V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
iorilu
V2EX  ›  程序员

明明 lets encrypt 可以提供免费证书, 为什么很多人还要花大钱买

  •  3
     
  •   iorilu · 24 天前 · 16340 次点击

    今天想到个奇怪的事

    明明 lets encrypt 可以提供免费证书, 并且可以稍微配置下就自动更新 虽然三个月一次, 但是自动更新了, 有啥区别

    别说大点公司网站不差钱, 今天无意中看了下, hacknews 网站, 最前沿的 it 信息站, 每天流量巨大 https://news.ycombinator.com/ , 结果也是用的 lets encrypt 免费 3 个月那种

    另外大家天天上的 V2EX 也是用的 lets encrypt

    148 条回复    2024-12-06 17:20:37 +08:00
    1  2  
    ZeroClover
        101
    ZeroClover  
       23 天前
    @jim9606 不懂可以不要强答

    Let's Encrypt 是 X.509 证书,和代码签名证书根本不是一个东西,你拿 EV X.509 证书也不能签二进制

    然后,EV 代码签名也不再可用于内核模式驱动签名,Windows 10 1607 开始就只认微软自家签名
    jaylee4869
        102
    jaylee4869  
       23 天前
    某些行业(如医疗、金融、政府)在一些国家有特定的法规要求,必须使用 OV 或 EV 证书,而 Let's Encrypt 只能提供 DV 证书。
    商业证书通常附带保险( warranty ),如果证书被破坏导致用户损失,证书颁发机构可能会提供赔偿。Let's Encrypt 没有类似的保险保障。
    iyaozhen
        103
    iyaozhen  
       23 天前
    不同公司级别不一样

    就我知道的,我们一个业务网关就几万个 docker pod ,用免费证书签发这个做起来不简单。还有就是要走 cdn 的,你签发的证书怎么分发到 cdn 厂商呢?还是买商业证书,花钱更简单
    andyskaura
        104
    andyskaura  
       23 天前
    @XDiLa #81 槽点太多。
    unnamedhao
        105
    unnamedhao  
       23 天前
    对于证书的更新,一台机器和一个集群的机器是不一样的
    Tink
        106
    Tink  
       23 天前
    省这点钱有啥意义呢
    wy315700
        107
    wy315700  
       23 天前
    @iorilu #7 DV OV EV. 不同证书的认证不一样,价格也不一样。
    NoKey
        108
    NoKey  
       23 天前
    保不保证根秘钥不丢?🤣
    buffzty
        109
    buffzty  
       23 天前   ❤️ 1
    我觉得是智商税,唯一优点现在以已经没了,很多年前浏览器会在域名前面加绿色的公司名,现在这功能已经没有了
    所以他们早就该凉了,贵地要死,只是一个验证域名所有权收费这么多不是智商税是啥


    免费证书其实没大缺点,网上说的时间短这个问题根本不是问题,现在都是自动更新证书。还有人说不认这个证书,其实是自己配置错了,把完整证书链配置上去所有系统都认。
    Dragonphy
        110
    Dragonphy  
       23 天前
    @iyaozhen #103 签发的证书可以上传到各家云服务商的 CDN 啊
    Dragonphy
        111
    Dragonphy  
       23 天前
    整那些有的没的,看看 V 站的
    iorilu
        112
    iorilu  
    OP
       23 天前
    hackernews 不是大站吗, 而且人家可是全球类似网站毫无疑问第一,
    任何重量级的开源软件, IT 消息都会第一时间发布, 人家会差几个钱吗,
    为什么还是用免费的
    Configuration
        113
    Configuration  
       23 天前
    @iorilu #112 越来越魔障了,比尔盖茨开帕萨特,其他所有人都只能开帕萨特吗?
    thtznet
        114
    thtznet  
       23 天前
    技术思维考虑商业服务:怎么也想不通这些傻子为啥要花这种冤枉钱。
    商务思维考虑技术服务:怎么会有傻子高兴自己去背锅干有风险的事情。

    管理类人员和技术工程师考虑问题的角度不同。
    bk201
        115
    bk201  
       23 天前
    1.技术型领导和非技术型领导区别,领导出生不一样,解决问题的方式也不一样。
    2.综合性站点和非综合性站点区别。有的站点有很多子站点,每个子站点不同团队在维护,你 3 个月换一次,不把人折腾死。
    没有啥非黑即白的东西,具体用什么,很自由,何况这钱很少,也上升不到去研究到底用哪种的地步。
    twl007
        116
    twl007  
       23 天前
    感觉区别越来越小了 要是 Let's Encrypt 早出几年 就免去很多申请证书的麻烦了
    a1274598858
        117
    a1274598858  
       23 天前
    免费的有赔付吗
    ayelky
        118
    ayelky  
       23 天前
    我准备收费转免费。。。
    Yanlongli
        119
    Yanlongli  
       23 天前
    理论上一样,主要是信誉度。
    不同的签发机构信誉不一样,比如免费的信任就会低一些。
    另外说有些老旧系统或软件不支持 let`s 的,这个其实和根证书的有效期有关,目前 let`s 的根发布于 2015 年,自然老旧的系统和软件没有内嵌这些根证书,手动安装就好,另外有些证书的算法( ecc 、国密 sm2 发布日期都是新发布的,亦或者密钥长度 4096 、8192 )可能老旧的系统和软件也不支持,这个和是否免费无关,还是和具体机构所采用的技术有关。
    durban126
        120
    durban126  
       23 天前
    有些公司用免费的
    是因为怕出事找不到责任人,自己也不愿意去担责
    证书这个东西,开公司为了保证安全去有商业保证的公司买
    比如七牛云,阿里云,腾讯云等等,因为人家是官方出的,免费的,大多数人的心理作用都是免费没好货,so
    这种消费的意识是骨子里面培养起来的,大多数人没有自己的基本思考,只愿意相信权威,尽管有些权威也没啥含金量,我自己的个人网站我就用 Let's Encrypt ,但是你跟公司说这个东西可以用没问题,老板觉得还是花钱来的安全

    就像是,去菜市场买菜,突然来个免费的,大多数人还是会思考下会不会有免费,但是打个油头说我今天过生日,这个菜就是 1 折,还是会有很多人去买的,

    按照我的思考其实不管是真的假的,经过自己的思考,符合规定的证书就没问题的,但是总有喜欢上当的,证书只是其中一个个例,好多事情都是一样的道理,毕竟免费的东西,如果真的是好的,也不太好去做大肆宣扬,如果真的出问题了,总会有人过来说人家的,但是话说回来,人家就是个免费的出问题为什么要找人家呢,古古怪怪的是人的思想 哈哈哈
    gloeaerris
        121
    gloeaerris  
       23 天前
    您这一招叫:堵死自己的商业嗅觉。
    从公司的角度来看,免费的其实也是最贵的。
    如果你看到的大网站还在用 Let's Encrypt 的话,你会发现他们有个特点,创始人基本是技术起家的。
    SekiBetu
        122
    SekiBetu  
       23 天前
    zerossl 挺好的
    jeesk
        123
    jeesk  
       23 天前
    我就想问免费证书支持 SAN ? 你看很多商业公司一个证书签了 n 多域名. 不比免费的好?
    codersdp1
        124
    codersdp1  
       23 天前
    遇到一个问题,阿里云支付回调不认可这些证书,这就很头疼了。
    arrow629
        125
    arrow629  
       23 天前
    @jeesk #123 支持的,Let's Encrypt 能签 100 个 SAN (含通配符) Posh-ACME 列的几家免费证书就有 3 家可以 https://poshac.me/docs/v4/Guides/ACME-CA-Comparison/#acme-ca-info
    arrow629
        126
    arrow629  
       23 天前
    说真的,用着免费版或者 Pro 版的 Cloudflare 的网站,大多都选择 Cf 托管的 ssl 证书吧。CF 给的就是从 Let's Encrypt 和 Google Trust Services 里选的证书啊。
    epiphyllum
        127
    epiphyllum  
       23 天前
    1. 一些从业较久、声誉良好的付费证书提供商可针对老旧系统或设备提供更广泛的兼容性。

    2. 付费证书提供商多年以来的宣传会无形中培养一些关于证书产品的刻板印象,改变了一些公司或人员的消费习惯。

    3. 付费证书提供商开出的高价中往往包含“赔付”或“保障”等服务,可以帮助开发人员和管理者分担出现事故时的责任与风险(而且反正又不需要我们打工的出钱)

    4. 价格更高的 EV 、OV 证书在某些场景下是一种身份证明和财力/实力象征,能一定程度上博取用户/客户信任。
    (例如 Google 直接自建 CA )(例如“我可能用不上,但我不能没有”,就像工商银行可以砸钱去 ICANN 买一个 *.icbc 的域名后缀那样,哪怕并没有实际业务用也无所谓)

    5. 一些历史包袱较重的服务,以及维护它们的公司/政⁡府难以轻松地为系统添加自动化证书更新。哪怕一些全球知名的大公司也逃不过偶尔的“证书过期”事故。
    (相关新闻可搜索关键词:淘宝 证书过期、Apple Music 证书过期)
    zzmark06
        128
    zzmark06  
       22 天前   ❤️ 1
    1. 设备兼容性。你不能要求用户不使用老设备,也不能要求老业务组去升级基础设施(真的会死)
    2. 证书轮换,项目各种奇葩部署方式导致证书根本收不上来,难不成每 2 个月就要到七八个项目组二三十个证书轮换点挨个去轮换?
    3. OCSP ,Lets encrypt 的 OCSP 经常被墙,导致 ios 用户首次请求直接寄(超时 10s )。
    4. 业务多了,Lets encrypt 的免费单域名不够用,通配解析又存在分发问题(参照第二点)。
    5. 安规,你以为买 OV 和 EV 只是个证书?其实买的是审查和设计。

    问出这个问题,难道没赶上 Lets Encrypt 更换根证书的时候吗,证书只是运维的一个小部分,没有人天天能盯着这么多东西的。
    至于说做好监控,或者自动 acme.sh ,现实情况远比梦里的复杂,你觉得是雇个人天天盯着成本低,还是直接花几千块钱买个证省下一年十几个 (人/日) 成本低。
    kokerkov
        129
    kokerkov  
       22 天前
    你了解一下证书等级,然后各个等级的详细作用就自然明白了。搞这么多不是没有意义的。

    简单地说,lets encrypt 的证书的作用只是保证你和某个网站之间的线路是 SSL ,也就是加密的,他不能证明也不能证明,张三就一定是张三,有可能是张 3 。(你自己想想,你提交证书的时候让你提交营业执照了吗)

    企业级的证书,除了加密以外,还能证明,我这个 taobao.com 就是阿里巴巴开的购物网站,而不是第三方冒充的。懂了吗?
    cnevil
        130
    cnevil  
       22 天前
    都是生意,就跟你搞不懂为什么有的企业/单位几十几百万搞一个系统然后没人用一样
    我之前在那央企运维,证书是系统建设跟每年的维保项目里带的,我看价格是按最贵的套餐来的,实际就官网邮箱俩系统上了证书
    287854442
        131
    287854442  
       22 天前
    @shengmi 这个说出了大多数情况下的的根本原因
    TesterCC
        132
    TesterCC  
       22 天前
    私人项目还行,稍微大点的项目,特别是一挂影响业务的还是别 3 个月一更新,万一挂了折腾。
    zoharSoul
        133
    zoharSoul  
       22 天前
    lets encrypt 会被墙, 影响 iOS/macos 下的用户访问
    xyz3210
        134
    xyz3210  
       22 天前
    自己 nas 的 SSL 证书月底就到期了。考虑过使用 lets encrypt ,但是不知道威联通的证书存在那里,他自己的域名可以使用 lets encrypt 。使用 cloudflare 的证书,人家是自签名,用不了。最后花了 14.95 美元买了 5 年的 sectigo 的 DV 证书,一年一续,一年不到 3 美元还能接受。考虑过淘宝的 SSL ,但是公钥私钥都在他们手里,不敢用!
    taizhenhua1987
        135
    taizhenhua1987  
       22 天前
    是不是智商税要看价格是否匹配品质,加价十万的雷克萨斯我骂它是智商税,降价十万我绝对连夜去 4S 店门口排队。

    公司今年买了国内某个代理商的证书,三月份买的八月份开始电话狂轰乱炸要我提前续费。并且暗示如果一次性续三年可以送我一部最新款苹果手机,可见这玩意儿有多暴利。我可以合理怀疑他们公司 99%的成本来自销售员的工资和电话费,剩下的才是证书这个产品本身的价值。

    看看阿里云上卖的证书,同样是 OV 证书,下面六个品牌价格从 1700 到 8100 不等,你们谁能一句话说出这六个证书的区别是什么?如果你们老板让你购买证书你会选择哪一个品牌并给出什么样的让人信服的理由?国内这些互联网大厂爆出的各种事故哪一个是因为证书安全性不够造成的?我觉得这玩意儿就应该跟域名卖一样的价格
    iorilu
        136
    iorilu  
    OP
       22 天前
    @xyz3210 居然有这么便宜得阿 , 我以为一般起码几百一年, 就因为一般人不懂这门道, 搞不清区别, 干脆用免费得了
    @taizhenhua1987 差不多就这意思, 就像上面有人说 15 美元买 5 年, 也有几千几万一年得 , 我相信没几个人知道区别, 即使是公司网管这类得, 他们肯定和领导说贵的好
    oldboy627
        137
    oldboy627  
       22 天前
    @zjsxwc #74 V2EX 是私人站点,又不是商业产品
    lslqtz
        138
    lslqtz  
       22 天前
    LE 的 DV 信任度没想象那么好而且依赖自动化 (自动化带来了安全性降低, 方便和安全不可兼得), 商业 DV 泛域名其实完全应对绝大部分企业的需求, 商业 EV 现在基本属于智商税 (保险和 OV 大差不差, 但没有像以前那样的绿标), 超大型企业一般会选择购入一个中级证书以方便大量服务部署.

    实际上保险在 99.9999% 时候都是没用的, 可能部分大型公司图 SLA 买保险减少那微乎其微的损失.
    lslqtz
        139
    lslqtz  
       22 天前
    部分情况会有合规需求, 通常也是 OV SSL 就够了, 包括银行站点基本也是用的 OV SSL. 一些证书颁发机构会声称 EV SSL 验证比 OV SSL 更繁琐, 但这实际上(对最终用户最终转化到企业)并不能带来任何的优势, 据说这也是 EV SSL 被取消绿标的原因.
    lslqtz
        140
    lslqtz  
       22 天前
    当然还有一种情况就是因为 EV SSL 现在没什么优势, 所以价格和 OV SSL 越来越近, 因为 OV SSL 本来也不便宜, 加点钱上 EV 可能并没想象中那么难以忍受. 不过 EV SSL 还有一个重大缺陷 (以前有, 现在不确定): 没有泛域名支持.
    DV SSL 的例子: Cloudflare
    OV SSL 的例子: 建行, Google, 通常也包括下面 EV SSL 的例子 (只是不在主站)
    EV SSL 的例子: 中行, Apple, Paypal
    xyz3210
        141
    xyz3210  
       22 天前
    证书有 DV ,OV ,EV 还有单域名,泛域名,还有 ip 的证书。一般看买证书看一个可信度以及使用范围。国内的证书之前出过滥签证书,后来不让用了。一般人使用买单域名的 DV 就可以了!
    jeesk
        142
    jeesk  
       21 天前 via Android
    使用 caddymagic ,然后配置好 zreossl ,let's.google cloud , 够用了
    keengrass
        143
    keengrass  
       21 天前
    安全性
    Rainkolwa
        144
    Rainkolwa  
       21 天前
    不知道到这么回复合不合理,但挺形象的:为什么 Bitwarder 可以用来免费管理密码,为什么还是有不少人花钱买 1Password?
    impl
        145
    impl  
       21 天前
    技术面试的时候,不要和面试官提什么 Let's encrypt ,不然会被呵呵,别问我怎么知道的
    jim9606
        146
    jim9606  
       20 天前
    @ZeroClover 严格算是不一样,两个都是 X.509 规范的证书,单载明的公钥用途不一样,一般也由不同的中间 CA 签发。但卖代码签名证书的通常也做域名证书,搞不好就是打包卖的。

    我也不知道除了这个用途还有啥合规场景需要 EV 。

    虽然新版 Win10/11 只认微软签名,但提交到 WHCP 签名前还是要求先 EV 签名过的,实际最终用户到手的驱动会有两个签名。
    ForrestWang
        147
    ForrestWang  
       19 天前
    主要是三个月的要续很麻烦,我们业务接了一大堆三方平台,这些平台没有脚本可以自动部署,忘了就麻烦了
    avocador
        148
    avocador  
       19 天前
    @Rorysky 确实,大哥彰显实力过分的搞不好还会自己建个服务商
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1545 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:05 · PVG 01:05 · LAX 09:05 · JFK 12:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.