本文主要讲一讲非商业用途的各品牌SSL证书的优劣势,可供大家根据自己的需要进行选择。在正式开始前,不妨先了解一下四个较为关键的内容。

第一:各个算法名称、证书类型等名词(如RSA/ECC和DV/OV/EV),如果不理解的话建议先通过搜索引擎查找了解一下,否则对后续的阅读可能会产生影响。

第二:这篇文章中提及的都是非商业用途的SSL证书,比较适用于个人网站/项目等(并非绝对不能商用,如果你不介意的话)。因此证书类型都是DV,如果想问有没有免费的OV/EV,只能说请不要做白日梦。

第三:OCSP(Online Certificate Status Protocol),中文为“在线证书状态协议”。说得通俗易懂些就是客户端向CA机构的OCSP服务器查询SSL证书的有效状态 ,因此由CA机构运营的OCSP服务器,会在一定程度上轻微影响网站的加载速度。

第四:SSL证书的安全性取决于其使用的算法,以及部署到线上时的各种环境、措施。至于证书本身,除了不同类型导致的可信度不同以外,基本上没什么区别。如果一定要比较比较,不如直接去买商用证书给自己图个心理安慰。

Let's Encrypt(免费)

屏幕截图 2023-11-23 195758.png

由互联网安全研究小组(ISRG)提供服务,专门为了签发免费SSL证书,支持RSA和ECC,在互联网上被广泛使用。可签发通配符证书。

根据以前的情况看,因其根证书的问题兼容性不是很好,但后来更换根证书后情况有所改善,不过仍旧有一些老旧设备存在问题,正常用于个人网站仍旧是可以的。

OCSP由Cloudflare提供,没有中国节点,因此速度实在不怎么样,相信Cloudflare的速度大家基本上都是心里有数的。

Google Trust Services(免费)

请输入图片描述

由Google提供的SSL证书服务,目前处于公测阶段,全免费,不过未来会不会收费尚不清楚。只能签发RSA算法的证书,ECC目前还不支持。可签发通配符证书。

因其处于测试阶段,所以根证书的兼容性肯定不会像老牌SSL服务商那样好,不过用于个人网站还是非常可以的,至少目前还没有听说GTS有较大规模的兼容性问题。

OCSP是Google自家的,有中国节点,数量不多但速度还不错。美中不足的是申请证书时需要Google Cloud账户,而且ACME API国内也无法访问。

DigiCert(免费)

请输入图片描述

DigiCert还是相当有名的,不过目前只有阿里云可以免费申请到DigiCert的证书了,每年的免费额度是20张。支持RSA和ECC,但只可签发单域名证书。

作为老牌SSL证书CA机构,兼容性绝对是数一数二的。追求兼容性的用户可以选择使用。

OCSP没有中国节点,大陆地区由香港节点进行服务。因此除了沿海地区速度还算可观以外,其他地区速度实在不怎么样。

TrustAsia(免费)

请输入图片描述

国内的一家CA机构,在国内地区使用比较广泛。支持RSA和ECC,可签发通配符证书(通配符证书需要注册账户并使用ACME API申请)。

兼容性方面,因为基本上只有国内的一些企业在用,所以还没有得到较为广泛的可参考数据。但目前在国内地区,兼容性还算不错的。

OCSP有且只有中国节点,数量挺多的。缺点也显而易见,境内地区速度很好,但是国外可能就很不理想了,因此有国外用户的网站不是很推荐使用。

ZeroSSL(免费)

屏幕截图 2023-11-23 195604.png

比较普通的海外CA机构,使用的是Sectigo的根证书。支持RSA和ECC,可签发通配符证书。尽量使用ACME的渠道进行申请,官网免费帐户只能申请3张证书,且不支持通配符。

兼容性方面,因为本人没有用过这个牌子的证书,所以不太好做出评价,但根据网上的风评来看没有什么大问题。

OCSP是Cloudflare的,没有中国节点。且因为不是Cloudflare赞助的CA、国内使用量不是很大,节点质量相比Let's Encrypt逊色一些。

Buypass(免费)

屏幕截图 2023-11-23 201830.png

也是一家比较普通的海外CA机构,支持RSA和ECC。不支持通配符证书,但是每张证书的有效期为6个月。

兼容性方面,因为本人没有用过这个牌子的证书,所以不太好做出评价,但根据网上的风评来看,同样没有什么大问题。

OCSP服务器没有中国节点,但是由Akamai CDN提供服务的,因此国内的速度也算正常,不快也不慢。

AlphaSSL(付费)

屏幕截图 2023-11-23 201915.png

GlobalSign旗下的品牌。GlobalSign可以说是SSL证书行业的顶尖,国内百度、腾讯、哔哩哔哩等全都在用。支持RSA和ECC,普通证书49美元,通配符证书149美元,有效期都是一年(实际上是13个月)。

兼容性方面号称是99.99%,如果说GlobalSign的兼容性不行,那估计就真的没有哪家CA兼容性好了,毕竟人家的根证书是上个世纪就有了。

OCSP含中外节点,且国内节点数量居然比TrustAsia都多,实际测试已经上百了,速度稳居第一。

这里额外夸一下GlobalSign,对所有客户都是一视同仁,均提供国内+海外OCSP。不像DigiCert,一般证书只有海外OCSP,想用国内OCSP就要买更贵的证书,这种做法多少让人感觉有些膈应。

总结一下,如果只是做普通网站的话就不必要很介意兼容性,根据实际情况以及个人喜好选择一个对你来说OCSP质量最好的证书品牌就可以了。如果有API之类的需要,那么还是要关注一下兼容性的,毕竟各种网络请求函数兼容性参差不齐,很容易引来一些奇奇怪怪的问题。

如果手头比较充裕的话,更建议选择AlphaSSL,OCSP和兼容性都是当之无愧的第一,有效期也是最长的。花点钱,就可以彻底解决SSL证书方面的频繁更新,以及将来可能遇到的未知问题,这还是相当不错的。

另外尽量能不选择Let's Encrypt牌子的证书就不要选择。一是因其全免费的原因滥用比较严重;二是Let's Encrypt出现的问题数量是这几个品牌中最多的,兼容性问题、OCSP不可用的问题都出现过,不是很稳定,保险起见还是选别家的吧,反正都免费。

© 禁止转载
点个赞吧~ 让我知道创作的路上有你陪伴