欢迎来到蔚可云!
打开客服菜单
蔚可云
当前位置: 模板网站 > 业界资讯 > 免费的SSL证书和收费的证书有什么区别?
免费的SSL证书和收费的证书有什么区别?
时间 : 2021-12-21 21:01 浏览量 : 2

在讲收费与免费的区别之前,我们需要简单了解一下 SSL 证书到底是什么,到底是做什么用的。

加密的基本原理

大家肯定知道 SSL 证书是用来加密 HTTP 请求的。但具体是在加密的哪个阶段起作用呢?这就得说道说道对称加密非对称加密

对称加密

所谓对称加密,就是收发双方共用同一套密钥。不搞加密的朋友可能看不懂这些术语。对称加密就是谍战片中的电报密码本。第一个汉字对应一个密码,收发双方共用一套密码本,所以才能加密和解密。如果能拿到或者破解敌人的密码本,就能监听敌人的电报!所以要保护好密码本

这种需要密码本的加密仅仅适用于少数人之间的通信。你不可能把密码本发给每一个人。但是我们的网站可能有各种各样的人来访问,怎么才能实现加密通信呢?这就需要用到非对称加密

非对称加密

所谓非对称加密,就是利用数学方法生成一对密钥,一个对外公开,所有人都能看,我们称之为公钥;另一个自己妥善保存,不可轻易示人,我们称之为私钥。如果一方要通信,可以使用对方的公钥对数据进行加密,对方再用自己在私钥解密。这里跟对称加密最大的不同就是要用到公、私两个密钥。因为私钥不需要发给别人,所以非常安全。

那我们可以直接使用非对称加密技术来加密HTTP通信吗?并不能!因为非对称加密虽然安全,但计算量很大,加密和解密过程都比较慢。对称加密倒是快,但不安全。于是人们就把这两种加密方法结合起来,形成了现在通行的 SSL 或者 TLS 加密体系。其核心是在通信之前随机生成一份密码本,然后用非对称加密之后发给对方。这样双方就有同一份密码,然后可以用对称加密进行通信。每次都可以生成新的密码,用完就扔,保证安全性。

SSL 证书的本质

以上就是 SSL/TLS 加密通信的大致原理。但是 SSL 证书在这个过程有起到什么作用吗?并没有!也就是说,SSL 证书对 HTTPS 的加密过程来说,没有任何作用!那为什么还要申请证书呢?这就需要讲另一个问题——公钥验证。

前面说非对称加密需要把公钥公开给大家。比如我的个人网站 taoshu.in 把自己的公钥公开,所有想访问我博客的朋友需要根据我公开的公钥来给我发加密数据(协商密码)。可是网上有另一个不怀好意的人,它也公开了一枚公钥,也声称这是 taoshu.in 的公钥。那想访问我博客的用户怎么确定到底哪个公钥才是 taoshu.in 真正在公钥呢?这就需要 SSL 证书。

大家可以把 SSL 证书想象成公证处开的证明,证明某个公钥是某网站的公钥。这里的公证处就是所谓的 CA 机构。我样可以按一定的格式,把自己的公钥(不是私钥,私钥一辈子都不能给别人!)、网站域名,甚至是组织信息填写到一个文件中发给CA,CA会用自己的私钥对这个文件进行签名,而这个签名可以根据CA的公钥来验证。所以说,CA也有一对私钥和公钥。那问题又来了,会不会有人冒充CA来发布伪造的公钥呢?确实会。这个问题是由操作系统厂商来解决的。不论是 windows、linux、android 还是 macos、ios,都会内置一份 CA 公钥列表(也叫CA根证书),只有系统内置的CA签发的证书才是有效证书!

SSL 证书为什么要收费

到此大家应该理解 SSL 证书的作用了吧!SSL 证书就是一份证明,证明某公钥确实是某网站的公钥。这里面需要用到 CA 这个中间机构。那为什么 SSL 证书需要钱呢?那是因为 CA 机构在签发证书之前需要对公钥跟网站和组织的关系进行验证,这个过程有成本。另外就是CA机构需要应对 WebTrust 等机构的审计,也需要支付不小的费用。所以说,传统的 SSL 证书比较贵。

CA 会验证什么

根据验证信息范围的不同,SSL 证书 DV、OV和EV三种认证级别。

DV 证书

第一级叫 DV,全称 Domain validated,也就是域名认证。此证书可以证明网站所有从具有对应域名的所有权,证书信息里面只有域名一项(Common Name 字段),比如下面就是 Let’s Encrypt 签发的一张 DV 证书。

图片

taoshu.in 的 dv 证书

通过 DV 证书,使用者唯一可以确定的是这枚公钥是某个DNS域名的公钥。因为证书上只有域名这一项信息。

OV 证书

第二级叫 OV,全称 Organization validated,也就是组织认证。证书里除了注明了域名之外还添加了公司名(Organization)等信息。我们平时见到的 https 网站多用这种级别的证书。下图就是知乎的证书信息。

图片

zhihu.com 的 ov 证书

EV 证书

第三级叫 EV,全称 Extended validation,也就是扩展认证。CA 会对证书持有人进行更加全面的认证。如果浏览器会在网址左边显示组织机构信息。用户看到这些信息会更加放心。但现在常用的浏览器已经不再展示了。


图片

老版本的浏览器(chrome 小于 77, firefox 小于 70)会展示EV证书的组织名称

选择什么样的证书

随着验证级别的加深,需要的工作量也越来越大,价格自然水涨船高。那问题就来了,我要为自己的网站选择什么样的证书呢?答案是DV证书!

首先,EV 证书在地址栏额外展示组织信息的特权已经没有了!现在所有浏览器都不会在地址栏展示这个信息,也就不会给用户提供额外的提示。而且EV证书非常昂贵。普通网站使用 EV 证书肯定是被忽悠了!另一方面,因为移动平台界面比较小,如果展示组织名称就没法显示域名。而组织名称可以在全世界重复使用。比如你叫百度,我也可以叫百度索马里,如果只看组织名不看域名,很容易引起误解。这也是现代浏览器不再展示组织名称的原因。说白了 EV 证书在防止钓鱼方面作用有限。有兴趣的可以看我的文章 SSL EV 证书之死。总之,别再买 EV 证书了

然后就是OV证书。这是用的比较多的。我个人是不建议普通的网站继续使用OV证书。以我前面说的知乎证书为例:知乎的网址是 zhihu.com,对应的公司却是 智者四海(北京)有限公司。说句实施,有多少用户能弄明白两者的关系?而且这些信息还都需要额外点击才能查看,又有多少用户会去看呢?再看看支付宝的网站,域名是 alipay.com,证书里的组织名是 Alipay.comCo.,Ltd,有什么区别,谁能看懂?所以说 ov 证书里的组织信息一方面没人看,另一方面也看不懂。这种额外的验证成本对用户来说其实没有太大的价值。建议不选!

关于 OV 证书,我最近又有新的思考。在国内,所有的网站都得备案。如果想查询验证的机构信息,完全可以到工信部查询备案信息,这是国内最权威的信息,可信度比任何 CA 都强


图片


标签:
// language用于控制访客端展示的语言类型,language=ZHCN为中文,language=EN为英文,您可按需设置一种语言类型
cache
Processed in 0.009842 Second.