验证和证书签发软件中的一个错误,Let’s Encrypt吊销近300万张证书。由于事发突然,Let’s Encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,此举意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用,从而造成直接的经济损失。
☞ 2021年1月开始,由于Let ‘s Encrypt服务使用的一个由IdenTrust提供的根证书将于2021年9月1日到期,导致其证书的兼容性将会降低,网站所有者和用户都会受到影响。Let’s Encrypt的根证书即将到期意味着将有三分之一的Android设备将被阻止访问受Let’s Encrypt SSL证书保护的网站。
许多对免费SSL证书不了解的个人站长仍然使用着这种可以随意签发的SSL证书,看似能给网站节省购买SSL证书的费用,实际上却令网站面临众多的潜在威胁。
免费SSL证书由于在审核过程中不需要人工,这种不严谨的审核方式便让黑客有了可乘之机,只需让申请信息与域名信息一致就能轻松获得证书,通过免费证书为自己披上看似可信的外衣,骗取用户的信任,极易造成安全事件频发。出于对用户、网站自身安全的考量,不建议管理员使用免费SSL证书。
更安全的OV SSL和EV SSL商业证书
商业证书按照安全等级分为三类:付费域名型DV SSL证书、企业型OV SSL证书和增强型EV SSL证书。
CA(证书的签发机构)在签发OV SSL证书和EV SSL证书时,对申请者都要求提供可信身份证明以验证组织身份(如企业营业执照、组织机构代码证等),经过严格的审核后才可颁发。
■ 付费域名型DV SSL证书仅起到对网站数据加密的作用,无法向用户证明网站的真实身份,仅适合个人站点或博客类网站。
■ 企业型OV SSL证书不仅能起到对网站数据加密的作用,并且能向用户证明网站的真实身份,适合各类中小型企业网站。
■ 增强型EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全等级最高的SSL证书,具有完整身份验证机制和权威的第三方担保验证,除了实现更高安全的HTTPS传输加密,同时可以标示网站身份,彰显品牌形象,提高用户对网站的信任度。适用于金融、电子商务、政府机关等涉及到敏感数据与隐私数据的中大型企业网站。
2020年9月1日起,在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,目前SSL证书的最长有效期正式变更为一年,商业证书(特别是OV 型和 EV 型)在后期专业维护的基础优势上,提供了全生命周期自动化服务、本土化OCSP服务以及完善的技术支撑伴随服务,以应对SSL证书有效期持续缩短的行业趋势。
综上所述,网站使用免费SSL证书是非常不安全的,存在非常大的安全隐患。想要让网站的安全得到保障,应部署由第三方权威机构CA颁发的有效OV SSL和EV SSL商业证书。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代