今天想到个奇怪的事
明明 lets encrypt 可以提供免费证书, 并且可以稍微配置下就自动更新 虽然三个月一次, 但是自动更新了, 有啥区别
别说大点公司网站不差钱, 今天无意中看了下, hacknews 网站, 最前沿的 it 信息站, 每天流量巨大 https://news.ycombinator.com/ , 结果也是用的 lets encrypt 免费 3 个月那种
另外大家天天上的 V2EX 也是用的 lets encrypt
101
ZeroClover 23 天前
@jim9606 不懂可以不要强答
Let's Encrypt 是 X.509 证书,和代码签名证书根本不是一个东西,你拿 EV X.509 证书也不能签二进制 然后,EV 代码签名也不再可用于内核模式驱动签名,Windows 10 1607 开始就只认微软自家签名 |
102
jaylee4869 23 天前
某些行业(如医疗、金融、政府)在一些国家有特定的法规要求,必须使用 OV 或 EV 证书,而 Let's Encrypt 只能提供 DV 证书。
商业证书通常附带保险( warranty ),如果证书被破坏导致用户损失,证书颁发机构可能会提供赔偿。Let's Encrypt 没有类似的保险保障。 |
103
iyaozhen 23 天前
不同公司级别不一样
就我知道的,我们一个业务网关就几万个 docker pod ,用免费证书签发这个做起来不简单。还有就是要走 cdn 的,你签发的证书怎么分发到 cdn 厂商呢?还是买商业证书,花钱更简单 |
104
andyskaura 23 天前
@XDiLa #81 槽点太多。
|
105
unnamedhao 23 天前
对于证书的更新,一台机器和一个集群的机器是不一样的
|
106
Tink 23 天前
省这点钱有啥意义呢
|
108
NoKey 23 天前
保不保证根秘钥不丢?🤣
|
109
buffzty 23 天前 1
我觉得是智商税,唯一优点现在以已经没了,很多年前浏览器会在域名前面加绿色的公司名,现在这功能已经没有了
所以他们早就该凉了,贵地要死,只是一个验证域名所有权收费这么多不是智商税是啥 免费证书其实没大缺点,网上说的时间短这个问题根本不是问题,现在都是自动更新证书。还有人说不认这个证书,其实是自己配置错了,把完整证书链配置上去所有系统都认。 |
111
Dragonphy 23 天前
|
112
iorilu OP hackernews 不是大站吗, 而且人家可是全球类似网站毫无疑问第一,
任何重量级的开源软件, IT 消息都会第一时间发布, 人家会差几个钱吗, 为什么还是用免费的 |
113
Configuration 23 天前
@iorilu #112 越来越魔障了,比尔盖茨开帕萨特,其他所有人都只能开帕萨特吗?
|
114
thtznet 23 天前
技术思维考虑商业服务:怎么也想不通这些傻子为啥要花这种冤枉钱。
商务思维考虑技术服务:怎么会有傻子高兴自己去背锅干有风险的事情。 管理类人员和技术工程师考虑问题的角度不同。 |
115
bk201 23 天前
1.技术型领导和非技术型领导区别,领导出生不一样,解决问题的方式也不一样。
2.综合性站点和非综合性站点区别。有的站点有很多子站点,每个子站点不同团队在维护,你 3 个月换一次,不把人折腾死。 没有啥非黑即白的东西,具体用什么,很自由,何况这钱很少,也上升不到去研究到底用哪种的地步。 |
116
twl007 23 天前
感觉区别越来越小了 要是 Let's Encrypt 早出几年 就免去很多申请证书的麻烦了
|
117
a1274598858 23 天前
|
118
ayelky 23 天前
我准备收费转免费。。。
|
119
Yanlongli 23 天前
理论上一样,主要是信誉度。
不同的签发机构信誉不一样,比如免费的信任就会低一些。 另外说有些老旧系统或软件不支持 let`s 的,这个其实和根证书的有效期有关,目前 let`s 的根发布于 2015 年,自然老旧的系统和软件没有内嵌这些根证书,手动安装就好,另外有些证书的算法( ecc 、国密 sm2 发布日期都是新发布的,亦或者密钥长度 4096 、8192 )可能老旧的系统和软件也不支持,这个和是否免费无关,还是和具体机构所采用的技术有关。 |
120
durban126 23 天前
有些公司用免费的
是因为怕出事找不到责任人,自己也不愿意去担责 证书这个东西,开公司为了保证安全去有商业保证的公司买 比如七牛云,阿里云,腾讯云等等,因为人家是官方出的,免费的,大多数人的心理作用都是免费没好货,so 这种消费的意识是骨子里面培养起来的,大多数人没有自己的基本思考,只愿意相信权威,尽管有些权威也没啥含金量,我自己的个人网站我就用 Let's Encrypt ,但是你跟公司说这个东西可以用没问题,老板觉得还是花钱来的安全 就像是,去菜市场买菜,突然来个免费的,大多数人还是会思考下会不会有免费,但是打个油头说我今天过生日,这个菜就是 1 折,还是会有很多人去买的, 按照我的思考其实不管是真的假的,经过自己的思考,符合规定的证书就没问题的,但是总有喜欢上当的,证书只是其中一个个例,好多事情都是一样的道理,毕竟免费的东西,如果真的是好的,也不太好去做大肆宣扬,如果真的出问题了,总会有人过来说人家的,但是话说回来,人家就是个免费的出问题为什么要找人家呢,古古怪怪的是人的思想 哈哈哈 |
121
gloeaerris 23 天前
您这一招叫:堵死自己的商业嗅觉。
从公司的角度来看,免费的其实也是最贵的。 如果你看到的大网站还在用 Let's Encrypt 的话,你会发现他们有个特点,创始人基本是技术起家的。 |
122
SekiBetu 23 天前
zerossl 挺好的
|
123
jeesk 23 天前
我就想问免费证书支持 SAN ? 你看很多商业公司一个证书签了 n 多域名. 不比免费的好?
|
124
codersdp1 23 天前
遇到一个问题,阿里云支付回调不认可这些证书,这就很头疼了。
|
125
arrow629 23 天前
@jeesk #123 支持的,Let's Encrypt 能签 100 个 SAN (含通配符) Posh-ACME 列的几家免费证书就有 3 家可以 https://poshac.me/docs/v4/Guides/ACME-CA-Comparison/#acme-ca-info
|
126
arrow629 23 天前
说真的,用着免费版或者 Pro 版的 Cloudflare 的网站,大多都选择 Cf 托管的 ssl 证书吧。CF 给的就是从 Let's Encrypt 和 Google Trust Services 里选的证书啊。
|
127
epiphyllum 23 天前
1. 一些从业较久、声誉良好的付费证书提供商可针对老旧系统或设备提供更广泛的兼容性。
2. 付费证书提供商多年以来的宣传会无形中培养一些关于证书产品的刻板印象,改变了一些公司或人员的消费习惯。 3. 付费证书提供商开出的高价中往往包含“赔付”或“保障”等服务,可以帮助开发人员和管理者分担出现事故时的责任与风险(而且反正又不需要我们打工的出钱) 4. 价格更高的 EV 、OV 证书在某些场景下是一种身份证明和财力/实力象征,能一定程度上博取用户/客户信任。 (例如 Google 直接自建 CA )(例如“我可能用不上,但我不能没有”,就像工商银行可以砸钱去 ICANN 买一个 *.icbc 的域名后缀那样,哪怕并没有实际业务用也无所谓) 5. 一些历史包袱较重的服务,以及维护它们的公司/政府难以轻松地为系统添加自动化证书更新。哪怕一些全球知名的大公司也逃不过偶尔的“证书过期”事故。 (相关新闻可搜索关键词:淘宝 证书过期、Apple Music 证书过期) |
128
zzmark06 22 天前 1
1. 设备兼容性。你不能要求用户不使用老设备,也不能要求老业务组去升级基础设施(真的会死)
2. 证书轮换,项目各种奇葩部署方式导致证书根本收不上来,难不成每 2 个月就要到七八个项目组二三十个证书轮换点挨个去轮换? 3. OCSP ,Lets encrypt 的 OCSP 经常被墙,导致 ios 用户首次请求直接寄(超时 10s )。 4. 业务多了,Lets encrypt 的免费单域名不够用,通配解析又存在分发问题(参照第二点)。 5. 安规,你以为买 OV 和 EV 只是个证书?其实买的是审查和设计。 问出这个问题,难道没赶上 Lets Encrypt 更换根证书的时候吗,证书只是运维的一个小部分,没有人天天能盯着这么多东西的。 至于说做好监控,或者自动 acme.sh ,现实情况远比梦里的复杂,你觉得是雇个人天天盯着成本低,还是直接花几千块钱买个证省下一年十几个 (人/日) 成本低。 |
129
kokerkov 22 天前
你了解一下证书等级,然后各个等级的详细作用就自然明白了。搞这么多不是没有意义的。
简单地说,lets encrypt 的证书的作用只是保证你和某个网站之间的线路是 SSL ,也就是加密的,他不能证明也不能证明,张三就一定是张三,有可能是张 3 。(你自己想想,你提交证书的时候让你提交营业执照了吗) 企业级的证书,除了加密以外,还能证明,我这个 taobao.com 就是阿里巴巴开的购物网站,而不是第三方冒充的。懂了吗? |
130
cnevil 22 天前
都是生意,就跟你搞不懂为什么有的企业/单位几十几百万搞一个系统然后没人用一样
我之前在那央企运维,证书是系统建设跟每年的维保项目里带的,我看价格是按最贵的套餐来的,实际就官网邮箱俩系统上了证书 |
132
TesterCC 22 天前
私人项目还行,稍微大点的项目,特别是一挂影响业务的还是别 3 个月一更新,万一挂了折腾。
|
133
zoharSoul 22 天前
lets encrypt 会被墙, 影响 iOS/macos 下的用户访问
|
134
xyz3210 22 天前
自己 nas 的 SSL 证书月底就到期了。考虑过使用 lets encrypt ,但是不知道威联通的证书存在那里,他自己的域名可以使用 lets encrypt 。使用 cloudflare 的证书,人家是自签名,用不了。最后花了 14.95 美元买了 5 年的 sectigo 的 DV 证书,一年一续,一年不到 3 美元还能接受。考虑过淘宝的 SSL ,但是公钥私钥都在他们手里,不敢用!
|
135
taizhenhua1987 22 天前
是不是智商税要看价格是否匹配品质,加价十万的雷克萨斯我骂它是智商税,降价十万我绝对连夜去 4S 店门口排队。
公司今年买了国内某个代理商的证书,三月份买的八月份开始电话狂轰乱炸要我提前续费。并且暗示如果一次性续三年可以送我一部最新款苹果手机,可见这玩意儿有多暴利。我可以合理怀疑他们公司 99%的成本来自销售员的工资和电话费,剩下的才是证书这个产品本身的价值。 看看阿里云上卖的证书,同样是 OV 证书,下面六个品牌价格从 1700 到 8100 不等,你们谁能一句话说出这六个证书的区别是什么?如果你们老板让你购买证书你会选择哪一个品牌并给出什么样的让人信服的理由?国内这些互联网大厂爆出的各种事故哪一个是因为证书安全性不够造成的?我觉得这玩意儿就应该跟域名卖一样的价格 |
136
iorilu OP @xyz3210 居然有这么便宜得阿 , 我以为一般起码几百一年, 就因为一般人不懂这门道, 搞不清区别, 干脆用免费得了
@taizhenhua1987 差不多就这意思, 就像上面有人说 15 美元买 5 年, 也有几千几万一年得 , 我相信没几个人知道区别, 即使是公司网管这类得, 他们肯定和领导说贵的好 |
138
lslqtz 22 天前
LE 的 DV 信任度没想象那么好而且依赖自动化 (自动化带来了安全性降低, 方便和安全不可兼得), 商业 DV 泛域名其实完全应对绝大部分企业的需求, 商业 EV 现在基本属于智商税 (保险和 OV 大差不差, 但没有像以前那样的绿标), 超大型企业一般会选择购入一个中级证书以方便大量服务部署.
实际上保险在 99.9999% 时候都是没用的, 可能部分大型公司图 SLA 买保险减少那微乎其微的损失. |
139
lslqtz 22 天前
部分情况会有合规需求, 通常也是 OV SSL 就够了, 包括银行站点基本也是用的 OV SSL. 一些证书颁发机构会声称 EV SSL 验证比 OV SSL 更繁琐, 但这实际上(对最终用户最终转化到企业)并不能带来任何的优势, 据说这也是 EV SSL 被取消绿标的原因.
|
140
lslqtz 22 天前
当然还有一种情况就是因为 EV SSL 现在没什么优势, 所以价格和 OV SSL 越来越近, 因为 OV SSL 本来也不便宜, 加点钱上 EV 可能并没想象中那么难以忍受. 不过 EV SSL 还有一个重大缺陷 (以前有, 现在不确定): 没有泛域名支持.
DV SSL 的例子: Cloudflare OV SSL 的例子: 建行, Google, 通常也包括下面 EV SSL 的例子 (只是不在主站) EV SSL 的例子: 中行, Apple, Paypal |
141
xyz3210 22 天前
证书有 DV ,OV ,EV 还有单域名,泛域名,还有 ip 的证书。一般看买证书看一个可信度以及使用范围。国内的证书之前出过滥签证书,后来不让用了。一般人使用买单域名的 DV 就可以了!
|
143
keengrass 21 天前
安全性
|
144
Rainkolwa 21 天前
不知道到这么回复合不合理,但挺形象的:为什么 Bitwarder 可以用来免费管理密码,为什么还是有不少人花钱买 1Password?
|
145
impl 21 天前
技术面试的时候,不要和面试官提什么 Let's encrypt ,不然会被呵呵,别问我怎么知道的
|
146
jim9606 20 天前
@ZeroClover 严格算是不一样,两个都是 X.509 规范的证书,单载明的公钥用途不一样,一般也由不同的中间 CA 签发。但卖代码签名证书的通常也做域名证书,搞不好就是打包卖的。
我也不知道除了这个用途还有啥合规场景需要 EV 。 虽然新版 Win10/11 只认微软签名,但提交到 WHCP 签名前还是要求先 EV 签名过的,实际最终用户到手的驱动会有两个签名。 |
147
ForrestWang 19 天前
主要是三个月的要续很麻烦,我们业务接了一大堆三方平台,这些平台没有脚本可以自动部署,忘了就麻烦了
|